专栏首页python3Linux安全问答(3)

Linux安全问答(3)

1、如何启用linux下的***检测系统LIDS?    首先, 要想使LIDS设置的ACLS发挥作用,应在系统引导时把LIDS封装进内核中。这样每次系统启动到最后阶段,此设置会根据你的系统上的/etc/lids/lids.cap文件中的内容来设置全局功能,此文件中保存的是你设置ACLS。设置封装内核,在你的/etc/rc.d/rc.local文件的未尾加入如下内容:  /sbin/lidsadm –I lidsadm -S -- +RELOAD_CONF 特别要注意的是,在对LIDS做了任何修改后,都应使用上述命令重新更新LIDS的配置文件,它将重新加载下列配置文件: /etc/lids/lids.conf #ACLS配置文件 /etc/lids/lids.cap #LIDS capabilities(功能)配置文件 /etc/lids/lids.pw #LIDS密码文件 /etc/lids/lids.net # LIDS邮件警告配置文件 然后重新启动系统服务使应用改变生效。 使用如下命令打开一个LIDS终端会话: # lidsadm -S -- -LIDS 在完成对文件或数据的修改后,你应通过如下命令重新启用LIDS: # lidsadm -S -- +LIDS 2、保护文件为只读。 # lidsconf -A -o /some/file -j READONLY 此命令保证一旦LIDS启用,任何人都不能修改或删除此文件。如果你在lids自由会话终端方式下,你就可以修改/some/file指定的文件,只要此分区不是挂载为只读方式。应用时用实际的文件路径代替/some/file。 3、保护一个目录为只读。 # lidsconf -A -o /some/directory -j READONLY 此命令用保证一旦LIDS启用,任何人都不能列出或删除此目录及其中的内容。如果你在自由会话终端方式下,你就可以修改/some/directory目录,只要分区不是挂载为只读方式。例如,你可以设置保护/etc/目录为只读方式: lidsconf -A -o /etc -j READONLY 这里要告别注意的是:当你设定/etc目录为只读后,当你想挂载文件系统时,你应该删除/etc/mtab文件,然后使用它的一个符号连接/proc/mounts。同时,你必须修改你的初始化脚本,使用“-n”选项来设置任何mount和umount命令。这个选项告诉mount和umount不更新/etc/mtab文件。例如,你发现在你的初始化脚本中有一行:mount -av -t nonfs,nproc,应把它改为:mount -av -n -t nonfs,nproc。 4、隐藏任何人都看不到的文件或目录。 # lidsconf -A -o /some/file_or_directory -j DENY 此设置将使用任何人甚至root用户都不能访问它,如果是一个目录,那么此目录下的文件、目录都将隐藏,文件系统也一样。 5、指定某些特定的程序以只读方式访问一些非常敏感的文件。 比如在系统登录时要访问/etc/shadow文件,我可以指定某些程序能在系统认证时使用它,如login、ssh、su和vlock。例如,你可以只允许login以只读方式访问/etc/shadow文件: # lidsconf -A -s /bin/login -o /etc/shadow -j READONLY 6、以根用户身份启动一个服务在指定的端口上运行。 服务运行在指定的端口(1024以下)上需要CAP_NET_BIND_SERVICE功能。如果你禁止了此功能在/etc/lids/lids.cap文件中,你就不能以根用户身份启动任何一个服务运行在指定的端口上。你可以授与某个程序有此功能: # lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -J GRANT 或者在LIDS_GLOBAL被禁止时启用此服务。 7、在LIDS启用时,保证X Windows系统能工作。 X server必须使用CAP_SYS_RAWIO功能才能在LIDS启用时工作。  # lidsconf -A -s /path/to /your/x-server -o CAP_SYS_RAWIO -j GRANT 8、启用ssh和scp。 缺省状态下,ssh和scp通过指定的端口创建远程连接,它需要CAP_NET_BIND_SERVICE功能,因此你可以授与CAP_NET_BIN_SERVICE功能给ssh:  # lidsconf -A -s /usr/bin/ssh -o CAP_NET_BIN_SERVICE 22 -J GRANT 9、设置限制访问时间 例如,只允许用户从早上8:00到下午6:00这段时间能登录:  # lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1800 -j READONLY 你也可以在“-t”选项中使用“!”,即除指定时间外所有时间能做某项工作。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • linux命令基础(3)

    6、复制/etc/grub.cfg配置文件至/tmp目录,用查找替换命令删除/tmp/grub.cfg文件中的行首的空白字符; :%s/^[[:space:]]...

    py3study
  • Python3小工具——暴力破解ssh

    py3study
  • python检测网络延迟

    py3study
  • 你听说过XGBoost吗

    这是个深度学习的时代,传统的机器学习算法仿佛已经失去了往日的光彩,你能随处听到卷积神经网络、循环神经网络以及其他各种net,偶尔听到的机器学习算法也是支持向量机...

    深度学习与Python
  • 【推荐收藏】带你撸一遍 XGBoost论文

    XGBoost作为一个非常常用的算法,我觉得很有必要了解一下它的来龙去脉,于是抽空找了一些资料,主要包括陈天奇大佬的论文以及演讲PPT,以及网络上的一些博客文章...

    Sam Gor
  • 【推荐收藏】带你撸一遍 XGBoost论文

    XGBoost作为一个非常常用的算法,我觉得很有必要了解一下它的来龙去脉,于是抽空找了一些资料,主要包括陈天奇大佬的论文以及演讲PPT,以及网络上的一些博客文章...

    石晓文
  • Element-ui中Table表中el-table-column列数据的布尔值回填

        前端使用vue+element-ui,我们经常会使用table来展示从后台请求回来的数据,但是,如果被请求回来数据是Boolean类型的时候,在tabl...

    跟着阿笨一起玩NET
  • Facebook开源的数据Mock:Memisis详解

    Criss@陈磊
  • Ubuntu系统微调

    本章讲述了基本的基于命令行界面的系统配置方法。在学习本章前,你需要先阅读 Ubuntu 系统安装提示, 第 3 章.

    一见
  • Linux系统部分主要目录或文件汇总

    醉生萌死

扫码关注云+社区

领取腾讯云代金券