Установка способностей, параметры отправки сообщения, пароль администратора

При установке lidsadm в каталоге /etc появляется каталог lids, содержащий четыре файла с параметрами настройки LIDS:

lids.cap: В этом файле хранятся текущие значения установок способностей.
lids.net: Этот файл содержит настройки отправки сообщения на удаленный почтовый аккаунт.
lids.pw: Здесь записан в зашифрованном методом RipeMD-160 виде пароль администратора. Изменять этот файл можно только с помощью lidsadm!
lids.conf: Текущие установки правил доступа. Изменять этот файл можно только с помощью lidsadm!

Способности

Способности (capabilities) - это привилегии программ совершать какие-либо действия. LIDS позволяет устанавливать и отменять большое количество способностей. LIDS поддерживает способность перезагружать компьютер (CAP_SYS_BOOT), изменять владельца файла (CAP_CHOWN), загружать/выгружать модули ядра (CAP_SYS_MODULE) и многие другие.

Текущие установки способностей хранятся в файле /etc/lids/lids.cap в формате: [+|-] Номер:Способность. + включает способность, - - отключает, например +22:CAP_SYS_BOOT разрешает перезагрузку, -22:CAP_SYS_BOOT - запрещает. Изменять его можно (да и нужно) с помощью любого текстового редактора. Выключение способности влияет на все программы, кроме тех, которым напрямую указана данная способность с помощью правил доступа lidsadm. Включение способности влияет на все программы без исключения. Нельзя включить способность у всех программ, а у нескольких выключить. Первоначальное содержимое файла такое:


+0:CAP_CHOWN

+1:CAP_DAC_OVERRIDE

+2:CAP_DAC_READ_SEARCH

+3:CAP_FOWNER

+4:CAP_FSETID

+5:CAP_KILL

+6:CAP_SETGID

+7:CAP_SETUID

+8:CAP_SETPCAP

-9:CAP_LINUX_IMMUTABLE

-10:CAP_NET_BIND_SERVICE

+11:CAP_NET_BROADCAST

-12:CAP_NET_ADMIN

-13:CAP_NET_RAW

+14:CAP_IPC_LOCK

+15:CAP_IPC_OWNER

-16:CAP_SYS_MODULE

-17:CAP_SYS_RAWIO

-18:CAP_SYS_CHROOT

+19:CAP_SYS_PTRACE

+20:CAP_SYS_PACCT

-21:CAP_SYS_ADMIN

+22:CAP_SYS_BOOT

+23:CAP_SYS_NICE

+24:CAP_SYS_RESOURCE

+25:CAP_SYS_TIME

+26:CAP_SYS_TTY_CONFIG

+27:CAP_HIDDEN

+28:CAP_INIT_KILL

Остановлюсь поподробней на каждой из них:

CAP_CHOWN: С помощью этого параметра устанавливается способность программ изменять владельца и группу владельца файла.
CAP_DAC_OVERRIDE: Включает/отключает способность программ, запускаемых под root'ом, не принимать во внимание режимы доступа к файлам. Например, при включенной данной способности root может открыть и изменить файл, который принадлежит dh и имеет режим доступа 0600, при отключенной данной опции, root не в состоянии будет даже открыть данный файл. Короче говоря, root при отключении данной способности приравнивается к обыкновенному пользователю при доступе к файлам.:)
CAP_DAC_READ_SEARCH: Включает/отключает способность программ, запускаемых под root'ом, не принимать во внимание режимы доступа к каталогам (чтение и поиск).
CAP_FOWNER: Запрещает/разрешает операции с файлами, когда владелец файла должен совпадать с пользователем, совершающим операцию. Например, изменение режима доступа к файлу (chmod). Режим доступа может изменять либо владелец файла, либо root. При отключении этой способности, root уже будет не в состоянии изменить режим доступа.:) То же относится к изменению атрибутов файлов (chattr).
CAP_FSETID: Запрещает/разрешает установку SUID'ного или SGID'ного бита на чужих файлах (не принадлежащих root'у).
CAP_KILL: Включает/отключает способность root'овых процессов убивать чужие процессы.
CAP_SETGID: Управляет способностью root'овых программ сменять группу, под которой работает программа. Так работает, например, httpd, sendmail, postfix, ftpd, safe_finger и т.д.
CAP_SETUID: Управляет способностью root'овых программ сменять пользователя, под которым работает программа.
CAP_SETPCAP: Включает/отключает способность программ менять способности.
CAP_LINUX_IMMUTABLE: Управляет способностью снимать атрибуты S_IMMUTABLE (chattr -i) и S_APPEND (chattr -a) с файлов. Рекомендуется отключить данную способность.
CAP_NET_BIND_SERVICE: Включает/отключает способность программ привязываться к порту с номером <1024.
CAP_NET_BROADCAST: Управляет способностью программ рассылать широковещательные пакеты.
CAP_NET_ADMIN: Этот параметр управляет большим количеством различных способностей: конфигурирование сетевых интерфейсов, изменение правил firewall'а, изменение таблиц routing'а и многих других, связанных с сетевыми настройками Linux. Рекомендуется отключить данную способность.
CAP_NET_RAW: Управляет способностью программ использовать сокет-соединения.
CAP_IPC_LOCK: Управляет способностью root'овых процессов блокировать сегменты разделяемой памяти.
CAP_IPC_OWNER: Управляет доступом root'овых программ к ресурсам межпроцессорного взаимодействия чужих процессов.
CAP_SYS_MODULE: Управляет способностью загружать/выгружать модули ядра. Рекомендуется отключить данную способность.
CAP_SYS_RAWIO: Управляет доступом на чтение-запись к таким устройствам, как /dev/mem,/dev/kmem,/dev/port, /dev/hd??, /dev/sd??. Рекомендуется отключить данную способность.
CAP_SYS_CHROOT: Управляет способностью устанавливать корневой каталог для текущего shell'а. Рекомендуется отключить данную способность.
CAP_SYS_PTRACE: Данный параметр включает/отключает способность программ использовать вызов функции ptrace(), которая позволяет управлять выполнением процессов-потомков процессу-родителю. Для более подробной информации смотри man ptrace.
CAP_SYS_PACCT: Управляет способностью конфигурировать учет процессов. Для более подробной информации смотри man ac, man lastcomm, man accton, man sa. Рекомендуется отключить данную способность.
CAP_SYS_ADMIN: Управляет множеством способностей: управление /dev/random, создание новых устройств, конфигурирование дисковых квот, настройка работы klogd, установка имени домена, установка имени хоста, сброс кэша, монтирование/размонтирование дисков, включение/отключение swap-партиции, установка параметров последовательных портов и др. Рекомендуется отключить данную способность.
CAP_SYS_BOOT: Данный параметр управляет способностью перегружать систему.
CAP_SYS_NICE: Управляет способностью изменять приоритет чужих процессов. Рекомендуется выключить данную способность.
CAP_SYS_RESOURCE: Способность изменять лимиты использования ресурсов системы: дисковые квоты, зарезервированное пространство на ext2-партициях, максимальное количество консолей и т.д. Рекомендуется выключить данную способность.
CAP_SYS_TIME: Управляет способностью изменять системное время. Рекомендуется выключить данную способность.
CAP_SYS_TTY_CONFIG: Способность изменять настройки tty-устройств.
CAP_HIDDEN: Способность программ делаться невидимыми в списке процессов. Не влияет на все программы. Рекомендуется включить данную опцию.
CAP_INIT_KILL: Способность убивать процессы-потомки процесса init. К таким процессам относятся практически все демоны.

Первоначально можно установить следующие настройки:


+0:CAP_CHOWN

+1:CAP_DAC_OVERRIDE

+2:CAP_DAC_READ_SEARCH

+3:CAP_FOWNER

+4:CAP_FSETID

+5:CAP_KILL

+6:CAP_SETGID

+7:CAP_SETUID

+8:CAP_SETPCAP

+9:CAP_LINUX_IMMUTABLE

+10:CAP_NET_BIND_SERVICE

+11:CAP_NET_BROADCAST

+12:CAP_NET_ADMIN

+13:CAP_NET_RAW

+14:CAP_IPC_LOCK

+15:CAP_IPC_OWNER

-16:CAP_SYS_MODULE

-17:CAP_SYS_RAWIO

+18:CAP_SYS_CHROOT

+19:CAP_SYS_PTRACE

+20:CAP_SYS_PACCT

-21:CAP_SYS_ADMIN

+22:CAP_SYS_BOOT

+23:CAP_SYS_NICE

+24:CAP_SYS_RESOURCE

+25:CAP_SYS_TIME

+26:CAP_SYS_TTY_CONFIG

+27:CAP_HIDDEN

+28:CAP_INIT_KILL

Это защитит систему от простейших атак, а остальное меняй на свое усмотрение.

Для первоначальной (в процессе загрузки) инициализации параметров способностей используется команда lidsadm -I. Обычно ее ставят в какой-нибудь rc-скрипт, после запуска всех демонов. Можно поставить ее в конце /etc/rc.d/rc.local. Таким образом, отключение способностей сработает только после запуска всех необходимых для работы сервера программ. Например, если ты отключил CAP_NET_ADMIN - это никак не повлияет на инициализацию твоих сетевых интерфейсов lo, ethX, pppX и т.д. при начальной загрузке.

Параметры отправки сообщения

Файл /etc/lids/lids.net, отвечающий за параметры отправки сообщения о нарушении безопасности, состоит из строк, имеющих следующий формат:


ПАРАМЕТР=ЗНАЧЕНИЕ_ПАРАМЕТРА

Параметры могут быть следующие:

MAIL_SWITCH: Данный параметр показывает, включена (значение 1) или отключена (значение 0) функция отправки сообщения.

MAIL_SWITCH=1
MAIL_RELAY: Здесь указывается IP и порт удаленного или локального smtp сервера в формате IP:ПОРТ. Рекомендуется использовать удаленный smtp-сервер.

MAIL_RELAY=127.0.0.1:25
MAIL_SOURCE: Указывается имя хоста, с которого отправляется сообщение.

MAIL_SOURCE=localhost
MAIL_FROM: Указывается адрес отправителя.

MAIL_FROM=LIDS@my_domain.com
MAIL_TO: Адрес получателя.

MAIL_TO=someone@other_domain.com
MAIL_SUBJECT: Тема сообщения.

MAIL_SUBJECT=SOS! I'm cracked!

Пароль администратора

Пароль администратора вводится при запуске команды lidsadm -P. В отличие от предыдущих версий LIDS, где пароль забивался в ядро, в версии 0.9.8 пароль можно менять периодически, что повышает безопасность.


# lidsadm -P

MAKE PASSWD

enter password:

Verifying enter password:

Writed password into the files

В файле /etc/lids/lids.pw появилось слово из 32 символов - это и есть твой пароль в зашифрованном виде.

Следующий шаг - прописывание правил доступа.

Содержание

(c)Ерижоков А.А., 2000.
Использование данного документа разрешено только с согласия автора и с указанием первоисточника: DH's Linux Site