LIDS система обнаружения и защиты от вторжения


Способности - часть 3


CAP_SYS_MODULE

    Управляет способностью загружать/выгружать модули ядра. Рекомендуется отключить данную способность.

CAP_SYS_RAWIO

    Управляет доступом на чтение-запись к таким устройствам, как /dev/mem,/dev/kmem,/dev/port, /dev/hd??, /dev/sd??. Рекомендуется отключить данную способность.

CAP_SYS_CHROOT

    Управляет способностью устанавливать корневой каталог для текущего shell'а. Рекомендуется отключить данную способность.

CAP_SYS_PTRACE

    Данный параметр включает/отключает способность программ использовать вызов функции ptrace(), которая позволяет управлять выполнением процессов-потомков процессу-родителю. Для более подробной информации смотри man ptrace.

CAP_SYS_PACCT

    Управляет способностью конфигурировать учет процессов. Для более подробной информации смотри man ac, man lastcomm, man accton, man sa. Рекомендуется отключить данную способность.

CAP_SYS_ADMIN

    Управляет множеством способностей: управление /dev/random, создание новых устройств, конфигурирование дисковых квот, настройка работы klogd, установка имени домена, установка имени хоста, сброс кэша, монтирование/размонтирование дисков, включение/отключение swap-партиции, установка параметров последовательных портов и др. Рекомендуется отключить данную способность.

CAP_SYS_BOOT

    Данный параметр управляет способностью перегружать систему.

CAP_SYS_NICE

    Управляет способностью изменять приоритет чужих процессов. Рекомендуется выключить данную способность.

CAP_SYS_RESOURCE

    Способность изменять лимиты использования ресурсов системы: дисковые квоты, зарезервированное пространство на ext2-партициях, максимальное количество консолей и т.д. Рекомендуется выключить данную способность.

CAP_SYS_TIME

    Управляет способностью изменять системное время. Рекомендуется выключить данную способность.

CAP_SYS_TTY_CONFIG

    Способность изменять настройки tty-устройств.

CAP_HIDDEN

    Способность программ делаться невидимыми в списке процессов. Не влияет на все программы. Рекомендуется включить данную опцию.

CAP_INIT_KILL