При установке lidsadm в каталоге /etc появляется каталог lids, содержащий четыре файла с параметрами настройки LIDS:
Способности (capabilities) - это привилегии программ совершать какие-либо действия. LIDS позволяет устанавливать и отменять большое количество способностей. LIDS поддерживает способность перезагружать компьютер (CAP_SYS_BOOT), изменять владельца файла (CAP_CHOWN), загружать/выгружать модули ядра (CAP_SYS_MODULE) и многие другие.
Текущие установки способностей хранятся в файле /etc/lids/lids.cap в формате: [+|-] Номер:Способность. + включает способность, - - отключает, например +22:CAP_SYS_BOOT разрешает перезагрузку, -22:CAP_SYS_BOOT - запрещает. Изменять его можно (да и нужно) с помощью любого текстового редактора. Выключение способности влияет на все программы, кроме тех, которым напрямую указана данная способность с помощью правил доступа lidsadm. Включение способности влияет на все программы без исключения. Нельзя включить способность у всех программ, а у нескольких выключить. Первоначальное содержимое файла такое:
+0:CAP_CHOWN
+1:CAP_DAC_OVERRIDE
+2:CAP_DAC_READ_SEARCH
+3:CAP_FOWNER
+4:CAP_FSETID
+5:CAP_KILL
+6:CAP_SETGID
+7:CAP_SETUID
+8:CAP_SETPCAP
-9:CAP_LINUX_IMMUTABLE
-10:CAP_NET_BIND_SERVICE
+11:CAP_NET_BROADCAST
-12:CAP_NET_ADMIN
-13:CAP_NET_RAW
+14:CAP_IPC_LOCK
+15:CAP_IPC_OWNER
-16:CAP_SYS_MODULE
-17:CAP_SYS_RAWIO
-18:CAP_SYS_CHROOT
+19:CAP_SYS_PTRACE
+20:CAP_SYS_PACCT
-21:CAP_SYS_ADMIN
+22:CAP_SYS_BOOT
+23:CAP_SYS_NICE
+24:CAP_SYS_RESOURCE
+25:CAP_SYS_TIME
+26:CAP_SYS_TTY_CONFIG
+27:CAP_HIDDEN
+28:CAP_INIT_KILL
Остановлюсь поподробней на каждой из них:
Первоначально можно установить следующие настройки:
+0:CAP_CHOWN
+1:CAP_DAC_OVERRIDE
+2:CAP_DAC_READ_SEARCH
+3:CAP_FOWNER
+4:CAP_FSETID
+5:CAP_KILL
+6:CAP_SETGID
+7:CAP_SETUID
+8:CAP_SETPCAP
+9:CAP_LINUX_IMMUTABLE
+10:CAP_NET_BIND_SERVICE
+11:CAP_NET_BROADCAST
+12:CAP_NET_ADMIN
+13:CAP_NET_RAW
+14:CAP_IPC_LOCK
+15:CAP_IPC_OWNER
-16:CAP_SYS_MODULE
-17:CAP_SYS_RAWIO
+18:CAP_SYS_CHROOT
+19:CAP_SYS_PTRACE
+20:CAP_SYS_PACCT
-21:CAP_SYS_ADMIN
+22:CAP_SYS_BOOT
+23:CAP_SYS_NICE
+24:CAP_SYS_RESOURCE
+25:CAP_SYS_TIME
+26:CAP_SYS_TTY_CONFIG
+27:CAP_HIDDEN
+28:CAP_INIT_KILL
Это защитит систему от простейших атак, а остальное меняй на свое усмотрение.
Для первоначальной (в процессе загрузки) инициализации параметров способностей используется команда lidsadm -I. Обычно ее ставят в какой-нибудь rc-скрипт, после запуска всех демонов. Можно поставить ее в конце /etc/rc.d/rc.local. Таким образом, отключение способностей сработает только после запуска всех необходимых для работы сервера программ. Например, если ты отключил CAP_NET_ADMIN - это никак не повлияет на инициализацию твоих сетевых интерфейсов lo, ethX, pppX и т.д. при начальной загрузке.
Файл /etc/lids/lids.net, отвечающий за параметры отправки сообщения о нарушении безопасности, состоит из строк, имеющих следующий формат:
ПАРАМЕТР=ЗНАЧЕНИЕ_ПАРАМЕТРА
Параметры могут быть следующие:
MAIL_SWITCH=1
MAIL_RELAY=127.0.0.1:25
MAIL_SOURCE=localhost
MAIL_FROM=LIDS@my_domain.com
MAIL_TO=someone@other_domain.com
MAIL_SUBJECT=SOS! I'm cracked!
Пароль администратора вводится при запуске команды lidsadm -P. В отличие от предыдущих версий LIDS, где пароль забивался в ядро, в версии 0.9.8 пароль можно менять периодически, что повышает безопасность.
# lidsadm -P
MAKE PASSWD
enter password:
Verifying enter password:
Writed password into the files
В файле /etc/lids/lids.pw появилось слово из 32 символов - это и есть твой пароль в зашифрованном виде.
Следующий шаг - прописывание правил доступа.
(c)Ерижоков А.А., 2000.
Использование данного документа разрешено только с согласия автора и с указанием первоисточника:
DH's Linux Site