Исследование уровня безопасности операционной системы Linux
Дипломная работа - Компьютеры, программирование
CAP_DAC_READ_SEARCH определяет то же самое, что и CAP_DAC_OVERRIDE, только в данном случае ограничение распространяется только на каталоги;
CAP_FOWNER разрешает операции с файлами, когда владелец файла должен совпадать с пользователем, совершающим операцию;
CAP_FSETID разрешает установку бит SUID и SGID на файлах, не принадлежащих пользователю root;
CAP_KILL разрешает процессам привилегированного пользователя уничтожать другие процессы;
CAP_SETGID, CAP_SETUID управляет способностью программ привилегированного пользователя изменять группу и пользователя, под которыми работает программа;
CAP_SETPCAP позволяет программам менять способности;
CAP_LINUX_IMMUTABLE управляет способностью снимать расширенные атрибуты immutable и append с файлов;
CAP_NET_BIND_SERVICE разрешает программам, выполняющимся не от имени пользователя root, использовать сетевой порт ниже 1024;
CAP_NET_BROADCAST управляет способностью программ рассылать широковещательные пакеты;
CAP_NET_ADMIN параметр управляет большим количеством различных способностей: конфигурирование сетевых интерфейсов, изменение правил брандмауэра, изменение таблиц маршрутизации и других способностей, связанных с сетевыми настройками Linux;
CAP_NET_RAW управляет способностью программ использовать гнезда;
CAP_IPC_LOCK управляет способностью процессов привилегированного пользователя блокировать сегменты разделяемой памяти;
CAP_IPC_OWNER управляет доступом программ пользователя root к ресурсам межпроцессорного взаимодействия процессов, не принадлежащих пользователю root;
CAP_SYS_MODULE управляет способностью загружать модули ядра;
CAP_SYS_RAWIO управляет низкоуровневым доступом на чтение/запись к таким устройствам, как /dev/mem, /dev/kmem, /dev/port, /dev/hd*, /dev/sd*;
CAP_SYS_CHROOT управляет способностью устанавливать корневой каталог для текущей командной оболочки;
CAP_SYS_PTRACE позволяет программам использовать вызов функции ptrace(), которая позволяет процессу-родителю управлять выполнением процессов-потомков;
CAP_SYS_PACCT управляет способностью конфигурировать учет процессов;
CAP_SYS_ADMIN управляет множеством способностей: управление устройством /dev/random, создание новых устройств, конфигурирование дисковых квот, настройка работы klogd, установка доменного имени компьютера, сброс кэша, монтирование и размонтирование дисков, включение и отключение раздела виртуальной памяти, установка параметров последовательных портов и многое другое;
CAP_SYS_BOOT управляет способностью перезагружать систему;
CAP_SYS_NICE управляет способностью изменять приоритет процессов, не принадлежащих привилегированному пользователю;
CAP_SYS_RESOURCE управляет способностью изменять предельные значения использования ресурсов системы: дисковые квоты, зарезервированное пространство на разделах с файловой системой ext2, максимальное количество консольных программ и так далее;
CAP_SYS_TIME управляет способностью изменять системное время;
CAP_SYS_TTY_CONFIG управляет способностью изменять настройки устройств tty;
CAP_HIDDEN управляет способностью программ становится невидимыми в списке выполняемых процессов. Не влияет на все программы;
CAP_INIT_KILL управляет способностью уничтожать процессы-потомки процесса init;
Для вступления в действие способностей, необходимо сразу после загрузки системы и запуска всех сервисов выполнить команду
lidsadm I
Эта команда обычно записывается в один из файлов iенариев, выполняемых при загрузке системы.
Помимо способностей система LIDS позволяет задавать правила доступа к дисковым ресурсам. Все управление LIDS осуществляется с помощью программы lidsadm. Эта программа способна работать в двух режимах: режиме настройки правил доступа и режиме ввода команд администрирования. Все установки правил доступа находятся в файле /etc/lids/lids.conf. Для их просмотра необходимо запустить программу lidsadm с параметром L.
[root@app /]# lidsadm L
LIST
SubjectACCESSTYPEObject
-------------------------------------------------------------
Any FileREAD/sbin
Any FileREAD/bin
Any FileREAD/boot
Any FileREAD/lib
Any FileREAD/usr
Any FileDENY/etc/shadow
/bin/loginREAD/etc/shadow
/bin/suREAD/etc/shadow
Any FileAPPEND/var/log
Any FileWRITE/var/log/wtmp
тАж
Правила доступа состоят из трех элементов: субъекта, объекта и цели. Объектом является любой файл или каталог, на который должны действовать правила доступа и защита LIDS. Если в качестве объекта указан каталог, то все файлы в нем и вложенные подкаталоги с их файлами автоматически становятся объектами.
Субъектом является любая защищенная программа, которой дают доступ к защищаемому объекту. Поэтому, прежде чем использовать программу в качестве субъекта, ее саму надо защитить средствами LIDS, применив к ней правила доступа как к объекту. Если субъект не указан, субъектом является любая программа.
Целью является тип доступа субъекта к объекту. Существуют следующие типы доступа:
- READ доступ на чтение;
- WRITE доступ на запись;
- DENY запрет на какой-либо доступ вообще;
- APPEND открытие только для записи в конец файла;
- IGNORE игнорирование защиты.
Построение прав доступа подробно описано в соответствующих файлах документации и man-руководствах.
3.3. AIDE
AIDE (Advanced Intrusion Detection Environment) расширенное окружение обнаружения вторжений. Основное назначение программного продукта AIDE обнаружения изменения файлов, их атрибутов, прав доступа, пользователей владельцев, размера, количества ссылок на файл и других параметров, которые присущи файлу в Linux.
Программный пакет AIDE создает базу данных всех файлов, перечисленных в основном конфигурацион?/p>
