当前位置:Linux教程 - Linux - Linux下的入侵监测系统LIDS--四、LIDS功能

Linux下的入侵监测系统LIDS--四、LIDS功能

冰块


运行无保护程序时发出警告
在安装LIDS前不要运行无保护程序
开启锁定子进程功能
尽量不要让日志溢出
允许转换LIDS保护
允许远程拥护来转换LIDS保护
允许任何程序来转换LIDS保护
允许重新引导配置文件
隐藏一些已知的进程
可继承的隐藏功能
允许一些已知的进程访问/dev/mem(/xfree,等)
允许一些已知的进程访问硬盘设备
允许一些已知的进程访问io端口
允许一些已知的进程卸载设备
可继承的卸载功能
允许一些已知的进程杀死子进程
可继承的杀进程功能
1、运行无保护程序时发出警告

  在没有LIDS保护前(用lidsadm -I -caps…..)运行无保护程序时会发出警告,这个对检测启动序列有很大帮助,但是他不会告诉你哪个模块被加载或是没有被保护。这个功能还可以警告你是否有程序的弱点加到启动进程里。

2、在安装LIDS前不要运行无保护程序

  这个功能让LIDS在没有被保护前拒绝一些执行。要意识到你可以阻止系统在不完全的lids.conf下启动。

3、开启锁定子进程功能

  你可以开启这个功能用lidsadm (+LOCK_INIT_CHILDREN)这样就会阻止任何人杀死用LIDS保护的父进程的子进程。你可以运行lidsadm命令用-LOCK_INIT_CHILDREN然后用+LOCK_INIT_CHILDREN,这样,就灭有人能阻止它(拒绝服务器攻击)或是重新用新的配置文件启动它。(重起或是kill -HUP)

4、尽量不要让日志溢出

  你可以定义相同内容日志出现的次数。如果在一定时间内有很多相同的日志,就不会在把他们存放到日志里面。这样能避免日志溢出。

5、允许转换LIDS保护

  你可以启动转换LIDS功能的开关。但是这样会降低安全性。不过可以方便系统的管理。

  具体过程是这样:lidsadm读取当前的允许标志。根据你的命令行升级它们,然后问你密码。把他们配置到LIDS里面。如果密码正确,允许标准就更新了。这时候会有一个报警在日志里。

6、要让LIDS识别你的密码

  必须要给他一个RipeMD-160的指纹。这个会被lidsadm来计算。这个指纹非常难破解,就算有人访问你的二进制内核,他们也不能得到你的密码。

  你可以培植密码错误的次数。如果超过就会被禁止登陆。每一次登陆的失败会记录到日志里。

7、允许远程拥护来转换LIDS保护

  如果你允许没有登陆控制终端的用户开启启动标志的话,就选定这个功能。如果你已经访问了控制终端。你可以禁止这个选项,这样远程的用户就不能关闭LIDS,甚至他有密码。

8、允许任何程序来转换LIDS保护

  如果你选定这个功能,你可以允许除了/sbin/lidsadm来操作/proc/sys/lids/locks。我不认为这个会有什么用处。

9、允许重新引导配置文件

  选定这个功能就会编译重新引导配置文件的代码。每一次运行+RELOAD_CONF参数给lidsadm,LIDS重新引导/etc/lids.conf和重读dev/inode。

  如果在重引导的时候出错,内核不会在意,就象它根本就没有启动一样,因为它认为你看到了错误并即使改正了。

10、隐藏一些已知的进程

  这个功能允许你给出一些程序的目录,而这些程序的进程你可以不让它在/proc里出现。(这样就不会在ps里看出)这不会影响安全。如果你不明白这是怎么做的,你也不需要知道它。

11、可继承的隐藏功能

  隐藏的进程的子进程,也会被隐藏。

12、允许一些已知的进程访问/dev/mem(/xfree等)

  通过这个功能,你可以允许一些在允许进程域下的进程来访问/dev/mem等。

13、允许一些已知的进程访问硬盘设备

  如果一些程序因为不能写到磁盘而中断,但是你确实很需要它们。就可以开启这个功能。填写可访问的进程表。

14、允许一些已知的进程访问io端口

  如果一些程序不能访问io端口而中断,但是你很确实很需要它们,你可以开启这个功能,填写可访问的进程表。

15、允许一些已知的进程卸载设备

  如果你需要你的系统可以自动关闭,(如在ups下)你需要允许一些程序来卸载设备。

16.可继承的卸载功能

  选定这个选项允许子程序来卸载设备。

17、允许一些已知的进程杀死子进程

  如果你用init的子进程锁定功能并且让你的系统平滑的自动关闭,你必须允许一个进程来杀死后台程序。

18、可继承的杀进程功能

  选定这个可以允许子程序来杀死锁定的子init进程。