8.9.3. Базовая настройка

8.9.3. Базовая настройка

После установки системы LIDS в каталоге /etc у вас появится подкаталог /lids. В нем вы обнаружите четыре файла: lids.cap, lids.net, lids.pw, lids.conf.

В первом из них хранятся текущие установки способностей (cap — от capabilities— способности). О том, что такое способности, мы поговорим немного позже.

Во втором файле (lids.net) находятся установки для отправки сообщений электронной почты. В третьем (lids.pw) — пароль в зашифрованном виде. Система LIDS использует метод шифрования RipeMD-160. Пароль можно изменить только с помощью программы lidsadm. В последнем файле определяются правила доступа. Этот файл можно изменять только с помощью программы lidsadm.

Способность — это возможность программы совершать какое-либо действие. В табл. 8.10 каждая из способностей рассмотрена более подробно. Формат способностей, в котором они содержатся в файле lids.cap, выглядит так:

[+/-]номер:название

Если в первом поле установлен знак «+», значит эта способность включена. Номер — это просто порядковый номер способности. Название определяет действие, разрешенное или запрещенное программам. Выключение способности распространяется на все программы, кроме тех, которые непосредственно указаны в правилах доступа с помощью программы lidsadm. Если способность включена, ее ограничение распространяется на все без исключения программы. Нельзя установить ограничение на все программы, кроме нескольких. Пример файла lids.сaр приведен в листинге 8.15.

Листинг 8.15. Пример файла lids.cap

+0:CAP_CHOWN

+1:CAP_DAC_OVERRIDE

+2:CAP_DAC_READ_SEARCH

+3:CAP_FOWNER

+4:CAP_FSETID

+5:CAP_KILL

+6:CAP_SETGID

+7:CAP_SETUID

+8:CAP_SETPCAP

-9:CAP_LINUX_IMMUTABLE

-10:CAP_NET_BIND_SERVICE

+11:CAP_NET_BROADCAST

-12:CAP_NET_ADMIN

-13:CAP_NET_RAW

+14:CAP_IPC_LOCK

+15:СAP_IPC_OWNER

-16:CAP_SYS_MODULE

-17:CAP_SYS_RAWIO

-18:CAP_SYS_CHROOT

+19:CAP_SYS_PTRACE

+20:CAP_SYS_PACCT

-21:CAP_SYS_ADMIN

+22:CAP_SYS_BOOT

+23:CAP_SYS_NICE

+24:CAP_SYS_RESOURCE

+25:CAP_SYS_TIME

+26:CAP_SYS_TTY_CONFIG

+27:CAP_HIDDEN

+28:CAP_INIT_KILL

Способности Таблица 8.10 

Способность Описание
CAP_CHOWN Разрешает (или запрещает, если способность выключена) программам изменять группу и владельца файла. Далее подразумевается, что рассматриваемая способность включена и если ее отключить, то данное действие будет недоступно программам
CAP_DAC_OVERRIDE Программы, запускаемые пользователем root, не будут принимать во внимание права доступа к файлам. Например, если режим доступа к файлу пользователя равен 0600, то даже root не сможет открыть его (получить доступ к файлу)
CAP_DAC_READ_SEARCH То же самое, но для каталогов (режимы доступа: чтение и поиск)
CAP_FOWNER Запрещает операции с файлами, если идентификатор владельца файла не совпадает с идентификатором пользователя, который выполняет операцию
CAP_FSETID Разрешает установку битов SUID и SGID для файлов, не принадлежащих пользователю root
CAP_KILL Разрешает процессам пользователя root завершать («убивать») процессы других пользователей
CAP_SETGID Разрешает программам изменять группу, под которой они работают. Программа должна быть запущена пользователем root. Эту возможность используют программы: httpd, sendmail, safe_mysql, safe_finger, postfix, ftpd
CAP_SETUID Разрешает программам изменять пользователя, под которым они работают. Программа должна быть запущена пользователем root
CAP_SETPCAP Включает способность программ редактировать способности
CAP_LINUX_IMMUTABLE Отключите данную способность. Эта способность относится к таким атрибутам файлов, как S_IMMUTABLE (команда chattr –i) и S_APPEND (chattr –a)
CAP_NET_BIND_SERVICE Разрешает программам прослушивать порты с номерами, меньшими 1024
CAP_NET_BROADCAST Разрешает программам отправлять широковещательные пакеты
CAP_NET_ADMIN Эта способность относится к сетевому администрированию: конфигурирование сетевых интерфейсов, изменение таблиц маршрутизации ядра, правил firewall и т.п.
CAP_NET_RAW Разрешает программам использовать сокет-соединения (Raw Unix Socket)
CAP_IPC_LOCK Разрешает процессам пользователя root блокировать сегменты разделяемой памяти
CAP_IPC_OWNER Разрешает процессам пользователя root вмешиваться в межпроцессорное взаимодействие процессов других пользователей
CAP_SYS_MODULE Управляет способностью загружать (выгружать) модули ядра. Отключите данную способность
CAP_SYS_RAWIO Управление доступом к файлам устройств, например, /dev/mem, /dev/hd*, /dev/sd*. Другими словами, разрешает прямой ввод/вывод
CAP_SYS_CHROOT Разрешает изменять корневой каталог в процессе работы пользователя. Отключите данную способность
CAP_SYS_PTRACE Разрешает программа использовать функцию ptrace(). Включите данную способность
CAP_SYS_PACCT Управляет способностью конфигурировать учет процессов. Отключите данную способность
CAP_SYS_ADMIN Управляет способностью изменения многих системных параметров: от установления имени компьютера до монтирования дисков. Отключите данную способность, иначе ничего не сможете сделать в системе
CAP_SYS_BOOT Управляет способностью перезагружать машину
CAP_SYS_NICE Управляет способностью изменять приоритет процессов других пользователей
CAP_SYS_RESOURCE Данная способность относится ко всевозможным ограничениям системных ресурсов, например, дисковые квоты, количество консолей. Выключите данную способность
CAP_SYS_TIME Разрешает изменять системное время
CAP_SYS_TTY_CONFIG Разрешает изменять настройки консолей
CAP HIDDEN Разрешает программам становиться невидимыми в списке процессов
CAP_INIT_KILL Разрешает «убивать» потомков процесса init. К потомкам относятся практически все демоны, запущенные при запуске системы

 Для инициализации способностей используются команды lidsadm –I. Эту команду обычно помещают в сценарии автозагрузки системы, например, rc.lосаl, и, как правило, эта команда должна быть последней, чтобы могли беспрепятственно загрузиться демоны и инициализироваться сетевые интерфейсы.

Теперь перейдем к настройке параметров отправления сообщений электронной почты. Эти параметры, как уже было отмечено, находятся в файле lids.net (см. листинг 8.16).

Листинг 8.16. Файл lids.net

MAIL_SWITCH=1

MAIL_RELAY=127.0.0.1:25

MAIL_SOURCE=localhost

MAIL_FROM=LIDS@domain.ru

MAIL_TO=admin@adminhome.ru

MAIL_SUBJECT=The intrusion is revealed

Первый параметр включает (1) или отключает (0) функцию отправки сообщения. Параметр MAIL_RELAY определяет IP-адрес сервера SMTP и порт сервиса SMTP. MAIL_SOURCE — это источник почты, то есть узел, отправивший сообщение. Параметр MAIL_FROM устанавливает адрес отправителя, а MAIL_TO — адрес получателя. MAIL_SUBJECT — это тема сообщения.

В качестве адреса получателя рекомендую установить номер мобильного телефона, точнее e-mail-адрес, который сопоставлен с вашим номером телефона. Этот адрес можно узнать у вашего оператора мобильной связи. В этом случае сообщение о вторжении будет отправлено по SMS прямо на мобильный телефон, что очень удобно — не будете же вы всегда находиться возле компьютера, ожидая сообщения от LIDS?

Следующий этап настройки системы LIDS — это изменение пароля администратора системы LIDS. Для изменения пароля (точнее, установки нового пароля), введите команду:

lidsadm –P

Данный текст является ознакомительным фрагментом.



Поделитесь на страничке

Похожие главы из других книг:

Базовая сетка

Из книги автора

Базовая сетка В типографике базовой линией называют невидимую линию, на которой располагаются буквы. Например, нижний край буквы е лежит на базовой линии, а нижний выносной элемент буквы р находится под ней. Сетка образуется множеством базовых линий, расстояние между


Совет 46: Базовая защита

Из книги автора

Совет 46: Базовая защита Пожалуй, каждый обитатель собственного дома или владелец дачи хоть раз мечтал об автоматической оборонительной системе, способной удерживать на расстоянии выстрела воров и продавцов краденного садового инструмента, шумные компании малолетней


Базовая файловая система System V

Из книги автора

Базовая файловая система System V Каждый жесткий диск состоит из одной или нескольких логических частей, называемых разделами (partitions). Расположение и размер раздела определяются при форматировании диска. В UNIX разделы выступают в качестве независимых устройств, доступ к


Базовая архитектура драйверов

Из книги автора

Базовая архитектура драйверов Драйвер устройства адресуется старшим номером (major number) устройства. Напомним, что среди атрибутов специальных файлов устройств, которые обеспечивают пользовательский интерфейс доступа к периферии компьютера, это число присутствует наряду


3.1 Базовая функциональность «Мозилла»66

Из книги автора

3.1 Базовая функциональность «Мозилла»66 Браузер. Для просмотра страниц WWW и «хождения» по FTP-серверам предназначен компонент «Навигатор». На панели компонент «Мозилла» он изображается морским штурвалом (см. рис. 3-1). Рис. 3-1Все возможности программы доступны из меню,


Базовая конфигурация DNS

Из книги автора

Базовая конфигурация DNS Установка конфигурации DNS предполагает решение двух задач: настройка сервера DNS (в пакете BIND функции сервера выполняет программа named) и администрирование домена. В данном разделе обсуждаются особенности выполнения первой задачи, а


Базовая архитектура Skype

Из книги автора

Базовая архитектура Skype Skype — программное обеспечение для VoIP, обеспечивающее бесплатную голосовую связь через Интернет между компьютерами, а также платные услуги для связи с абонентами обычной телефонной сети. В отличие от многих других программ IP-телефонии, для


Базовая конфигурация SIP-телефонов в Asterisk

Из книги автора

Базовая конфигурация SIP-телефонов в Asterisk Конфигурация SIP-телефона для работы с Asterisk не требует много усилий и времени. Однако здесь можно легко запутаться из-за обилия опций как в Asterisk, так и в конфигурации конкретного телефонного аппарата или программного телефона.


5. Базовая раскрутка партнерки

Из книги автора

5. Базовая раскрутка партнерки Что делать для привлечения партнеров?? Рассказывайте о партнерской программе везде, на всех ваших сайтах – продающих и не продающих.? У профессионалов вы наверняка видели в конце каждого продающего текста или мини-сайта упоминание о


2.9 Базовая функциональность оконного менеджера

Из книги автора

2.9 Базовая функциональность оконного менеджера Как уже говорилось, ключевой компонент графической платформы — Икс-сервер: — захватывает оборудование, — создает по запросу других программ (которые в этой терминологии называются X-клиентами) окна и — предоставляет


3.1 Базовая функциональность «Мозилла»

Из книги автора

3.1 Базовая функциональность «Мозилла» Браузер. Для просмотра страниц WWW и «хождения» по FTP-серверам предназначен компонент «Навигатор». На панели компонент «Мозилла» он изображается морским штурвалом (см. рис. 3-1). Рис. 3-1Все возможности программы доступны из меню,


15.4.1. Базовая теория make

Из книги автора

15.4.1. Базовая теория make При разработке программ на языках С или С++ важной частью для построения приложения является семейство команд компиляции и компоновки, необходимых для получения из файлов исходного кода работающих бинарных файлов. Ввод данных команд — длительная и


Базовая конфигурация и утверждение

Из книги автора

Базовая конфигурация и утверждение Основной список бизнес-процессов (Business Process Master List, BPML) — это самое полное представление рамок проекта внедрения SAP. Конфигурация делится на две части — базовая конфигурация и окончательная конфигурация.Эти конфигурационные задания


Базовая форма

Из книги автора

Базовая форма Программный объект довольно простое существо, если известен класс, которому он принадлежит. Пусть O - объект. По определению он является экземпляром некоторого класса. Точнее, он является прямым экземпляром (direct instance) только одного класса, например C. С