# lidsadm -P

Теперь у нас запросят пароль дважды и после окончания работы утилиты в зашифрованном виде его можно пронаблюдать в файле lids.pw. Для получения краткой справки по используемым командам и устанавливаемым флагам введите:

# lidsadm -h.

Теперь, чтобы добавить новое правило, воспользуемся опцией -A (append). Общий синтаксис команды такой:

lidsadm -A [-s subject] -o object [-d] -j

Поле ACTION указывает на действие, которое будет выполняться при запросе отмеченного ресурса. Оно может принимать несколько значений, но самыми употребляемыми будут четыре:

n  READ (объект помечен только для чтения);

n  APPEND (возможно только добавление информации);

n  WRITE (возможна запись, в том числе и удаление);

n  GRANT (предоставляет возможность субъекту отклонять общие правила).

Теперь введя команду:

# /sbin/lidsadm -A -o /etc/shadow -j DENY

мы запретим всем пользователям доступ к данному файлу. Теперь после перезагрузки с lids-ядром, просмотрев с помощью команды:

# ls /etc/shadow

в ответ получим ls: /etc/shadow : No such file or directory. Чтобы пользователь мог зарегистрироваться в системе, откроем доступ только для чтения единственной программе, которая законно должна работать с данным файлом.

# /sbin/lidsadm -A -s /bin/login -o /etc/shadow -j READ

Теперь пользователи получают возможность входить в систему (с помощью /bin/login), т.е. здесь достаточно прав только для чтения, а другим программам доступ будет заблокирован. Аналогичным образом можно установить требуемые действия сразу на весь каталог.

# /sbin/lidsadm -A -o /sbin/ -j READ

Для различных файлов журналов достаточно установить возможность только дозаписи информации в них, в таком случае злоумышленнику будет довольно трудно скрыть свое пребывание редактированием соответствующих логов. Например: