LIDS система обнаружения и защиты от вторжения



Способности - часть 2


CAP_DAC_READ_SEARCH

    Включает/отключает способность программ, запускаемых под root'ом, не принимать во внимание режимы доступа к каталогам (чтение и поиск).

CAP_FOWNER

    Запрещает/разрешает операции с файлами, когда владелец файла должен совпадать с пользователем, совершающим операцию. Например, изменение режима доступа к файлу (chmod). Режим доступа может изменять либо владелец файла, либо root. При отключении этой способности, root уже будет не в состоянии изменить режим доступа.:) То же относится к изменению атрибутов файлов (chattr).

CAP_FSETID

    Запрещает/разрешает установку SUID'ного или SGID'ного бита на чужих файлах (не принадлежащих root'у).

CAP_KILL

Включает/отключает способность root'овых процессов убивать чужие процессы.

CAP_SETGID

Управляет способностью root'овых программ сменять группу, под которой работает программа. Так работает, например, httpd, sendmail, postfix, ftpd, safe_finger и т.д.

CAP_SETUID

    Управляет способностью root'овых программ сменять пользователя, под которым работает программа.

CAP_SETPCAP

    Включает/отключает способность программ менять способности.

CAP_LINUX_IMMUTABLE

    Управляет способностью снимать атрибуты S_IMMUTABLE (chattr -i) и S_APPEND (chattr -a) с файлов. Рекомендуется отключить данную способность.

CAP_NET_BIND_SERVICE

    Включает/отключает способность программ привязываться к порту с номером <1024.

CAP_NET_BROADCAST

    Управляет способностью программ рассылать широковещательные пакеты.

CAP_NET_ADMIN

    Этот параметр управляет большим количеством различных способностей: конфигурирование сетевых интерфейсов, изменение правил firewall'а, изменение таблиц routing'а и многих других, связанных с сетевыми настройками Linux. Рекомендуется отключить данную способность.

CAP_NET_RAW

    Управляет способностью программ использовать сокет-соединения.

CAP_IPC_LOCK

    Управляет способностью root'овых процессов блокировать сегменты разделяемой памяти.

CAP_IPC_OWNER

    Управляет доступом root'овых программ к ресурсам межпроцессорного взаимодействия чужих процессов.




Содержание  Назад  Вперед