Linux安全問答(3)
1、如何啟用linux下的入侵檢測系統LIDS?
首先, 要想使LIDS設定的ACLS發揮作用,應在系統引導時把LIDS封裝進核心中。這樣每次系統啟動到最後階段,此設定會根據你的系統上的/etc/lids/lids.cap檔案中的內容來設定全域性功能,此檔案中儲存的是你設定ACLS。設定封裝核心,在你的/etc/rc.d/rc.local檔案的未尾加入如下內容:
/sbin/lidsadm –I
lidsadm -S — +RELOAD_CONF
特別要注意的是,在對LIDS做了任何修改後,都應使用上述命令重新更新LIDS的配置檔案,它將重新載入下列配置檔案:
/etc/lids/lids.conf #ACLS配置檔案
/etc/lids/lids.cap #LIDS capabilities(功能)配置檔案
/etc/lids/lids.pw #LIDS密碼檔案
/etc/lids/lids.net # LIDS郵件警告配置檔案
然後重新啟動系統服務使應用改變生效。
使用如下命令開啟一個LIDS終端會話:
# lidsadm -S — -LIDS
在完成對檔案或資料的修改後,你應通過如下命令重新啟用LIDS:
# lidsadm -S — +LIDS
2、保護檔案為只讀。
# lidsconf -A -o /some/file -j READONLY
此命令保證一旦LIDS啟用,任何人都不能修改或刪除此檔案。如果你在lids自由會話終端方式下,你就可以修改/some/file指定的檔案,只要此分割槽不是掛載為只讀方式。應用時用實際的檔案路徑代替/some/file。
3、保護一個目錄為只讀。
# lidsconf -A -o /some/directory -j READONLY
此命令用保證一旦LIDS啟用,任何人都不能列出或刪除此目錄及其中的內容。如果你在自由會話終端方式下,你就可以修改/some/directory目錄,只要分割槽不是掛載為只讀方式。例如,你可以設定保護/etc/目錄為只讀方式:
lidsconf -A -o /etc -j READONLY
這裡要告別注意的是:當你設定/etc目錄為只讀後,當你想掛載檔案系統時,你應該刪除/etc/mtab檔案,然後使用它的一個符號連線/proc/mounts。同時,你必須修改你的初始化指令碼,使用“-n”選項來設定任何mount和umount命令。這個選項告訴mount和umount不更新/etc/mtab檔案。例如,你發現在你的初始化指令碼中有一行:mount -av -t nonfs,nproc,應把它改為:mount -av -n -t nonfs,nproc。
4、隱藏任何人都看不到的檔案或目錄。
# lidsconf -A -o /some/file_or_directory -j DENY
此設定將使用任何人甚至root使用者都不能訪問它,如果是一個目錄,那麼此目錄下的檔案、目錄都將隱藏,檔案系統也一樣。
5、指定某些特定的程式以只讀方式訪問一些非常敏感的檔案。
比如在系統登入時要訪問/etc/shadow檔案,我可以指定某些程式能在系統認證時使用它,如login、ssh、su和vlock。例如,你可以只允許login以只讀方式訪問/etc/shadow檔案:
# lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
6、以根使用者身份啟動一個服務在指定的埠上執行。
服務執行在指定的埠(1024以下)上需要CAP_NET_BIND_SERVICE功能。如果你禁止了此功能在/etc/lids/lids.cap檔案中,你就不能以根使用者身份啟動任何一個服務執行在指定的埠上。你可以授與某個程式有此功能:
# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -J GRANT
或者在LIDS_GLOBAL被禁止時啟用此服務。
7、在LIDS啟用時,保證X Windows系統能工作。
X server必須使用CAP_SYS_RAWIO功能才能在LIDS啟用時工作。
# lidsconf -A -s /path/to /your/x-server -o CAP_SYS_RAWIO -j GRANT
8、啟用ssh和scp。
預設狀態下,ssh和scp通過指定的埠建立遠端連線,它需要CAP_NET_BIND_SERVICE功能,因此你可以授與CAP_NET_BIN_SERVICE功能給ssh:
# lidsconf -A -s /usr/bin/ssh -o CAP_NET_BIN_SERVICE 22 -J GRANT
9、設定限制訪問時間
例如,只允許使用者從早上8:00到下午6:00這段時間能登入:
# lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1800 -j READONLY
首先, 要想使LIDS設定的ACLS發揮作用,應在系統引導時把LIDS封裝進核心中。這樣每次系統啟動到最後階段,此設定會根據你的系統上的/etc/lids/lids.cap檔案中的內容來設定全域性功能,此檔案中儲存的是你設定ACLS。設定封裝核心,在你的/etc/rc.d/rc.local檔案的未尾加入如下內容:
/sbin/lidsadm –I
lidsadm -S — +RELOAD_CONF
特別要注意的是,在對LIDS做了任何修改後,都應使用上述命令重新更新LIDS的配置檔案,它將重新載入下列配置檔案:
/etc/lids/lids.conf #ACLS配置檔案
/etc/lids/lids.cap #LIDS capabilities(功能)配置檔案
/etc/lids/lids.pw #LIDS密碼檔案
/etc/lids/lids.net # LIDS郵件警告配置檔案
然後重新啟動系統服務使應用改變生效。
使用如下命令開啟一個LIDS終端會話:
# lidsadm -S — -LIDS
在完成對檔案或資料的修改後,你應通過如下命令重新啟用LIDS:
# lidsadm -S — +LIDS
2、保護檔案為只讀。
# lidsconf -A -o /some/file -j READONLY
此命令保證一旦LIDS啟用,任何人都不能修改或刪除此檔案。如果你在lids自由會話終端方式下,你就可以修改/some/file指定的檔案,只要此分割槽不是掛載為只讀方式。應用時用實際的檔案路徑代替/some/file。
3、保護一個目錄為只讀。
# lidsconf -A -o /some/directory -j READONLY
此命令用保證一旦LIDS啟用,任何人都不能列出或刪除此目錄及其中的內容。如果你在自由會話終端方式下,你就可以修改/some/directory目錄,只要分割槽不是掛載為只讀方式。例如,你可以設定保護/etc/目錄為只讀方式:
lidsconf -A -o /etc -j READONLY
這裡要告別注意的是:當你設定/etc目錄為只讀後,當你想掛載檔案系統時,你應該刪除/etc/mtab檔案,然後使用它的一個符號連線/proc/mounts。同時,你必須修改你的初始化指令碼,使用“-n”選項來設定任何mount和umount命令。這個選項告訴mount和umount不更新/etc/mtab檔案。例如,你發現在你的初始化指令碼中有一行:mount -av -t nonfs,nproc,應把它改為:mount -av -n -t nonfs,nproc。
4、隱藏任何人都看不到的檔案或目錄。
# lidsconf -A -o /some/file_or_directory -j DENY
此設定將使用任何人甚至root使用者都不能訪問它,如果是一個目錄,那麼此目錄下的檔案、目錄都將隱藏,檔案系統也一樣。
5、指定某些特定的程式以只讀方式訪問一些非常敏感的檔案。
比如在系統登入時要訪問/etc/shadow檔案,我可以指定某些程式能在系統認證時使用它,如login、ssh、su和vlock。例如,你可以只允許login以只讀方式訪問/etc/shadow檔案:
# lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
6、以根使用者身份啟動一個服務在指定的埠上執行。
服務執行在指定的埠(1024以下)上需要CAP_NET_BIND_SERVICE功能。如果你禁止了此功能在/etc/lids/lids.cap檔案中,你就不能以根使用者身份啟動任何一個服務執行在指定的埠上。你可以授與某個程式有此功能:
# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -J GRANT
或者在LIDS_GLOBAL被禁止時啟用此服務。
7、在LIDS啟用時,保證X Windows系統能工作。
X server必須使用CAP_SYS_RAWIO功能才能在LIDS啟用時工作。
# lidsconf -A -s /path/to /your/x-server -o CAP_SYS_RAWIO -j GRANT
8、啟用ssh和scp。
預設狀態下,ssh和scp通過指定的埠建立遠端連線,它需要CAP_NET_BIND_SERVICE功能,因此你可以授與CAP_NET_BIN_SERVICE功能給ssh:
# lidsconf -A -s /usr/bin/ssh -o CAP_NET_BIN_SERVICE 22 -J GRANT
9、設定限制訪問時間
例如,只允許使用者從早上8:00到下午6:00這段時間能登入:
# lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1800 -j READONLY
你也可以在“-t”選項中使用“!”,即除指定時間外所有時間能做某項工作。
本文轉自 雪源梅香 51CTO部落格,原文連結:http://blog.51cto.com/liuyuanljy/389346,如需轉載請自行聯絡原作者
相關文章
- linux安全問答(1)薦Linux
- Linux問與答(1)(轉)Linux
- Linux應用問答(轉)Linux
- Linux問與答:KDE問題解凝(轉)Linux
- 20條Linux命令面試問答Linux面試
- Linux桌面應用問答(轉)Linux
- vmware for linux 使用經典問答Linux
- 50個LINUX問答題(轉)Linux
- 安全教程——使用Windows防火牆十問答(轉)Windows防火牆
- linux上建立裸裝置問答Linux
- Linux網路應用問答(轉)Linux
- [問答] 為什麼要用vue-cli3?Vue
- [基礎入門]網路安全知識問答(二)!
- Web 面試問答Web面試
- 問答專案
- Linux中國點評贈書活動FAQ 問答詳解Linux
- 13個關於Linux防火牆’iptables’的面試問答Linux防火牆面試
- https問答篇HTTP
- Redux:自問自答Redux
- QTP問與答(轉)QT
- Unicode 問答集Unicode
- C#問答 (轉)C#
- [ 答朋友問] same namespace ?namespace
- 老牌問答網站“雅虎問答”近日宣佈正式關站NRE網站
- NETMicroFramework常見問題問答Framework
- 你問我答:容器平臺改造後的安全是如何解決的?
- 解鎖CodeGeeX智慧問答中3項獨有的隱藏技能
- Apache Hive 面試問答題ApacheHive面試
- 智慧問答機器人機器人
- 新書問答:Lost and Founder新書
- 漁樵問答之IT篇
- Code Review 五問五答View
- Scrivener for Mac 的問與答Mac
- 自問自答總結
- Excel列印問與答教程Excel
- Java Servlet工作原理問答JavaServlet
- Java Servlet 工作原理問答JavaServlet
- 防破解問答集 (轉)