Установка
Существуют различные версии LIDS для разных версий ядра Linux. К сожалению, авторы не придерживаются определенного дизайна LIDS, поэтому он постоянно меняется от версии к версии. Документация, лежащая на их относится к версии 0.8.x, и к настройке LIDS версии 0.9.8, о которой пойдет речь, она уже не может быть применена. Вообще авторы не очень утруждают себя обновлением документации, но, несмотря на это, разобраться с работой программы не очень сложно. Сложно другое - правильно настроить систему так, чтоб ее работа была незаметной для обычных пользователей в смысле ущемления их обычных прав, но при этом препятствовала бы всем действиям, направленным к взлому системы. При настройке LIDS нужно учесть работу всех программ, установленных в системе, чтоб их нормальная работа не прекратилась после установки LIDS. Я сам не решился ставить и тестировать LIDS на установленном у меня Mandrake 7.0 RE, а поставил Trustix Linux с меньшим количеством приложений и экспериментировал на нем.:)
Версия 0.9.8 была последней для ядра 2.2.16 на момент написания данного руководства. Взять ее можно . Если у тебя другая версия ядра - выбери подходящую тебе версию LIDS. Но я не гарантирую, что данное описание подойдет для другой версии.:)
После того, как скачаешь, распакуй полученный архив:
tar xfz LIDS-0.9.8-2.2.16.tar.gz
Появится каталог LIDS-0.9.8 со следующим содержанием:
doc/ - каталог с файлами описаний работы
example/ - каталог с примерами конфигурационных файлов
lidsadm-0.9.8/ - исходники программы администрирования
ChangeLog - история изменений от версии к версии
INSTALL - руководство по установке
README - описание отличий 0.9.7 и 0.9.8 от предыдущих версий
LIDS-0.9.8-2.2.16.patch - патч для ядра
Перед установкой патча советую сохранить исходники ядра. На всякий случай.:)
cd /usr/src cp -R linux-2.2.16 linux-2.2.16.orig
Теперь можно пропатчить ядро:
cd /usr/src patch -p1 </полный_путь_к_файлу_патча/LIDS-0.9.8-2.2.16.patch
Следующий шаг - компиляция и установка утилиты администрирования.
cd /каталог_в_котором_находится_LIDS/lidsadm-0.9.8 make make install
Можно вместо make набрать make VIEW=1. Различие между этими двумя способами сборки заключаются в том, что во втором случае утилита администрирования поддерживает дополнительную опцию - -V, позволяющую выводить текущие установки способностей. Это небезопасно, так как позволяет хакеру просмотреть текущие установки LIDS, но можно оставить эту опцию включенной до тех пор, пока система не будет окончательно настроена, после чего лучше пересобрать lidsadm без возможности просмотра установок.
Во время установки (при выполнении make install), было выведено сообщение, что файл lidsadm.1.gz не найден. Решается эта проблема просто:
gzip lidsadm.1 make install
Либо можно просто изменить Makefile, либо самому скопировать файл lidsadm.1 в /usr/man/man1.:)
Теперь можно приступать к конфигурации ядра.
, 2000.
Использование данного документа разрешено только с согласия автора и с указанием первоисточника:
