57、Linux系统安全与图形化脚本操作指南

Linux系统安全与图形化脚本操作指南

1. 使用LIDS控制文件访问

LIDS（Linux Intrusion Detection System）可用于控制文件访问，其访问控制项（ACE）各列含义如下：
| 列名 | 含义 |
| ---- | ---- |
| Inherit | 显示ACE是否可被主体的子进程继承，可继承显示1，不可继承显示0 |
| Time | 显示ACE生效的时间 |
| Object | 显示受保护的对象，可以是文件、目录或能力。若同一对象多次列出，第一个ACE通常限制所有主体的访问，其他ACE为特定程序提供例外 |
| Parameters | 列出ACE参数，仅在创建 CAP_BIND_NET_SERVICE ACE时可能需要，用于指定端口号范围 |

创建新的ACE需要以下信息：
- 要管理的程序的完整路径名（若要限制所有程序则不需要）
- 要保护的文件（或目录）的完整路径名
- 要授予（或拒绝）的访问类型

可为对象分配四个安全级别：
- WRITE ：不保护对象，拥有超级用户权限的用户可对对象进行任何操作。
- APPEND ：授予读取权限，允许向对象添加内容，但不能删除或修改。适用于所有日志文件，若对日志对象授予WRITE保护，入侵者可能会编辑对象以隐藏踪迹。
- READONLY ：授予读取权限，但不能修改或删除对象。适用于所有系统配置文件和程序。
-