LIDS система обнаружения и защиты от вторжения

           

отключает способность программ, запускаемых под


CAP_DAC_READ_SEARCH

    Включает/ отключает способность программ, запускаемых под root'ом, не принимать во внимание режимы доступа к каталогам (чтение и поиск).


CAP_FOWNER

    Запрещает/разрешает операции с файлами, когда владелец файла должен совпадать с пользователем, совершающим операцию. Например, изменение режима доступа к файлу (chmod). Режим доступа может изменять либо владелец файла, либо root. При отключении этой способности, root уже будет не в состоянии изменить режим доступа.:) То же относится к изменению атрибутов файлов (chattr).


CAP_FSETID

    Запрещает/разрешает установку SUID'ного или SGID'ного бита на чужих файлах (не принадлежащих root'у).


CAP_KILL

Включает/отключает способность root'овых процессов убивать чужие процессы.

CAP_SETGID

Управляет способностью root'овых программ сменять группу, под которой работает программа. Так работает, например, httpd, sendmail, postfix, ftpd, safe_finger и т.д.

CAP_SETUID

    Управляет способностью root'овых программ сменять пользователя, под которым работает программа.


CAP_SETPCAP

    Включает/отключает способность программ менять способности.


CAP_LINUX_IMMUTABLE

    Управляет способностью снимать атрибуты S_IMMUTABLE (chattr -i) и S_APPEND (chattr -a) с файлов. Рекомендуется отключить данную способность.


CAP_NET_BIND_SERVICE

    Включает/отключает способность программ привязываться к порту с номером <1024.


CAP_NET_BROADCAST

    Управляет способностью программ рассылать широковещательные пакеты.


CAP_NET_ADMIN

    Этот параметр управляет большим количеством различных способностей: конфигурирование сетевых интерфейсов, изменение правил firewall'а, изменение таблиц routing'а и многих других, связанных с сетевыми настройками Linux. Рекомендуется отключить данную способность.


CAP_NET_RAW

    Управляет способностью программ использовать сокет-соединения.


CAP_IPC_LOCK

    Управляет способностью root'овых процессов блокировать сегменты разделяемой памяти.


CAP_IPC_OWNER

    Управляет доступом root'овых программ к ресурсам межпроцессорного взаимодействия чужих процессов.



Содержание  Назад  Вперед




Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий