8.9.3. Базовая настройка

8.9.3. Базовая настройка

После установки системы LIDS в каталоге /etc у вас появится подкаталог /lids. В нем вы обнаружите четыре файла: lids.cap, lids.net, lids.pw, lids.conf.

В первом из них хранятся текущие установки способностей (cap — от capabilities— способности). О том, что такое способности, мы поговорим немного позже.

Во втором файле (lids.net) находятся установки для отправки сообщений электронной почты. В третьем (lids.pw) — пароль в зашифрованном виде. Система LIDS использует метод шифрования RipeMD-160. Пароль можно изменить только с помощью программы lidsadm. В последнем файле определяются правила доступа. Этот файл можно изменять только с помощью программы lidsadm.

Способность — это возможность программы совершать какое-либо действие. В табл. 8.10 каждая из способностей рассмотрена более подробно. Формат способностей, в котором они содержатся в файле lids.cap, выглядит так:

[+/-]номер:название

Если в первом поле установлен знак «+», значит эта способность включена. Номер — это просто порядковый номер способности. Название определяет действие, разрешенное или запрещенное программам. Выключение способности распространяется на все программы, кроме тех, которые непосредственно указаны в правилах доступа с помощью программы lidsadm. Если способность включена, ее ограничение распространяется на все без исключения программы. Нельзя установить ограничение на все программы, кроме нескольких. Пример файла lids.сaр приведен в листинге 8.15.

Листинг 8.15. Пример файла lids.cap

+0:CAP_CHOWN

+1:CAP_DAC_OVERRIDE

+2:CAP_DAC_READ_SEARCH

+3:CAP_FOWNER

+4:CAP_FSETID

+5:CAP_KILL

+6:CAP_SETGID

+7:CAP_SETUID

+8:CAP_SETPCAP

-9:CAP_LINUX_IMMUTABLE

-10:CAP_NET_BIND_SERVICE

+11:CAP_NET_BROADCAST

-12:CAP_NET_ADMIN

-13:CAP_NET_RAW

+14:CAP_IPC_LOCK

+15:СAP_IPC_OWNER

-16:CAP_SYS_MODULE

-17:CAP_SYS_RAWIO

-18:CAP_SYS_CHROOT

+19:CAP_SYS_PTRACE

+20:CAP_SYS_PACCT

-21:CAP_SYS_ADMIN

+22:CAP_SYS_BOOT

+23:CAP_SYS_NICE

+24:CAP_SYS_RESOURCE

+25:CAP_SYS_TIME

+26:CAP_SYS_TTY_CONFIG

+27:CAP_HIDDEN

+28:CAP_INIT_KILL

Способности Таблица 8.10 

Способность Описание
CAP_CHOWN Разрешает (или запрещает, если способность выключена) программам изменять группу и владельца файла. Далее подразумевается, что рассматриваемая способность включена и если ее отключить, то данное действие будет недоступно программам
CAP_DAC_OVERRIDE Программы, запускаемые пользователем root, не будут принимать во внимание права доступа к файлам. Например, если режим доступа к файлу пользователя равен 0600, то даже root не сможет открыть его (получить доступ к файлу)
CAP_DAC_READ_SEARCH То же самое, но для каталогов (режимы доступа: чтение и поиск)
CAP_FOWNER Запрещает операции с файлами, если идентификатор владельца файла не совпадает с идентификатором пользователя, который выполняет операцию
CAP_FSETID Разрешает установку битов SUID и SGID для файлов, не принадлежащих пользователю root
CAP_KILL Разрешает процессам пользователя root завершать («убивать») процессы других пользователей
CAP_SETGID Разрешает программам изменять группу, под которой они работают. Программа должна быть запущена пользователем root. Эту возможность используют программы: httpd, sendmail, safe_mysql, safe_finger, postfix, ftpd
CAP_SETUID Разрешает программам изменять пользователя, под которым они работают. Программа должна быть запущена пользователем root
CAP_SETPCAP Включает способность программ редактировать способности
CAP_LINUX_IMMUTABLE Отключите данную способность. Эта способность относится к таким атрибутам файлов, как S_IMMUTABLE (команда chattr –i) и S_APPEND (chattr –a)
CAP_NET_BIND_SERVICE Разрешает программам прослушивать порты с номерами, меньшими 1024
CAP_NET_BROADCAST Разрешает программам отправлять широковещательные пакеты
CAP_NET_ADMIN Эта способность относится к сетевому администрированию: конфигурирование сетевых интерфейсов, изменение таблиц маршрутизации ядра, правил firewall и т.п.
CAP_NET_RAW Разрешает программам использовать сокет-соединения (Raw Unix Socket)
CAP_IPC_LOCK Разрешает процессам пользователя root блокировать сегменты разделяемой памяти
CAP_IPC_OWNER Разрешает процессам пользователя root вмешиваться в межпроцессорное взаимодействие процессов других пользователей
CAP_SYS_MODULE Управляет способностью загружать (выгружать) модули ядра. Отключите данную способность
CAP_SYS_RAWIO Управление доступом к файлам устройств, например, /dev/mem, /dev/hd*, /dev/sd*. Другими словами, разрешает прямой ввод/вывод
CAP_SYS_CHROOT Разрешает изменять корневой каталог в процессе работы пользователя. Отключите данную способность
CAP_SYS_PTRACE Разрешает программа использовать функцию ptrace(). Включите данную способность
CAP_SYS_PACCT Управляет способностью конфигурировать учет процессов. Отключите данную способность
CAP_SYS_ADMIN Управляет способностью изменения многих системных параметров: от установления имени компьютера до монтирования дисков. Отключите данную способность, иначе ничего не сможете сделать в системе
CAP_SYS_BOOT Управляет способностью перезагружать машину
CAP_SYS_NICE Управляет способностью изменять приоритет процессов других пользователей
CAP_SYS_RESOURCE Данная способность относится ко всевозможным ограничениям системных ресурсов, например, дисковые квоты, количество консолей. Выключите данную способность
CAP_SYS_TIME Разрешает изменять системное время
CAP_SYS_TTY_CONFIG Разрешает изменять настройки консолей
CAP HIDDEN Разрешает программам становиться невидимыми в списке процессов
CAP_INIT_KILL Разрешает «убивать» потомков процесса init. К потомкам относятся практически все демоны, запущенные при запуске системы

 Для инициализации способностей используются команды lidsadm –I. Эту команду обычно помещают в сценарии автозагрузки системы, например, rc.lосаl, и, как правило, эта команда должна быть последней, чтобы могли беспрепятственно загрузиться демоны и инициализироваться сетевые интерфейсы.

Теперь перейдем к настройке параметров отправления сообщений электронной почты. Эти параметры, как уже было отмечено, находятся в файле lids.net (см. листинг 8.16).

Листинг 8.16. Файл lids.net

MAIL_SWITCH=1

MAIL_RELAY=127.0.0.1:25

MAIL_SOURCE=localhost

MAIL_FROM=LIDS@domain.ru

MAIL_TO=admin@adminhome.ru

MAIL_SUBJECT=The intrusion is revealed

Первый параметр включает (1) или отключает (0) функцию отправки сообщения. Параметр MAIL_RELAY определяет IP-адрес сервера SMTP и порт сервиса SMTP. MAIL_SOURCE — это источник почты, то есть узел, отправивший сообщение. Параметр MAIL_FROM устанавливает адрес отправителя, а MAIL_TO — адрес получателя. MAIL_SUBJECT — это тема сообщения.

В качестве адреса получателя рекомендую установить номер мобильного телефона, точнее e-mail-адрес, который сопоставлен с вашим номером телефона. Этот адрес можно узнать у вашего оператора мобильной связи. В этом случае сообщение о вторжении будет отправлено по SMS прямо на мобильный телефон, что очень удобно — не будете же вы всегда находиться возле компьютера, ожидая сообщения от LIDS?

Следующий этап настройки системы LIDS — это изменение пароля администратора системы LIDS. Для изменения пароля (точнее, установки нового пароля), введите команду:

lidsadm –P

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

2.9 Базовая функциональность оконного менеджера

Из книги Прикладные свободные программы и системы в школе автора Отставнов Максим

2.9 Базовая функциональность оконного менеджера Как уже говорилось, ключевой компонент графической платформы — Икс-сервер: — захватывает оборудование, — создает по запросу других программ (которые в этой терминологии называются X-клиентами) окна и — предоставляет


3.1 Базовая функциональность «Мозилла»

Из книги Свободные программы и системы в школе автора Отставнов Максим

3.1 Базовая функциональность «Мозилла» Браузер. Для просмотра страниц WWW и «хождения» по FTP-серверам предназначен компонент «Навигатор». На панели компонент «Мозилла» он изображается морским штурвалом (см. рис. 3-1). Рис. 3-1Все возможности программы доступны из меню,


3.1 Базовая функциональность «Мозилла»66

Из книги Asterisk™: будущее телефонии Второе издание автора Меггелен Джим Ван

3.1 Базовая функциональность «Мозилла»66 Браузер. Для просмотра страниц WWW и «хождения» по FTP-серверам предназначен компонент «Навигатор». На панели компонент «Мозилла» он изображается морским штурвалом (см. рис. 3-1). Рис. 3-1Все возможности программы доступны из меню,


Базовая конфигурация SIP-телефонов в Asterisk

Из книги Искусство программирования для Unix автора Реймонд Эрик Стивен

Базовая конфигурация SIP-телефонов в Asterisk Конфигурация SIP-телефона для работы с Asterisk не требует много усилий и времени. Однако здесь можно легко запутаться из-за обилия опций как в Asterisk, так и в конфигурации конкретного телефонного аппарата или программного телефона.


15.4.1. Базовая теория make

Из книги Основы объектно-ориентированного программирования автора Мейер Бертран

15.4.1. Базовая теория make При разработке программ на языках С или С++ важной частью для построения приложения является семейство команд компиляции и компоновки, необходимых для получения из файлов исходного кода работающих бинарных файлов. Ввод данных команд — длительная и


Базовая форма

Из книги Внедрение SAP R/3: Руководство для менеджеров и инженеров автора Кале Вивек

Базовая форма Программный объект довольно простое существо, если известен класс, которому он принадлежит. Пусть O - объект. По определению он является экземпляром некоторого класса. Точнее, он является прямым экземпляром (direct instance) только одного класса, например C. С


Базовая конфигурация и утверждение

Из книги Сетевые средства Linux автора Смит Родерик В.

Базовая конфигурация и утверждение Основной список бизнес-процессов (Business Process Master List, BPML) — это самое полное представление рамок проекта внедрения SAP. Конфигурация делится на две части — базовая конфигурация и окончательная конфигурация.Эти конфигурационные задания


Базовая конфигурация DNS

Из книги Самоучитель Skype. Бесплатная связь через Интернет автора Яковлева Е. С.

Базовая конфигурация DNS Установка конфигурации DNS предполагает решение двух задач: настройка сервера DNS (в пакете BIND функции сервера выполняет программа named) и администрирование домена. В данном разделе обсуждаются особенности выполнения первой задачи, а


Базовая архитектура Skype

Из книги Linux: Полное руководство автора Колисниченко Денис Николаевич

Базовая архитектура Skype Skype — программное обеспечение для VoIP, обеспечивающее бесплатную голосовую связь через Интернет между компьютерами, а также платные услуги для связи с абонентами обычной телефонной сети. В отличие от многих других программ IP-телефонии, для


Базовая сетка

Из книги Linux программирование в примерах автора Роббинс Арнольд

Базовая сетка В типографике базовой линией называют невидимую линию, на которой располагаются буквы. Например, нижний край буквы е лежит на базовой линии, а нижний выносной элемент буквы р находится под ней. Сетка образуется множеством базовых линий, расстояние между


5. Базовая раскрутка партнерки

Из книги Операционная система UNIX автора Робачевский Андрей М.

5. Базовая раскрутка партнерки Что делать для привлечения партнеров?? Рассказывайте о партнерской программе везде, на всех ваших сайтах – продающих и не продающих.? У профессионалов вы наверняка видели в конце каждого продающего текста или мини-сайта упоминание о


Базовая файловая система System V

Из книги Выжить в цифровом мире. Иллюстрированные советы от «Лаборатории Касперского» автора Дьяков Михаил

Базовая файловая система System V Каждый жесткий диск состоит из одной или нескольких логических частей, называемых разделами (partitions). Расположение и размер раздела определяются при форматировании диска. В UNIX разделы выступают в качестве независимых устройств, доступ к


Базовая архитектура драйверов

Из книги автора

Базовая архитектура драйверов Драйвер устройства адресуется старшим номером (major number) устройства. Напомним, что среди атрибутов специальных файлов устройств, которые обеспечивают пользовательский интерфейс доступа к периферии компьютера, это число присутствует наряду


Совет 46: Базовая защита

Из книги автора

Совет 46: Базовая защита Пожалуй, каждый обитатель собственного дома или владелец дачи хоть раз мечтал об автоматической оборонительной системе, способной удерживать на расстоянии выстрела воров и продавцов краденного садового инструмента, шумные компании малолетней