Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Администрирование LIDS.

Рубрика: Безопасность -> Управление доступом
Метки: | |
Четверг, 9 июля 2009 г.
Просмотров: 2031
Подписаться на комментарии по RSS

     Так как конфигурирование ядра уже было рассмотрено ранее, теперь можно заняться конфигурированием пользовательского уровня. Как и Grsecurity, LIDS позволяет управлять тем, как файлы и процессы будут взаимодействовать в системе. Кроме данного, LIDS предоставляет две очень полезные функции: LFS и «опечатывание» ядра.

     «Опечатывание» ядра (sealing the kernel).

     Загружаемые модули бывают полезны, так как они позволяют добавлять код в ядро во время выполнения ядра и без его перекомпиляции. Но, как было показано в главе 2, крекер может добавлять в ядро свои собственные модули, что крайне нежелательно. Особенно, самое лучшее решение - включить нужный код в состав ядра и отключить совсем поддержку загружаемых модулей, но вряд ли это решение будет удоб­ным.

     LIDS предлагает концепцию «опечатывания» ядра. В отдельных случаях ядро «опечатано», никто не может загрузить или выгрузить модуль. Опечатать ядро нужно с помощью команды lidsadm -I. Данную команду надо поместить в сце­нарии загрузки системы, только нужно убедиться, что до команды lidsadm -I все важные модули загружены.


     «Опечатывание» ядра предусматривает ограничения набора возмож­ностей, о чем будет написанно позже.

     LFS (LIDS-free Sessions) - сессии без LIDS.

     LFS - это лишь оболочка, на выполнение команд которой не накладываются ограничения LIDS. Это дает возможность администратору работать в сис­теме в обычном режиме, без выключения ключевой системы безопасности - ведь если система LIDS включена, то ограничения накладываются даже на поль­зователя root. Однако LFS потенциально опасна: ведь если хакеру удастся получить доступ к LFS, то он получит полный контроль над системой - вплоть до отключения LIDS.

Доступ к LFS контролируется установленным ранее паролем. Дополни­тельно при настройке ядра нужно указать терминалы, с которых разрешается доступ к LFS (очень хорошее решение).

     Решающее распределение LFS - это разрешение администратору править файлы в каталоге /etc/lids, который недоступен во время деятельности LIDS даже пользователю root. В конкретном каталоге находятся следующие файлы:

  • lids.cap — ограниченный набор возможностей;
  • lids.conf — ACL;
  • lids.pw — пароль администратора LIDS;
  • lids.ini — начальные конфигурационные значения.

     Lidsadm - пограмма администрирования LIDS.

     Администрирование LIDS выполняется программой lidsadm. Рассмотрим опции программы:

  • -Р: зашифровывать пароль LIDS, например lidsadm -P mypassword.
  • -S: изменить аспект защиты LIDS.
  • -I: «опечатать» ядро. Для этой опции не нужен пароль.
  • -V: просмотр состояния системы.
  • -h: вывести краткую справку.
  • -v: вывести версию lidsadm.

     Опция -S применяется наряду с одним из следующих флагов, предварен­ным знаком + (включить) или знаком (-) выключить:

  • LIDS_GLOBAL — включить/выключить LIDS глобально.
  • RELOAD_CONF — перезагрузить файл lids.conf и обновить список защищенных инодов.
  • LIDS — включить/выключить LIDS локально, то есть создать LFS. LFS будет применена только к текущей оболочке.
  • ACL DISCOVERY — используется для отладки; когда включена, нарушения правил не запрещаются.
  • SHUTDOWN — переключается в состояние shutwodn.

     Например, чтобы войти в LFS, нужно выполнить команду:

# lidsadm -S - -LIDS

     Чтобы выключить защиту LIDS:

# lidsadm -S - -LIDS GLOBAL

Еще записи по теме

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)


(обязательно)