Linux-сервер своими руками
Шрифт:
В первом из них хранятся текущие установки способностей (cap — от capabilities— способности). О том, что такое способности, мы поговорим немного позже.
Во втором файле (lids.net) находятся установки для отправки сообщений электронной почты. В третьем (lids.pw) — пароль в зашифрованном виде. Система LIDS использует метод шифрования RipeMD-160. Пароль можно изменить только с помощью программы lidsadm. В последнем файле определяются правила доступа. Этот файл можно изменять только с помощью программы lidsadm.
[+/-]номер:название
Если в первом поле установлен знак «+», значит эта способность включена. Номер — это просто порядковый номер способности. Название определяет действие, разрешенное или запрещенное программам. Выключение способности распространяется на все
Способности Таблица 8.10
| Способность | Описание |
|---|---|
| CAP_CHOWN | Разрешает (или запрещает, если способность выключена) программам изменять группу и владельца файла. Далее подразумевается, что рассматриваемая способность включена и если ее отключить, то данное действие будет недоступно программам |
| CAP_DAC_OVERRIDE | Программы, запускаемые пользователем root, не будут принимать во внимание права доступа к файлам. Например, если режим доступа к файлу пользователя равен 0600, то даже root не сможет открыть его (получить доступ к файлу) |
| CAP_DAC_READ_SEARCH | То же самое, но для каталогов (режимы доступа: чтение и поиск) |
| CAP_FOWNER | Запрещает операции с файлами, если идентификатор владельца файла не совпадает с идентификатором пользователя, который выполняет операцию |
| CAP_FSETID | Разрешает установку битов SUID и SGID для файлов, не принадлежащих пользователю root |
| CAP_KILL | Разрешает процессам пользователя root завершать («убивать») процессы других пользователей |
| CAP_SETGID | Разрешает программам изменять группу, под которой они работают. Программа должна быть запущена пользователем root. Эту возможность используют программы: httpd, sendmail, safe_mysql, safe_finger, postfix, ftpd |
| CAP_SETUID | Разрешает программам изменять пользователя, под которым они работают. Программа должна быть запущена пользователем root |
| CAP_SETPCAP | Включает способность программ редактировать способности |
| CAP_LINUX_IMMUTABLE | Отключите данную способность. Эта способность относится к таким атрибутам файлов, как S_IMMUTABLE (команда chattr –i) и S_APPEND (chattr –a) |
| CAP_NET_BIND_SERVICE | Разрешает программам прослушивать порты с номерами, меньшими 1024 |
| CAP_NET_BROADCAST | Разрешает программам отправлять широковещательные пакеты |
| CAP_NET_ADMIN | Эта способность относится к сетевому администрированию: конфигурирование сетевых интерфейсов, изменение таблиц маршрутизации ядра, правил firewall и т.п. |
| CAP_NET_RAW | Разрешает программам использовать сокет-соединения (Raw Unix Socket) |
| CAP_IPC_LOCK | Разрешает
|
| CAP_IPC_OWNER | Разрешает процессам пользователя root вмешиваться в межпроцессорное взаимодействие процессов других пользователей |
| CAP_SYS_MODULE | Управляет способностью загружать (выгружать) модули ядра. Отключите данную способность |
| CAP_SYS_RAWIO | Управление доступом к файлам устройств, например, /dev/mem, /dev/hd*, /dev/sd*. Другими словами, разрешает прямой ввод/вывод |
| CAP_SYS_CHROOT | Разрешает изменять корневой каталог в процессе работы пользователя. Отключите данную способность |
| CAP_SYS_PTRACE | Разрешает программа использовать функцию ptrace. Включите данную способность |
| CAP_SYS_PACCT | Управляет способностью конфигурировать учет процессов. Отключите данную способность |
| CAP_SYS_ADMIN | Управляет способностью изменения многих системных параметров: от установления имени компьютера до монтирования дисков. Отключите данную способность, иначе ничего не сможете сделать в системе |
| CAP_SYS_BOOT | Управляет способностью перезагружать машину |
| CAP_SYS_NICE | Управляет способностью изменять приоритет процессов других пользователей |
| CAP_SYS_RESOURCE | Данная способность относится ко всевозможным ограничениям системных ресурсов, например, дисковые квоты, количество консолей. Выключите данную способность |
| CAP_SYS_TIME | Разрешает изменять системное время |
| CAP_SYS_TTY_CONFIG | Разрешает изменять настройки консолей |
| CAP HIDDEN | Разрешает программам становиться невидимыми в списке процессов |
| CAP_INIT_KILL | Разрешает «убивать» потомков процесса init. К потомкам относятся практически все демоны, запущенные при запуске системы |
Для инициализации способностей используются команды lidsadm –I. Эту команду обычно помещают в сценарии автозагрузки системы, например, rc.lосаl, и, как правило, эта команда должна быть последней, чтобы могли беспрепятственно загрузиться демоны и инициализироваться сетевые интерфейсы.
Теперь перейдем к настройке параметров отправления сообщений электронной почты. Эти параметры, как уже было отмечено, находятся в файле lids.net (см. листинг 8.16).
Первый параметр включает (1) или отключает (0) функцию отправки сообщения. Параметр MAIL_RELAY определяет IP-адрес сервера SMTP и порт сервиса SMTP. MAIL_SOURCE — это источник почты, то есть узел, отправивший сообщение. Параметр MAIL_FROM устанавливает адрес отправителя, а MAIL_TO — адрес получателя. MAIL_SUBJECT — это тема сообщения.
В качестве адреса получателя рекомендую установить номер мобильного телефона, точнее e-mail-адрес, который сопоставлен с вашим номером телефона. Этот адрес можно узнать у вашего оператора мобильной связи. В этом случае сообщение о вторжении будет отправлено по SMS прямо на мобильный телефон, что очень удобно — не будете же вы всегда находиться возле компьютера, ожидая сообщения от LIDS?
Следующий этап настройки системы LIDS — это изменение пароля администратора системы LIDS. Для изменения пароля (точнее, установки нового пароля), введите команду:
8.9.4. Правила доступа
Правила доступа системы LIDS чем-то напоминают правила бастиона, но данные правила распространяются не на пакеты, а на программы. Правила доступа хранятся в файле lids.conf и редактировать этот файл можно только с помощью программы lidsadm. Первоначально у вас уже установлены определенные правила, просмотреть которые вы можете с помощью команды:
Обновить правила вы можете с помощью команды:
Я рекомендую вам очистить все правила и создать собственные. К тому же, первоначально установленные правила у вас не будут работать, так как кроме имени файла система LIDS также использует и номер mode, а в вашей системе номера информационных узлов (inodes) будут отличаться от номеров узлов на машине разработчиков LIDS. Очистить правила можно с помощью команды:
Правила состоят из трех частей:
1. Объекта.
2. Субъекта.