Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Lidsadm

ACL файлов в LIDS.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 09/07/2009 15:20:11
Подписаться на комментарии по RSS

В LIDS есть два типа ACL:

  • ACL файлов — контролирует доступ к файлам и каталогам.
  • ACL возможностей — регулирует возможности исполнимых файлов.

     ACL файлов.

     LIDS определяет четыре режима для объектов:

  • DENY - доступ к файлу запрещен. При обращении приложения (к примеру, Is или cat) к этому файлу, оно получит сообщение об ошибке "No such file or directory" (ENOET) - «Нет такого файла или каталога». Внешне будет выглядеть так, как будто файла не сущест­вует.
  • READ - объект может быть открыт исключительно в режиме «толь­ко чтение», запись запрещена.
  • WRITE — чтение и запись не ограничивается. LIDS не защищает этот файл.

Далее...

Администрирование LIDS.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 09/07/2009 14:18:24
Подписаться на комментарии по RSS

     Так как конфигурирование ядра уже было рассмотрено ранее, теперь можно заняться конфигурированием пользовательского уровня. Как и Grsecurity, LIDS позволяет управлять тем, как файлы и процессы будут взаимодействовать в системе. Кроме данного, LIDS предоставляет две очень полезные функции: LFS и «опечатывание» ядра.

     «Опечатывание» ядра (sealing the kernel).

     Загружаемые модули бывают полезны, так как они позволяют добавлять код в ядро во время выполнения ядра и без его перекомпиляции. Но, как было показано в главе 2, крекер может добавлять в ядро свои собственные модули, что крайне нежелательно. Особенно, самое лучшее решение - включить нужный код в состав ядра и отключить совсем поддержку загружаемых модулей, но вряд ли это решение будет удоб­ным.

     LIDS предлагает концепцию «опечатывания» ядра. В отдельных случаях ядро «опечатано», никто не может загрузить или выгрузить модуль. Опечатать ядро нужно с помощью команды lidsadm -I. Данную команду надо поместить в сце­нарии загрузки системы, только нужно убедиться, что до команды lidsadm -I все важные модули загружены.

Далее...