欢迎进入Linux社区论坛,与200万技术人员互动交流 >>进入
LIDS是一个开源免费的LINUX内核补丁包,要想完全使用LIDS,需要到它的官方网站www.lids.org上下载LIDS的内核补丁包和LIDS工具包。但在下载时,一定要保证下载的LIDS补丁包与我们当前所使用的LINUX系统内核版本相一致。LIDS补丁包现在的最新版本是lids-2.2.3rc7-2.6.28.patch,它是针对2.6.28LINUX内核的。LIDS工具包现在的最新版本是lidstools-2.2.7.7。
1、 安装LIDS的内核补丁包
现在以上述最新版本的LIDS内核补丁包为例说明它的安装。首先将下载的LIDS内核补丁包保存到/usr/src目录下,然后以根用户的权限进入字符终端模式。要注意的是,在LINUX系统下的命令是严格区分大小写的。
假设系统内核文件在/usr/src/Linux目录下,通过下列命令安装LIDS内核补丁包:
# cd /usr/src/Linux # patch p1 < /usr/src/ lids-2.2.3rc7-2.6.28.patch LIDS内核补丁包安装完成后,接着重新编辑内核:
# make menuconfig 进入内核编译菜单界面后,把有关LIDS的所有项都选中。这样做的目的能让不太熟习内核编译的用户能省去很多不必要的麻烦,何况将所有的LIDS项都选择上也不会占用多少的内核空间,对加入LIDS后的内核性能也不会产生多少的影响。
在选择好要加入到内核中的LIDS项后,就可以通过下列命令重新编译内核:
# make # make install 完成上述内核编译工作后,一个加入了LIDS的内核就重新编译好了。要使加入了LIDS的新内核工作,必需重新启动系统。
2、安装LIDS的工具包。
现也以LIDS工具包的最新版本作例子说明它的安装。首先把下载的LIDS工具包保存的到/home/用户名(用户名是你系统上登录的用户名)目录中后,按如下方式安装它:
# cd /home/用户名 # tar -zxvf lids-2.2.7.7.tar.gz # cd lids-2.2.7.7 # ./configure # make # make install 这样就会将Lidsadm和Lidsconf这两个工具安装到/sbin/目录中,同时会创建一个/etc/lids的目录,并会在此目录下生成一个默认的配置文件。在使用LIDS前应先用“lidsadm ?U”命令更新这个默认的配置文件。
小提示:如果在编译LIDS工具包时出现GCC报LIDSTEXT.h文件不存在的错误提示,就需要修改LIDS工具包安装目录下的MAKEFILE文件,在在其中的CFLAGS选项中加入“-I/usr/src/Linux/include”,然后就可以重新编译了。
3、Lidsadm和Lidsconf工具说明
(1)、Lidsadm工具及其选项:
Lidsadm是LIDS的管理工具单元,可以用它来管理系统中的LIDS。Lidsadm的作用主要就是启用或停用LIDS,以及封存LIDS到内核中和查看LIDS状态。
使用下列命令可以列出Lidsadm的所有可用选项:
# lidsadm -h 此命令会返回下列信息:
…… lidsadm -[s/I] — [+/-] [LIDS_FLAG] […] lidsadm -v lidsadm -h 命令参数解释:
-s:开关某些保护选项时指示应提交密码 -I:开关某些保护选项时不提交密码 LIDS_FLAG:为Lidsadm的标志值
-v:显示版本 -V:查看现在LIDS状态 -h:列出所有选项 Lidsadm常用的部分主要功能模块:
CAP_CHOWN:修改目录或文件的属主和组 CAP_NET_BROADCAST:监听广播 CAP_NET_ADMIN:接口、防火墙、路由器改变 CAP_IPC_LOCK:锁定共享内存 CAP_SYS_MODULE:插入和移除内核模块 CAP_HIDDEN:隐藏进程 CAP_SYS_RESOURCE:设置资源限制 CAP_KILL_PROTECTED:杀死保护进程 CAP_PROTECTED:保护进程为单用户方式 Lidsadm可用的标志值(Available flags):
LIDS:禁止或激活本地LIDS; LIDS_CLOBAL:完全禁止或激活LIDS RELOAD_CONF:重新加载配置文件 (2)、Lidsconf工具及其选项:
Lidsconf主要用来为LIDS配置访问控制列表(ACLS)和设置密码。
输入以下命令能显示Lidsconf所有的可用选项:
# lidsconf -h 此命令执行后会返回以下信息:
…… lidsconf -A [-s subject] -o object [-d] [-t from-to] [-i level] -j Accept lidsconf -D [-s file] [-o file] lidsconf -E lidsconf -U lidsconf -L lidsconf -P lidsconf -v lidsconf -[h/H] 命令参数:
-A:增加一条指定的选项到已有的ACL中 -D:删除一条指定的选项 -E:删除所有选项 -U:更新dev/inode序号 -L:列出所有选项 -P:产生用Ripemd-160加密的密码 -V:显示版本 -h:显示帮助 -H:显示更多的帮助 子对像(subject):
-s [–subject]:指定一个子对像,可以为任何程序,但必须是文件。 目标(object):
-o[object]:可以是文件、目录或功能(capabilities)和socket名称。 动作:
-j:它有以下几个参数: DENY:禁止访问 READONLY:只读 APPEND:增加 WRITE:可写 GRANT:对子对像授与能力 ignore:对设置的对像忽略所有权限 disable:禁止一些扩展特性 其它选项:
-d :目标的可执行domain -i:继承级别 -t:指定从某一时段到某一时段可以进行怎样的操作 -e:扩展列表
[1][2][3]
初初尝试着拥抱的人,一派新鲜幸福都来不及沉浸,
