另外,Lidsadm還有如下可用的標(biāo)志值(Available flags):
LIDS:禁止或激活本地LIDS;
LIDS_CLOBAL:完全禁止或激活LIDS;
RELOAD_CONF:重新加載配置文件�。
Lidsconf工具
Lidsconf主要用來為LIDS配置訪問控制列表(ACLs)和設(shè)置密碼��。輸入以下命令能顯示Lidsconf所有的可用選項:
# lidsconf –h
此命令執(zhí)行后會返回以下命令參數(shù):
-A:增加一條指定的選項到已有的ACL中
-D:刪除一條指定的選項
-E:刪除所有選項
-U:更新dev/inode序號
-L:列出所有選項
-P:產(chǎn)生用Ripemd-160加密的密碼
-V:顯示版本
-h:顯示幫助
-H:顯示更多的幫助
-s [–subject]:指定一個子對像�����,可以為任何程序���,但必須是文件。
-o[object]:可以是文件�、目錄或功能(capabilities)和socket名稱。
-j:它有以下幾個參數(shù):
DENY:禁止訪問
READONLY:只讀
APPEND:增加
WRITE:可寫
GRANT:對子對像授與能力
ignore:對設(shè)置的對像忽略所有權(quán)限
disable:禁止一些擴(kuò)展特性
其它選項:
-d:目標(biāo)的可執(zhí)行domain
-i:繼承級別
-t:指定從某一時段到某一時段可以進(jìn)行怎樣的操作
-e:擴(kuò)展列表
主要使用方法
(1)配置LIDS保護(hù)的文件和目錄
首先�����,用戶需要根據(jù)具體的情況來確定要保護(hù)哪些文件�����。一般情況下�����,為了保證Linux系統(tǒng)安全�����,至少需要保護(hù)系統(tǒng)二進(jìn)制文件和系統(tǒng)配置文件�,比如:/bin、/sbin/�����、/usr/、/etc/�、/var/log/等。
其次�,需要確定以什么方式來保護(hù)文件。LIDS提供了如下四種保護(hù)類型:
1)拒絕任何人訪問:帶有DENY標(biāo)志的文件和目錄沒有人能夠看見���,也不能修改�。那些非常敏感的文件應(yīng)該加上DENY標(biāo)志�����。其用法如下:
lidsconf -A -o file_to_protected -j DENY
例如���,可以使用如下命令來拒絕用戶(包括root用戶)對/etc/passwd文件的訪問:
# lidsconf -A -o /etc/ passwd -j DENY
在重啟或重新加載配置文件后����,用戶將會看到相應(yīng)的操作遭到LIDS的拒絕����,從而保護(hù)該文件:
# ls /etc/passwd
ls: /etc/passwd: No such file or directory
2)配制只讀文件:任何用戶不能改變帶有只讀標(biāo)記的文件。比如/etc/passwd�����、/bin/passwd文件一般屬于此類。
其用法如下:
lidsconf -A -o file_to_protect -j READONLY
例如�,我們可以保護(hù)整個/bin/目錄,使之只讀����,如下命令所示:
# /sbin/lidsconf -A -o /bin/ -j READONLY
也可以保護(hù)/etc/passwd文件為只讀�,如下命令:
# /sbin/lidsconf -A -o /etc/passwd -j READONLY
3)只能追加的文件:一般來說,系統(tǒng)日志文件應(yīng)定義成此類��。比如/var/log/message��、/var/log/secure���。這些文件只能以追加的模式打開�����,用戶不能修改前面的部分��。
其用法如下:
lidsconf -A -o filename_to_protect -j APPEND
例如���,我們可以保護(hù)系統(tǒng)日志文件,如下命令所示:
# /sbin/lidsconf -A -o /var/log/message -j APPEND
# /sbin/lidsconf -A -o /var/log/secure -j APPEND
我們也可以針對具體的網(wǎng)絡(luò)服務(wù)器日志進(jìn)行保護(hù):
//保護(hù)httpd日志文件
# /sbin/lidsconf -A -o /var/log/httpd -j APPEND
//保護(hù)vsftpd日志文件
# /sbin/lidsconf –A –o /var/log/vsftpd –
