| 您的位置:首页 > 文档 > 网络安全 > |
文章分类热门文章 |
Linux下的入侵监测系统LIDS--四、LIDS功能创建:2005-11-07 00:00:00 作者:Unlinux 来自: http://www.Unlinux.com 冰块 运行无保护程序时发出警告 在安装LIDS前不要运行无保护程序 开启锁定子进程功能 尽量不要让日志溢出 允许转换LIDS保护 允许远程拥护来转换LIDS保护 允许任何程序来转换LIDS保护 允许重新引导配置文件 隐藏一些已知的进程 可继承的隐藏功能 允许一些已知的进程访问/dev/mem(/xfree,等) 允许一些已知的进程访问硬盘设备 允许一些已知的进程访问io端口 允许一些已知的进程卸载设备 可继承的卸载功能 允许一些已知的进程杀死子进程 可继承的杀进程功能 1、运行无保护程序时发出警告 在没有LIDS保护前(用lidsadm -I -caps…..)运行无保护程序时会发出警告,这个对检测启动序列有很大帮助,但是他不会告诉你哪个模块被加载或是没有被保护。这个功能还可以警告你是否有程序的弱点加到启动进程里。 2、在安装LIDS前不要运行无保护程序 这个功能让LIDS在没有被保护前拒绝一些执行。要意识到你可以阻止系统在不完全的lids.conf下启动。 3、开启锁定子进程功能 你可以开启这个功能用lidsadm (+LOCK_INIT_CHILDREN)这样就会阻止任何人杀死用LIDS保护的父进程的子进程。你可以运行lidsadm命令用-LOCK_INIT_CHILDREN然后用+LOCK_INIT_CHILDREN,这样,就灭有人能阻止它(拒绝服务器攻击)或是重新用新的配置文件启动它。(重起或是kill -HUP) 4、尽量不要让日志溢出 你可以定义相同内容日志出现的次数。如果在一定时间内有很多相同的日志,就不会在把他们存放到日志里面。这样能避免日志溢出。 5、允许转换LIDS保护 你可以启动转换LIDS功能的开关。但是这样会降低安全性。不过可以方便系统的管理。 具体过程是这样:lidsadm读取当前的允许标志。根据你的命令行升级它们,然后问你密码。把他们配置到LIDS里面。如果密码正确,允许标准就更新了。这时候会有一个报警在日志里。 6、要让LIDS识别你的密码 必须要给他一个RipeMD-160的指纹。这个会被lidsadm来计算。这个指纹非常难破解,就算有人访问你的二进制内核,他们也不能得到你的密码。 你可以培植密码错误的次数。如果超过就会被禁止登陆。每一次登陆的失败会记录到日志里。 7、允许远程拥护来转换LIDS保护 如果你允许没有登陆控制终端的用户开启启动标志的话,就选定这个功能。如果你已经访问了控制终端。你可以禁止这个选项,这样远程的用户就不能关闭LIDS,甚至他有密码。 8、允许任何程序来转换LIDS保护 如果你选定这个功能,你可以允许除了/sbin/lidsadm来操作/proc/sys/lids/locks。我不认为这个会有什么用处。 9、允许重新引导配置文件 选定这个功能就会编译重新引导配置文件的代码。每一次运行+RELOAD_CONF参数给lidsadm,LIDS重新引导/etc/lids.conf和重读dev/inode。 如果在重引导的时候出错,内核不会在意,就象它根本就没有启动一样,因为它认为你看到了错误并即使改正了。 10、隐藏一些已知的进程 这个功能允许你给出一些程序的目录,而这些程序的进程你可以不让它在/proc里出现。(这样就不会在ps里看出)这不会影响安全。如果你不明白这是怎么做的,你也不需要知道它。 11、可继承的隐藏功能 隐藏的进程的子进程,也会被隐藏。 12、允许一些已知的进程访问/dev/mem(/xfree等) 通过这个功能,你可以允许一些在允许进程域下的进程来访问/dev/mem等。 13、允许一些已知的进程访问硬盘设备 如果一些程序因为不能写到磁盘而中断,但是你确实很需要它们。就可以开启这个功能。填写可访问的进程表。 14、允许一些已知的进程访问io端口 如果一些程序不能访问io端口而中断,但是你很确实很需要它们,你可以开启这个功能,填写可访问的进程表。 15、允许一些已知的进程卸载设备 如果你需要你的系统可以自动关闭,(如在ups下)你需要允许一些程序来卸载设备。 16.可继承的卸载功能 选定这个选项允许子程序来卸载设备。 17、允许一些已知的进程杀死子进程 如果你用init的子进程锁定功能并且让你的系统平滑的自动关闭,你必须允许一个进程来杀死后台程序。 18、可继承的杀进程功能 选定这个可以允许子程序来杀死锁定的子init进程。 转载自:http://www.unlinux.com/doc/security/20051107/8561.html 【评论】 【加入收藏夹】 【大 中 小】 【打印】 【关闭】 ※ 相关链接
|