Linux安全問答(3)
1、如何啟用linux下的入侵檢測系統LIDS?
首先, 要想使LIDS設定的ACLS發揮作用,應在系統引導時把LIDS封裝進核心中。這樣每次系統啟動到最後階段,此設定會根據你的系統上的/etc/lids/lids.cap檔案中的內容來設定全域性功能,此檔案中儲存的是你設定ACLS。設定封裝核心,在你的/etc/rc.d/rc.local檔案的未尾加入如下內容:
/sbin/lidsadm –I
lidsadm -S — +RELOAD_CONF
特別要注意的是,在對LIDS做了任何修改後,都應使用上述命令重新更新LIDS的配置檔案,它將重新載入下列配置檔案:
/etc/lids/lids.conf #ACLS配置檔案
/etc/lids/lids.cap #LIDS capabilities(功能)配置檔案
/etc/lids/lids.pw #LIDS密碼檔案
/etc/lids/lids.net # LIDS郵件警告配置檔案
然後重新啟動系統服務使應用改變生效。
使用如下命令開啟一個LIDS終端會話:
# lidsadm -S — -LIDS
在完成對檔案或資料的修改後,你應通過如下命令重新啟用LIDS:
# lidsadm -S — +LIDS
2、保護檔案為只讀。
# lidsconf -A -o /some/file -j READONLY
此命令保證一旦LIDS啟用,任何人都不能修改或刪除此檔案。如果你在lids自由會話終端方式下,你就可以修改/some/file指定的檔案,只要此分割槽不是掛載為只讀方式。應用時用實際的檔案路徑代替/some/file。
3、保護一個目錄為只讀。
# lidsconf -A -o /some/directory -j READONLY
此命令用保證一旦LIDS啟用,任何人都不能列出或刪除此目錄及其中的內容。如果你在自由會話終端方式下,你就可以修改/some/directory目錄,只要分割槽不是掛載為只讀方式。例如,你可以設定保護/etc/目錄為只讀方式:
lidsconf -A -o /etc -j READONLY
這裡要告別注意的是:當你設定/etc目錄為只讀後,當你想掛載檔案系統時,你應該刪除/etc/mtab檔案,然後使用它的一個符號連線/proc/mounts。同時,你必須修改你的初始化指令碼,使用“-n”選項來設定任何mount和umount命令。這個選項告訴mount和umount不更新/etc/mtab檔案。例如,你發現在你的初始化指令碼中有一行:mount -av -t nonfs,nproc,應把它改為:mount -av -n -t nonfs,nproc。
4、隱藏任何人都看不到的檔案或目錄。
# lidsconf -A -o /some/file_or_directory -j DENY
此設定將使用任何人甚至root使用者都不能訪問它,如果是一個目錄,那麼此目錄下的檔案、目錄都將隱藏,檔案系統也一樣。
5、指定某些特定的程式以只讀方式訪問一些非常敏感的檔案。
比如在系統登入時要訪問/etc/shadow檔案,我可以指定某些程式能在系統認證時使用它,如login、ssh、su和vlock。例如,你可以只允許login以只讀方式訪問/etc/shadow檔案:
# lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
6、以根使用者身份啟動一個服務在指定的埠上執行。
服務執行在指定的埠(1024以下)上需要CAP_NET_BIND_SERVICE功能。如果你禁止了此功能在/etc/lids/lids.cap檔案中,你就不能以根使用者身份啟動任何一個服務執行在指定的埠上。你可以授與某個程式有此功能:
# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -J GRANT
或者在LIDS_GLOBAL被禁止時啟用此服務。
7、在LIDS啟用時,保證X Windows系統能工作。
X server必須使用CAP_SYS_RAWIO功能才能在LIDS啟用時工作。
# lidsconf -A -s /path/to /your/x-server -o CAP_SYS_RAWIO -j GRANT
8、啟用ssh和scp。
預設狀態下,ssh和scp通過指定的埠建立遠端連線,它需要CAP_NET_BIND_SERVICE功能,因此你可以授與CAP_NET_BIN_SERVICE功能給ssh:
# lidsconf -A -s /usr/bin/ssh -o CAP_NET_BIN_SERVICE 22 -J GRANT
9、設定限制訪問時間
例如,只允許使用者從早上8:00到下午6:00這段時間能登入:
# lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1800 -j READONLY
首先, 要想使LIDS設定的ACLS發揮作用,應在系統引導時把LIDS封裝進核心中。這樣每次系統啟動到最後階段,此設定會根據你的系統上的/etc/lids/lids.cap檔案中的內容來設定全域性功能,此檔案中儲存的是你設定ACLS。設定封裝核心,在你的/etc/rc.d/rc.local檔案的未尾加入如下內容:
/sbin/lidsadm –I
lidsadm -S — +RELOAD_CONF
特別要注意的是,在對LIDS做了任何修改後,都應使用上述命令重新更新LIDS的配置檔案,它將重新載入下列配置檔案:
/etc/lids/lids.conf #ACLS配置檔案
/etc/lids/lids.cap #LIDS capabilities(功能)配置檔案
/etc/lids/lids.pw #LIDS密碼檔案
/etc/lids/lids.net # LIDS郵件警告配置檔案
然後重新啟動系統服務使應用改變生效。
使用如下命令開啟一個LIDS終端會話:
# lidsadm -S — -LIDS
在完成對檔案或資料的修改後,你應通過如下命令重新啟用LIDS:
# lidsadm -S — +LIDS
2、保護檔案為只讀。
# lidsconf -A -o /some/file -j READONLY
此命令保證一旦LIDS啟用,任何人都不能修改或刪除此檔案。如果你在lids自由會話終端方式下,你就可以修改/some/file指定的檔案,只要此分割槽不是掛載為只讀方式。應用時用實際的檔案路徑代替/some/file。
3、保護一個目錄為只讀。
# lidsconf -A -o /some/directory -j READONLY
此命令用保證一旦LIDS啟用,任何人都不能列出或刪除此目錄及其中的內容。如果你在自由會話終端方式下,你就可以修改/some/directory目錄,只要分割槽不是掛載為只讀方式。例如,你可以設定保護/etc/目錄為只讀方式:
lidsconf -A -o /etc -j READONLY
這裡要告別注意的是:當你設定/etc目錄為只讀後,當你想掛載檔案系統時,你應該刪除/etc/mtab檔案,然後使用它的一個符號連線/proc/mounts。同時,你必須修改你的初始化指令碼,使用“-n”選項來設定任何mount和umount命令。這個選項告訴mount和umount不更新/etc/mtab檔案。例如,你發現在你的初始化指令碼中有一行:mount -av -t nonfs,nproc,應把它改為:mount -av -n -t nonfs,nproc。
4、隱藏任何人都看不到的檔案或目錄。
# lidsconf -A -o /some/file_or_directory -j DENY
此設定將使用任何人甚至root使用者都不能訪問它,如果是一個目錄,那麼此目錄下的檔案、目錄都將隱藏,檔案系統也一樣。
5、指定某些特定的程式以只讀方式訪問一些非常敏感的檔案。
比如在系統登入時要訪問/etc/shadow檔案,我可以指定某些程式能在系統認證時使用它,如login、ssh、su和vlock。例如,你可以只允許login以只讀方式訪問/etc/shadow檔案:
# lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
6、以根使用者身份啟動一個服務在指定的埠上執行。
服務執行在指定的埠(1024以下)上需要CAP_NET_BIND_SERVICE功能。如果你禁止了此功能在/etc/lids/lids.cap檔案中,你就不能以根使用者身份啟動任何一個服務執行在指定的埠上。你可以授與某個程式有此功能:
# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -J GRANT
或者在LIDS_GLOBAL被禁止時啟用此服務。
7、在LIDS啟用時,保證X Windows系統能工作。
X server必須使用CAP_SYS_RAWIO功能才能在LIDS啟用時工作。
# lidsconf -A -s /path/to /your/x-server -o CAP_SYS_RAWIO -j GRANT
8、啟用ssh和scp。
預設狀態下,ssh和scp通過指定的埠建立遠端連線,它需要CAP_NET_BIND_SERVICE功能,因此你可以授與CAP_NET_BIN_SERVICE功能給ssh:
# lidsconf -A -s /usr/bin/ssh -o CAP_NET_BIN_SERVICE 22 -J GRANT
9、設定限制訪問時間
例如,只允許使用者從早上8:00到下午6:00這段時間能登入:
# lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1800 -j READONLY
你也可以在“-t”選項中使用“!”,即除指定時間外所有時間能做某項工作。
本文轉自 雪源梅香 51CTO部落格,原文連結:http://blog.51cto.com/liuyuanljy/389346,如需轉載請自行聯絡原作者
相關文章
- [問答] 為什麼要用vue-cli3?Vue
- [基礎入門]網路安全知識問答(二)!
- 社群問答精選|ChatGPT for SegmentFault 十問十答ChatGPT
- 提問與問答技巧
- 基礎問答
- 問答專案
- Web 面試問答Web面試
- 老牌問答網站“雅虎問答”近日宣佈正式關站NRE網站
- Linux安全問題的google重視LinuxGo
- 解鎖CodeGeeX智慧問答中3項獨有的隱藏技能
- 你問我答:容器平臺改造後的安全是如何解決的?
- 1230-詩詞問答
- 新書問答:Lost and Founder新書
- 有問有答,全能社群由你來建!TensorFlow 問答版塊怎麼玩?
- 五個關鍵問答,解讀金融App應用安全熱點話題APP
- 問答營銷怎麼做?問答網路推廣的平臺和形式
- ai問答:vue3+pinia+WebSocket 封裝斷線重連(實戰)AIVueWeb封裝
- linux安全篇:禁止頻繁訪問的ip訪問nginxLinuxNginx
- NLP教程(7) - 問答系統
- MaxCompute問答整理之10月
- 關於webpack問答記錄...Web
- ERP基礎知識問答
- 搭建智慧問答機器人機器人
- 你問我答:容器篇(1)
- Apache Hive 面試問答題ApacheHive面試
- 問答方式學 Node.jsNode.js
- 「火鍋問答」是啥?面向自然語言和多步推理問題,新型問答資料集HotpotQA面世
- linux tomcat 開通443 (用https安全訪問)LinuxTomcatHTTP
- 有獎問卷 | 2022年中國雲原生安全調查,邀您來答!
- 遠端辦公“有問有答” 志翔科技助力企業安全高效復工
- 問答營銷的流程和特點——以使用者思維做問答營銷
- WPS Office Mac登入常見問題問答Mac
- 思維導圖和AI問答AI
- 答讀者問:BeanFactoryPostProcessor 似乎失效了?Bean
- 本地部署AI問答知識庫AI
- 搭建一個問答交流平臺
- 自問自答系列——商城相關
- DBASK問答集萃第九期
- Rust 問答之什麼是 rustcRust