Установка инструментов для LIDS

Для обеспечения легкой настройки LIDS-а используются специальные инструменты, а именно команды «lidsadm» и «lidsconf» (в более старых версиях LIDS-а была только одна команда «lidsadm» которая выполняла функции администрирования и настройки, теперь же данные функции выполняют различные команды, что по-моему более удобнее). Для того чтобы проинсталлировать данные инструменты зайдите в папку с LIDS-ом и введите следующие команды:

# ./configure
# make
# make install

после чего вас попросят установить пароль на
LIDS для того, чтобы только вы смогли администрировать его, поэтому постарайтесь использовать пароль не меньше 6 символов и запомнить его.

Общая информация

Все конфигурационные файлы LIDS-а, находятся в папке /etc/lids. Обычно их
4:

lids.cap
Содержит текущие настройки способностей (capabilities). Может редактироваться вручную или с помощью команды
"lidsadm".

lids.conf 
Файл содержит все настройки LIDS-а. И редактируется только командой
"lidsconf".

lids.pw 
Содержит зашифрованный пароль. Пароль шифруется методом RipeMD-160 (в последующих версиях метод шифрования собираются сменить). Редактировать данный файл можно только непосредственно командой «lidsadm». В старых версиях LIDS-а пароль нельзя было поменять не
перекомпилив ядро (так как он вшивался в него), но теперь вы сможете менять пароль сколько захотите, чем чаще вы его меняете тем лучше.

lids.net 
хранит настройки почтового клиента, который будет производить отправку логов и предупреждений. Редактируется с помощью текстового редактора.

Дальше мы детально будим разбирать каждый файл.

Настройка способностей

Способности (capabilities) — возможность программ совершать какие то определенные действия в системе, с выпуском новых версий LIDS-а их количество увеличивается (в версии которую мы рассматриваем их 31 штука). Вы можете сами выбрать какие именно действия разрешить, а какие запретить, редактируя соответствующий файл «/etc/lids/lids.cap». Формат данного файла таков :

# описание способности, на какие действия она влияет etc.
+|-:номер способности:название способности

+/- — включает/отключает определенную способность, с остальными параметрами вроде все ясно :). 

Первоначально файл lids.cap содержит настройку способностей, которую предлагают вам разработчики LIDS-а, вы можете использовать ее или создать свою.
Ниже приведен мой вариант настройки способностей и описание к каждой из них (в качестве слова пользователи подразумеваются все пользователи вместе с root-ом) :

### 0: Разрешает/Запрещает способность программ изменять владельца и
### 0: группу владельца файла. Я разрешил использование данной способности, но вы можете
### 0: отключить ее.
#
+0:CAP_CHOWN

### 1: Разрешает/Запрещает способность программ запускаемых, в данном
### 1: случае под root’ом, не принимать во внимание режимы доступа к
### 1: файлам, то есть если данная способность включена и какой-то
### 1: пользователь выставил на файл права доступа только для чтения, то
### 1: никто даже рут не сможет произвести в него запись.
#
-1:CAP_DAC_OVERRIDE

### 2: Разрешает/Запрещает способность программ запускаемых кем угодно
### 2: принимать во внимание права доступа на каталоги/файлы при поиске
### 2: или чтении.
#
-2:CAP_DAC_READ_SEARCH

### 3: Разрешает/Запрещает пользователям, производить операции
### 3: над чужими файлами, или изменять их атрибуты.
#
-3:CAP_FOWNER

### 4: Разрешает/Запрещает пользователям производить установку SUID’ного или
### 4: SGID’ного бита на чужие файлы.
#
+4:CAP_FSETID

### 5: Разрешает/Запрещает пользователям прибивать чужие процессы.
#
+5:CAP_KILL

### 6: Разрешает/Запрещает способность программ сменять пользователя, под
### 6: которой она работает.
#
+6:CAP_SETGID

### 7: Разрешает/Запрещает способность программ сменять группу под
### 7: которой они работают.
#
+7:CAP_SETUID

### 8: Разрешает/Запрещает способность передавать каким либо программам способности
### 8: (при создании правил вы поймете что это означает, а пока данную способность лучше 
### 8: разрешить).
#
+8:CAP_SETPCAP

### 9: Разрешает/Запрещает производить изменения атрибутов
### 9: S_IMMUTABLE (chattr -i) и S_APPEND (chattr -a) над файлами. Есть
### 9: что-то схожее со способностью CAP_FOWNER.
#
-9:CAP_LINUX_IMMUTABLE

### 10: Разрешает/Запрещает способность программ привязываться к привилегированным
### 10: портам, то есть портам номера которых < 1024.
#
+10:CAP_NET_BIND_SERVICE

### 11: Разрешает/Запрещает способность программ производить рассылку
### 11: (широко/мульти)вещательных пакетов.
#
-11:CAP_NET_BROADCAST

### 12: Разрешает/Запрещает пользователям производить сетевые настройки, такие как:
### 12: -конфигурация сетевых интерфейсов
### 12: -конфигурация правил файрволла,
### 12: -установка отладочных опций для сокетов
### 12: -модификация таблиц роутинга
### 12: -изменять значение TOS (type of service) поля в заголовках айпи пакетов
### 12: и т.д.
#
-12:CAP_NET_ADMIN

### 13: Разрешает/Запрещает способность программы использовать сокет соединения.
#
-13:CAP_NET_RAW

### 14: Разрешает/Запрещает способность пользовательских процессов блокировать общедоступные
### 14: сегменты разделяемой памяти.
#
+14:CAP_IPC_LOCK

### 15: Разрешает/Запрещает способность доступа пользовательских программ к ресурсам
### 15: межпроцессорного взаимодействия чужих процессов.
#
+15:CAP_IPC_OWNER

### 16: Разрешает/Запрещает способность загружать/выгружать модули.
#
-16:CAP_SYS_MODULE

### 17: Разрешает/Запрещает доступ к таким устройствам: ioperm/iopl, /dev/port, /dev/mem, /dev/kmem, ### 17: /dev/[sh]d*
#
-17:CAP_SYS_RAWIO

### 18: Разрешает/Запрещает использование chroot() команды.
#
-18:CAP_SYS_CHROOT

### 19: Разрешает/Запрещает способность процессов родителей контролировать процессы
### 19: потомков, сюда относят функции fork, exec и т.д.
#
-19:CAP_SYS_PTRACE

### 20: Разрешает/Запрещает способность конфигурировать учет процессов.
#
-20:CAP_SYS_PACCT

### 21: Разрешает/Запрещает пользователям/программам производить действия
### 21: связанные с системным администрированием, а именно:
### 21: — конфигурацию и доступ к /dev/random устройству
### 21: — созданию новых устройств с помощью mknod
### 21: — конфигурацию дисковых квот
### 21: — конфигурацию syslog-а ядра (демон klogd).
### 21: — устанавливать имя домена/хоста
### 21: — использование bdflush()
### 21: — производить монтирование/размонтирование чего либо, включая
### 21: создание новых smb соединений
### 21: и т.д.
#
-21:CAP_SYS_ADMIN

### 22: Разрешает/Запрещает производить перезагрузку системы.
#
+22:CAP_SYS_BOOT

### 23: — Разрешает/Запрещает пользователям изменять приоритет чужих процессов.
#
-23:CAP_SYS_NICE

### 24: Разрешает/Запрещает изменять лимиты на системные ресурсы, а именно:
### 24: — на квоты
### 24: — свободное место на файловой системе ext2
### 24: — максимальное количество консолей
### 24: и т.д.
#
-24:CAP_SYS_RESOURCE

### 25: Разрешает/Запрещает производить какие либо манипуляции с системным временем.
#
-25:CAP_SYS_TIME

### 26: Разрешает/Запрещает производить конфигурацию tty устройств (терминалов).
#
-26:CAP_SYS_TTY_CONFIG

### 27: Разрешает/Запрещает способность использования mknod(), тоесть создавать
### 27: новые устройства.
#
-27:CAP_MKNOD

### 28: Разрешает/Запрещает способность брать/создавать файлы на совместное использование.
###
+28:CAP_LEASE

### 29: Разрешает/Запрещает способность процессов делаться невидимыми.
#
-29:CAP_HIDDEN

### 30: Разрешает/Запрещает способность убивать дочерние процессы,
### 30: демона init (он обычно производит загрузку всех остальных демонов).
#
+30:CAP_INIT_KILL

После того как вы настроили способности вашей системы, вы сможете перейти к следующему этапу настройки LIDS-а.

Настройка почтового клиента

Если вы при настройке ядра включили опцию «Send security alerts through network», то тогда вы должны
будете настроить почтовый клиент который будет производить отправку логов/сообщений/ошибок LIDS-a в соответствии с вашими нуждами. Для настройки почтового клиента вам всего лишь нужно будет отредактировать файл «lids.net». Ниже приведен пример данного файла с пояснениями:

# Включает/выключает отправку логов/сообщений/ошибок LIDS-a
# 1 — включена
# 0 — выключена
MAIL_SWITCH= 1

# Указывает на SMTP сервер и порт, через который будут отправляться письма
MAIL_RELAY=127.0.0.1:25

# Указывает на исходящий айпи/домен, с которого будут отсылаться письма
MAIL_SOURCE=localhost.localdomain

# Указывает на е-мэйл с которого будет приходить письма
MAIL_FROM= LIDS_ALERT@localhost.localdomain

# Указывает е-мэйл на который будет приходить почта
MAIL_TO= root@localhost.localdomain

# Тема приходящих писем
MAIL_SUBJECT= LIDS ALert

Вот и все! Трудностей по моему возникнуть не должно.

(продолжение следует)

Оставить мнение

Check Also

Безопасность превыше всего. 9 простых трюков, которые сделают жизнь линуксоида секьюрнее

Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества ма…