LIDS система обнаружения и защиты от вторжения


Правила доступа - часть 2


Объектом является любой файл или каталог, на который и должны действовать правила доступа и защита LIDS. Если в качестве объекта указывается каталог, то все файлы в нем и вложенные каталоги с их файлами автоматически становятся объектами. Субъектом является любая защищенная программа, которой дают доступ к защищаемому объекту, т.е. прежде чем использовать программу в качестве субъекта, ее саму надо защитить средствами LIDS от посягательств, применив к ней правила доступа как к объекту. Если субъект не указан, то субъектом является любая программа. Целью является тип доступа - доступ на чтение (READ), запись (WRITE), запрет на какой-либо доступ (DENY), открытие только для дозаписи (APPEND) и игнорирование защиты (IGNORE). Не слишком замудренно?:) Покажу на примерах.

Добавление нового правила происходит по команде:

LIDSadm -A -s субъект -o объект -j цель

Для начала необходимо защитить каталоги /bin, /sbin, /etc, /usr/bin, /usr/sbin, /lib, /boot определив для них доступ только на чтение всем программам.

LIDSadm -A -o /bin -j READ LIDSadm -A -o /sbin -j READ LIDSadm -A -o /etc -j READ LIDSadm -A -o /usr/bin -j READ LIDSadm -A -o /usr/sbin -j READ LIDSadm -A -o /lib -j READ LIDSadm -A -o /boot -j READ

Данные настройки защитят систему от установки rootkit'а или какого другого "трояна". Но в Linux'е есть программы, которые пишут в вышеперечисленные каталоги. Например, /bin/mount, /bin/umount, /sbin/fsck.ext2 пишут в файл /etc/mtab и создают временные файлы в /etc. В каталог /etc также пишут /etc/rc.d/rc.local (создает файлы /etc/issue и /etc/issue.net) и /etc/rc.d/rc.sysinit (очищает /etc/mtab и создает /etc/HOSTNAME). Лучше закомментировать строки, отвечающие за запись в /etc в этих скриптах. Но можно и дать им доступ - хуже не будет. В каталог /lib/modules/2.2.16-5tr пишет /sbin/depmod (пересоздает /lib/modules/2.2.16-5tr/modules.dep, название каталога зависит от версии твоего ядра). Таким образом получается:

LIDSadm -A -s /bin/mount -o /etc -j WRITE LIDSadm -A -s /bin/umount -o /etc -j WRITE LIDSadm -A -s /sbin/fsck.ext2 -o /etc/mtab -j WRITE LIDSadm -A -s /etc/rc.d/rc.local -o /etc -j WRITE LIDSadm -A -s /etc/rc.d/rc.sysinit -o /etc/HOSTNAME -j WRITE LIDSadm -A -s /etc/rc.d/rc.sysinit -o /etc/mtab -j WRITE LIDSadm -A -s /sbin/depmod -o /lib/modules/2.2.16-5tr -j WRITE




Начало  Назад  Вперед