ВУЗ:
Составители:
Рубрика:
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 61
В отличие от других средств защиты, входящих в поставку Linux,
эту систему нельзя выключить, не зная пароль администратора LIDS,
который в зашифрованном виде хранится в специальном файле и виден
только программе администрирования LIDS (не администратору, а именно
программе). То же самое относится и к другим конфигурационным файлам
LIDS. Даже узнав каким-то образом пароль администратора, взломщик не
сможет отключить LIDS, не находясь за взломанным компьютером.
LIDS позволяет распределять права доступа к файлам, устройствам и
т.д. на уровне программ, а не на уровне пользователей. Например, мож-
но запретить доступ к файлу /etc/shadow для всех так, что он даже
при использовании команды ls -a /etc не будет виден, и дать к нему
доступ на чтение программам /bin/login, /bin/su, на чтение-запись
программе /usr/bin/passwd и т.д., то есть тем программам, которые в
нем действительно нуждаются.
LIDS позволяет запретить перезапуск системы, так что человек, не
находящийся в непосредственной близости к кнопке RESET, перегрузить
систему не сможет.
Посредством LIDS можно запретить загрузку/выгрузку модулей ядра,
что защитит систему от запуска модулей-троянов.
Информация о всех действиях, направленных на взлом защищенных
при помощи LIDS объектов, записывается в логи и отправляется на e-mail,
указанный в файле конфигурации LIDS, непосредственно в момент совер-
шения взлома, что дает возможность администратору незамедлительно
реагировать на все происходящее в системе.
В LIDS есть встроенный детектор сканирования портов, обнаружи-
вающий большинство известных способов сканирования. Работает этот
детектор на уровне ядра, то есть отключить его невозможно.
3.2.6.1. ПРАВИЛА ДОСТУПА
Вся настройка LIDS делается с помощью одной программы — lidsadm,
которая работает в двух режимах — настройки правил доступа и вво-
да команд администрирования. Каждому режиму соответствует несколько
параметров запуска.
Установки правил доступа находятся в файле
/etc/lids/lids.conf. Изначально он содержит наиболее часто
используемые правила доступа. Этот файл просматривается и изменяется
посредством lidsadm.
Правила доступа состоят из трех элементов: субъекта (subject), объек-
та (object) и цели (target).
Объектом является любой файл или каталог, на который и должны
действовать правила доступа и защита LIDS. Если в качестве объекта
указывается каталог, то все файлы в нем и вложенные каталоги с их
файлами автоматически становятся объектами.
Субъектом является любая защищенная программа, которой дают до-
ступ к защищаемому объекту, т.е. прежде чем использовать программу
в качестве субъекта, ее саму надо защитить средствами LIDS от посяга-
тельств, применив к ней правила доступа как к объекту. Если субъект не
Страницы
- « первая
- ‹ предыдущая
- …
- 59
- 60
- 61
- 62
- 63
- …
- следующая ›
- последняя »
