next up previous
次へ: 新しいカーネルで立ち上げる 上へ: LIDSのインストール 戻る: kernelのコンパイル

再起動前のルール設定

以下の作業は、rootで行います。 まず、/etc/lids/lids.confを作成してあげます。
touch /etc/lids/lids.conf
また、再起動時に最低限必要なルールを設定してあげます。以下のルールは
http://www.lids/org/lids-faq/LIDS-FAQ.html
を参考に、RedHat Linux9用にパスを変更したものです。
/sbin/lidsconf -A -o /sbin			-j READONLY
/sbin/lidsconf -A -o /bin			-j READONLY

/sbin/lidsconf -A -o /usr			-j READONLY
/sbin/lidsconf -A -o /lib			-j READONLY

/sbin/lidsconf -A -o /etc			-j READONLY
/sbin/lidsconf -A -o /usr/local/etc		-j READONLY
/sbin/lidsconf -A -o /etc/shadow		-j DENY
/sbin/lidsconf -A -o /etc/grub.conf		-j DENY
/sbin/lidsconf -A -o /boot/grub/grub.conf	-j DENY

/sbin/lidsconf -A -s /bin/login -o /etc/shadow	-j READONLY
/sbin/lidsconf -A -s /usr/bin/vlock -o /etc/shadow	-j READONLY
/sbin/lidsconf -A -s /bin/su -o /etc/shadow	-j READONLY
/sbin/lidsconf -A -s /bin/su -o CAP_SETUID	-j GRANT
/sbin/lidsconf -A -s /bin/su -o CAP_SETGID	-j GRANT

/sbin/lidsconf -A -o /boot			-j READONLY

/sbin/lidsconf -A -o /root			-j READONLY
/sbin/lidsconf -A -o /bin/bash -o /root/.bash_history	-j READONLY

/sbin/lidsconf -A -o /var/log			-j APPEND
/sbin/lidsconf -A -s /bin/login -o /var/log/wtmp	-j WRITE
/sbin/lidsconf -A -s /bin/login -o /var/log/lastlog	-j WRITE
/sbin/lidsconf -A -s /bin/init -o /var/log/wtmp		-j WRITE
/sbin/lidsconf -A -s /bin/init -o /var/log/lastlog	-j WRITE
/sbin/lidsconf -A -s /bin/halt -o /var/log/wtmp		-j WRITE
/sbin/lidsconf -A -s /bin/halt -o /var/log/lastlog	-j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysint  -o /var/log/wtmp -i 1	-j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysint  -o /var/log/lastlog -i 1	-j WRITE

/sbin/lidsconf -A -s /sbin/hwlock  -o /etc/adjtime 	-j WRITE

/sbin/lidsconf -A -s /sbin/init  -o CAP_INIT_KILL 	-j GRANT
/sbin/lidsconf -A -s /sbin/init  -o CAP_KILL 	-j GRANT

/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_INIT_KILL -i 1 	-j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_KILL -i 1 	-j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_NET_ADMIN -i 1 	-j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_SYS_ADMIN -i 1 	-j GRANT

/sbin/lidsconf -A -s /sbin/update -o CAP_SYS_ADMIN 	-j GRANT

/sbin/lidsconf -A -o /etc/lids			-j DENY 

/sbin/lidsconf -A -o /home/omok			-j READONLY

/sbin/lidsconf -A -s /bin/init -o /etc/initrunlvl		-j APPEND
最後に、設定ファイルを更新して、反映させます。
lidsconf -U


Kazuki Omo 平成15年5月16日