LIDS (Linux Intrusion Detection System)

11.09.2007 23:14 | BH

LIDS (Linux Intrusion Detection System (Linuxový systém detekcie prieniku)) je vylepšenie pre linux, ktoré naprogramovali Xie Huagang a Philippe Biondi. Implementuje viacero bezpečnostných funkcií, ktoré neboli až do doby SeLinuxu v štandardnom Linuxovom jadre (momentálne sa v jadre nachádza bezpečnostný modul od NSA z názvom SeLinux). LIDS patch je určený skôr pre menej skusených linuxákov.

Vlastnosti

  • Ochrana súborov a adresárov. Nikto vrátane administrátora (root) nemôže modifikovať súbory chránené pomocou LIDS. Súbory a adresáre môžu byť aj neviditeľné.
  • Ochrana procesov. Nikto vrátane administrátora (root) nemôže ukončiť pomocou signálu kill chránené procesy. Procesy môžu býť aj neviditeľné.
  • Access Control Lists (ACLs) pre prístupové práva k súborom, adresárom (File ACLs) a ACLs, ktoré obmedzujú schopnosti a systémové možnosti procesov (Capability ACLs).
  • Rozšírená schopnosť kontrolovať celý systém.
  • Bezpečnostné upozornenia od jadra operačného systému. SMTP klient sa voliteľne môže stať súčasťou jadra.
  • IDS - systém detekcie prieniku

Inštalácia LIDS 2.2.x
LIDS 2.2.x pre jadro 2.6 pozostáva z patchu na jadro 2.6.x a z utilitiek v balíčku s názvom lidstools, ktorý obsahuje nástroje lidsconf a lidsadm. Aby sme mohli používať LIDS, musíme taktiež nainštalovať ACL.

Patch na vanilla jadro 2.6.xx
Stiahneme si vanilla jadro zo stránky jadra linuxu (www.kernel.org) a patch zo stránky projektu LIDS (www.lids.org). LIDS patch sa musí použiť len na vanilla jadro z dôvodu, že výrobcovia distribúcií pridávaju do jadra množstvo funkcií, ktoré spôsobujú to, že “patch” zlyhá a nefunguje.

# cd adresar_ku_jadru_2.6.xx
# patch -p1 < /adresar_kde_je_patch/patch-lids-2.2.x-2.6.xx
# make menuconfig

Konfigurácia a inštalácia jadra
CRYPTO and SHA256
Nakonfigurujeme jadro z podporou “SHA256” , ktorá sa nachádza pod položkou “CRYPTO”. Táto voľba je potrebná pre LIDS na autentifikáciu lidsadm užívateľa.

CONFIG_CRYPTO=y
CONFIG_CRYPTO_SHA256=y

Security voľby
Uistíme sa, že nemáme vybranú možnosť “Capability” a “Selinux” v jadre pretože LIDS teraz nevie spolupracovať z inými modulmi.

CONFIG_SECURITY=y
CONFIG_SECURITY_NETWORK=y
# CONFIG_SECURITY_CAPABILITIES nie je nastavene

LIDS voľby

# Linux Intrusion Detection System
#
CONFIG_LIDS=m
#
# LIDS Options
#
CONFIG_LIDS_NO_FLOOD_LOG=y
CONFIG_LIDS_ALLOW_SWITCH=y
CONFIG_LIDS_RESTRICT_MODE_SWITCH=y
CONFIG_LIDS_MODE_SWITCH_CONSOLE=y
CONFIG_LIDS_MODE_SWITCH_SERIAL=y
CONFIG_LIDS_MODE_SWITCH_PTY=y
# CONFIG_SECURITY_ROOTPLUG nie je nastavené
# CONFIG_SECURITY_SELINUX nie je nastavené

Inštalácia jadra a modulov

# make bzImage
# make modules

Prepneme sa na užívateľa root a vykonáme.

# make modules_install
# make install

alebo nainštalujeme jadro manuálne

# cp arch/i386/boot/bzImage /boot/bzImage-2.6.xx-lids

Editneme grub.conf a pridáme tam niečo ako toto,

title LIDS jadro (2.6.11-lids)
      root (hd0,0)
      kernel /boot/bzImage-2.6.11 ro root=/dev/sda1

Inštalácia lidstools
Poznámka: Musíme použiť lidstools, ktoré sú v tar archíve pribalené v archíve LIDSu, iné verzie nie sú kompatibilné z LIDS 2.2.x.

# ./configure \ KERNEL_DIR=adresar_kde_je_jadro_opatchovane_LIDSom
# make
# make install

Inštalácia Acl (Access Control List)
Ak sme nainštalovali lidstools, bol vytvorený adresár z názvom “/etc/lids” a v ňom boli vytvorené inicializačné LIDS Acl súbory. LIDS Acl v tomto adresári poskytujú základnu ochranu pre náš systém. Musíme vykonať ešte tieto kroky aby sme mohli používať Acl:

Rekonfigurácia ACL

Musíme updatnuť ACL na správne hodnoty inodov kedže LIDS ACLs sú na i-node číslach závislé.

# lidsconf -U

Musíme si teda pri konfigurácii LIDSu dávať pozor na to aby tieto i-node čísla boli aktuálne, inak budú chránené iné súbory, než tie ktoré sme pôvodne chceli. Zmeny i-node čísiel nastávajú, keď nejaký systémový program maže a znova vytvára súbory.

Kompilácia ACL

# lidsconf -C

nám vykompiluje všetky ACL vrátane CAP (schopnosti) a lids.ini súboru.

Reštart

Po reboote môžeme začať naplno používať lidsadm a lidsconf na konfiguráciu LIDS Acl. Tieto programčeky sú obsiahlejšie popísané ďalej.

V doc/ adresári sa nachádza dokumentácia a FAQ. V adresári example/ nájdeme príklady ACL. Tieto ACL sú nainštalované do /etc/lids počas inštalácie. Môžete ich upraviť pre náš systém.

lidsadm

lidsadm je administrátorská utilita LIDSu, ktorú používame na administráciu LIDSu na našom systéme. To zahŕňa zapínanie/vypínanie LIDSu, zapäčatenie jadra a zobrazenie statusu LIDSu.

Voľby pre lidsadm
Pre vypísanie volieb utilitky lidsadm použijeme príkaz:

# lidsadm -h

Najčastejšie použitie

# lidsadm -I                  // zapacati jadro
# lidsadm -S -- -LIDS          // zapina LFS (LIDS Free Session)
# lidsadm -S -- +LIDS        // vypina LFS (LIDS Free Session)
# lidsadm -S -- -LIDS_GLOBAL  // vypina globalne LIDS
# lidsadm -S -- +LIDS_GLOBAL  // zapina globalne LIDS
# lidsadm -S -- +RELOAD_CONF  // znovu nacita konfiguracne subory do jadra
# lidsadm -V                  // aktualny stav LIDS nastaveni
# lidsadm -help              // vypisuje pomoc (help)

Schopnosti (Capabilities)

Rutina capable zabezpečuje v systéme Linux overenie práv na vykonanie danej akcie. V štruktúre procesu je uvedená bitová maska akcií, ktoré je proces schopný vykonávať. Všetky časti jadra volajú rutinu capable na overenie, či je daná akcia povolená. Napríklad existuje capability na setuid, ktorú keď proces nemá, nemôže meniť svoje UID.

  • CAP_CHOWN - povoľuje použitie funkcií chown(2)/chgrp(2)
  • CAP_DAC_OVERRIDE - anuluje reštrikcie udelené na súbore
  • CAP_DAC_READ_SEARCH - anuluje reštrikcie na čítanie udelené na súbore
  • CAP_FOWNER - anuluje reštrikcie na súboroch, kde vlastník súboru je ten istý ako vykonávateľ operácie
  • CAP_FSETID - povoľuje zmeniť UID a GID nastavenia na súbore, keď sa efektívne užívateľové ID nezhoduje s vlastníckym ID
  • CAP_KILL - povoľuje posielanie signálov procesu, užívateľovi pod ktorým proces nebeží
  • CAP_SETGID - povoľuje nastavenie gid(2)
  • CAP_SETUID - povoľuje nastavenie uid(2)
  • CAP_SETPCAP - transfer capability
  • CAP_LINUX_IMMUTABLE - povoľuje nastaviť immutable a append atribúty na súbor. To zamedzí zmazaniu alebo prepísaniu
  • CAP_NET_BIND_SERVICE - povoľuje otvoriť tcp/udp port nižší ako 1024
  • CAP_NET_BROADCAST - povoľuje sieťový broadcasting a počúvanie vysielaných paketov
  • CAP_NET_ADMIN - povoľuje konfiguráciu sieťových rozhraní, administráciu IP firewallu, masqueradingu a accountingu, nastavenie debug voľby na soketoch, modifikáciu smerovacích tabuliek, nastaviť ľubovolnému procesu / skupine procesov vlastníctvo na soket, nastaviť TOS (type of service), nastaviť promiskuitný mód, vymazať štatistiky ovládača, multicasting, čítanie/zápis na špecifických registroch zariadenia
  • CAP_NET_RAW - povoľuje použitie RAW a PACKET soketov
  • CAP_IPC_LOCK - povoľuje uzamknutie segmentov zdieľanej pamäte
  • CAP_IPC_OWNER - anuluje kontroly na vlastníctvo IPC
  • CAP_SYS_MODULE - povoľuje vkladanie alebo odstraňovanie modulov jadra
  • CAP_SYS_RAWIO - povoľuje prístup k ioperm/iopl a /dev/port, povoľuje prístup na /dev/mem a /dev/kmem, povoľuje prístup na raw block zariadenia (/dev/[sh]d??)
  • CAP_SYS_CHROOT - povoľuje použitie funkcie chroot(2)
  • CAP_SYS_PTRACE - povoľuje použitie funkcie ptrace(2)
  • CAP_SYS_PACCT - povoľuje konfiguráciu proces accountingu
  • CAP_SYS_ADMIN - veľa administrátorských operácií
  • CAP_SYS_BOOT - povoľuje použitie funkcie reboot(2)
  • CAP_SYS_NICE - povoľuje použitie funkcie nice(2)
  • CAP_SYS_RESOURCE - povoľuje nastavovať limity pre zdroje (quota, maximálny počet konzol)
  • CAP_SYS_TIME - povoľuje nastaviť systémový čas
  • CAP_SYS_TTY_CONFIG - povoľuje konfiguráciu tty zariadení
  • CAP_MKNOD - povoľuje operáciu vytvárania nových súborov zariadení
  • CAP_LEASE - prenájom súborov ?
  • CAP_HIDDEN - skrýva proces
  • CAP_KILL_PROTECTED - povoľuje zaslanie signálov chráneným prcesom z CAP_PROTECTED
  • CAP_PROTECTED - chráni proces pred signálmi

Tento vypis je platný pre staršiu verziu LIDSu. Detailnejšie informácie o zmenách nájdete napríklad tu.
Zoznam posix schopností sa nachádza napríklad tu.

LIDS free session

LIDS free session je terminálové sedenie, ktoré nie je obmedzované reštrikciami LIDSu. Aby sme mohli vytvoriť free session je potrebné aby pri kompilácii jadra z LIDSom bola zapnutá táto voľba.

[*] Allow switching LIDS protections

Na vytvorenie tohto sedenia sa používa nasledovný príkaz. Opäť budeme vyzvaný zadať heslo pre LIDS.

# lidsadm -S -- -LIDS

Na zrušenie tohto sedenia použijeme.

# lidsadm -S -- +LIDS

Niekedy sa môže stať, že zapíname LIDS sedenie ale LIDS reštrikcie sú stále aktívne. Na vyriešenie tohoto problému zapneme a opäť vypneme LIDS.

# lidsadm -S -- +LIDS
# lidsadm -S -- -LIDS

Globálne vypnutie LIDS

LIDS môžeme vypnúť aj globálne. Na to však musíme mať jadro vykompilované s touto voľbou.

# lidsadm -S -- -LIDS_GLOBAL // Globalne vypnutie LIDSu
# lidsadm -S -- +LIDS_GLOBAL // Globalne zapnutie LIDSu

Zapäčatenie jadra

Na konci procesu bootovania, môžeme zapäčatiť jadro. To zapne globálne schopnosti ACLs podľa nastavení v /etc/lids/lids.cap. To napríklad znamená, že moduly jadra nemôžu byť pridávané ani odoberané zo systému (-16:CAP_SYS_MODULE). Na zapäčatenie jadra pridáme nasledujúce na koniec súboru rc.local alebo obdobného štartovacieho skriptu.

/sbin/lidsadm -I // Zapacatenie jadra (rc.local)

Status

Na použitie prepínača “-V” musíme mať lidsadm vykompilované s touto voľbou zapnutou. Štandardne to tak je.

# lidsadm -V

To nám vyprodukuje napríklad takýto výstup:

VIEW
CAP_CHOWN 1
CAP_DAC_OVERRIDE 1
CAP_DAC_READ_SEARCH 1
CAP_FOWNER 1
CAP_FSETID 1
CAP_KILL 1
CAP_SETGID 1
CAP_SETUID 1
CAP_SETPCAP 1
CAP_LINUX_IMMUTABLE 0
CAP_NET_BIND_SERVICE 0
CAP_NET_BROADCAST 1
CAP_NET_ADMIN 0
CAP_NET_RAW 0
CAP_IPC_LOCK 1
CAP_IPC_OWNER 1
CAP_SYS_MODULE 0
CAP_SYS_RAWIO 0
CAP_SYS_CHROOT 0
CAP_SYS_PTRACE 0
CAP_SYS_PACCT 1
CAP_SYS_ADMIN 0
CAP_SYS_BOOT 1
CAP_SYS_NICE 1
CAP_SYS_RESOURCE 1
CAP_SYS_TIME 0
CAP_SYS_TTY_CONFIG 1
CAP_MKNOD 1
CAP_LEASE 1
CAP_HIDDEN 1
CAP_KILL_PROTECTED 1
CAP_PROTECTED 0
LIDS 1
LIDS_GLOBAL 1
RELOAD_CONF 0

Hodnota “1” indikuje zapnutie alebo použitie schopnosti. Hodnota “0” vypnutie ale nepoužitie schopnosti.

RELOAD konfigurácie

Na povolenie reloadu LIDS konfigurácie je potrebné aby pri kompilácii jadra z LIDSom boli zvolené tieto voľby.

[*]  Allow switching LIDS protections
  (3)    Number of attempts to submit password
  (30)    Time to wait after a fail (seconds)
  [ ]    Allow remote users to switch LIDS protections
  [ ]    Allow any program to switch LIDS protections
  [*]    Allow reloading config. file  <--------

Samotný RELOAD vykonáme príkazom,

# lidsadm -S -- +RELOAD_CONF

ktorý nám reloadne tieto konfiguračné súbory:

  • /etc/lids/lids.conf
  • /etc/lids/lids.cap
  • /etc/lids/lids.pw
  • /etc/lids/lids.net

lidsconf

lidsconf sa používa na konfiguráciu zoznamov kontroli prístupu (access control lists (ACL)) pre LIDS. Taktiež umožnuje nastaviť LIDS heslo.

Voľby pre lidsconf
Pre vypísanie volieb utilitky lidsconf použijeme príkaz:

# lidsconf -h

Prepínače

  • -A pridává záznam do lids.conf-D
  • -D zmaže záznam v lids.conf
  • -Z zmaže všetky položky v lids.conf
  • -U aktualizuje i-node čísla v lids.conf
  • -L vypisuje všetky položky v lids.conf v čitateľnej podobe
  • -P kryptuje heslo a zapisuje ho do lids.pw
  • -v ukáže verziu
  • -h vypisuje pomoc

Akcie

  • DENY - zakáže prístup
  • READONLY - povoľuje iba čítanie, modifikácie sú zakázane
  • APPEND - povoľuje čítanie a pridávanie (append)
  • WRITE - povoľuje zápis, objekt bude úplne nechránený
  • GRANT - prideľuje subjektu schopnosť
  • IGNORE - ignoruje všetky povolenia (permissions) nastavené pre objekt

Nastavenie hesla

Pre nastavenie hesla sa použije nasledovný príkaz. Musí sa použiť pred tým ako nabootujeme jadro z LIDSom alebo v LIDS free session (LIDS free session je terminálové sedenie, ktoré nie je obmedzované reštrikciami LIDSu). Heslo je uložené v /etc/lids/lids.pw

# lidsconf -P

Bude od Vás žiadané zadanie hesla

MAKE PASSWD
enter new password:
reenter new password:
wrote password to /etc/lids/lids.pw

Princíp konfigurácie

Princíp spočíva v udeľovaní práv subjektom na jednotlivé objekty.

Subjekt je program, ktorý beží na linuxovom systéme (napr. binárny vykonávateľný súbor alebo shellový skript). Objekt je to, k čomu chce subjekt pristupovať (napr. súbory, adresáre, schopnosti atď.)

Pri presune alebo modifikácii nejakého súboru, ktorý je chráneny LIDSom treba updatnuť inode čísla, nainštalovať pravidlá a následne reloadnuť konfiguráciu LIDSu. To vykonáme príkazom:

# lidsconf -U
# lidsconf -C
# lidsadm -S -- +RELOAD_CONF

Ďalej je potrebné nastaviť globálne schopnosti, ktoré sú uložené v /etc/lids/lids.cap. V tomto súbore su uložené schopnosti pre užívateľa root alebo procesy bežiace pod rootom.

Formát /etc/lids/lids.cap je nasledovný:

[+-]#:Capability_Name

Ak prvým znakom je “+” tak užívateľ root ako aj procesy bežiace pod ním majú túto schopnosť. Ak prvým znakom je “-” tak tieto schopnosti nie su dostupné.

Defaultne nastavenie lids.cap je vhodné na začiatok konfigurácie. Pre konečnú fázu môžeme pri všetkých schopnostiach okrem CAP_SYS_BOOT zadať “-”. To by nedovoľovalo rootovi nič okrem rebootovania stroja. Takto sa prípadne môže dostať administrátor do systému keď je nejaký problem ( napríklad zabudne LIDS heslo :-) )

Ochrana súboru iba na čítanie (READONLY)

# lidsconf -A -o /nejaky/subor -j READONLY

Tento príkaz spôsobí to, že nikto vrátane užívateľa root nemôže modifikovať, zmazať /nejaky/subor pokiaľ je LIDS aktívny.

Ochrana súboru iba na pridávanie (APPEND)

# lidsconf -A -o /nejaky/log/subor  -j APPEND
# lidsconf -A -o /var/log  -j APPEND

Tento príkaz spôsobí to, že do súboru /nejaky/log/subor je povolené iba pridávanie na koniec súboru. Nemôže byť zmazaný ani modifikovaný. Táto ochrana sa používa hlavne pri log súboroch.

Ochrana adresára iba na čítanie (READONLY)

# lidsconf -A -o /nejaky/adresar -j READONLY
# lidsconf -A -o /etc -j READONLY

Ak je objekt adresár, LIDS chráni adresár a rekurzívne všetko v ňom.

Ochrana na základe času

# lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1630 -j READONLY

Tento príkaz zabezpečí to, že nalogovanie sa na stroj je povolené len v čase medzi 8:00 - 16:30 hod.

Skrývanie súboru/adresára pred každým

# lidsconf -A -o /nejaky/subor_alebo_adresar -j DENY

Tento príkaz spôsobí to, že k /nejaky/subor_alebo_adresar je zamietnutý prístup. To znamená, že systém sa bude tváriť ako keby taký súbor/adresár neexistoval. Ak je to adresár, všetky súbory a adresáre v ňom su taktiež skryté.

Skrývanie procesu

# lidsconf -A -s /www/bin/httpd -o CAP_HIDDEN -j GRANT

To nám zabezpečí, že proces apača bude skrytý. Takže keď zadáme príkaz # ps xa, proces apača nebude vo výpise procesov.

Povolenie štartu služby na privilegovanom porte

Služby ktoré bežia na privilegovanom porte (to sú tie porty, ktoré su menšie ako 1024) vyžadujú schopnosť CAP_NET_BIND_SERVICE na otvorenie tohoto portu.

# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -j GRANT  // priklad, povolime apacu otvorit port 80

Limitovanie rozsahu portov, ktoré môže služba otvoriť

# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80-80 -j GRANT  // priklad, povolime apacu otvorit porti v rozsahu 80 az 80, cize jeden a to 80
# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80-80,443-443 -j GRANT // priklad, porti: 80 a 443

Povolenie autentifikácie (login)

# lidsconf -A -s /bin/login -o /etc/shadow -j READONLY

Konfigurácia bezpečnostných upozornení

Na zasielanie upozornení cez sieť potrebujeme vykompilovať jadro z LIDSom z týmito voľbami:

[*]  Send security alerts through network
[ ]      Hide klids kernel thread
(3)      Number of connection tries before giving up
(30)    Sleep time after a failed connection
(16)    Message queue size
[*]      Use generic mailer pseudo-script

Špecifikovanie kde sa má upozornenie zasielať nastavíme v /etc/lids/lids.net . Dávame pozor na to aby v premennej MAIL_TO neboli žiadne prázdne znaky.

Napríklad premenná nastavená takto je nesprávna: “MAIL_TO= poplach@niekde.sk” “MAIL_TO=poplach@niekde.sk "

Správne je “MAIL_TO=poplach@niekde.sk”

Príklad konfigurácie /etc/lids/lids.net

MAIL_SWITCH=1
MAIL_RELAY=127.0.0.1:25
MAIL_SOURCE=gw.niekde.sk
MAIL_FROM=lids@gw.niekde.sk
MAIL_TO=poplach@niekde-inde.sk
MAIL_SUBJECT=LIDS POPLACH

Detektor skenovania

Aby bol detektor aktívny je potrebné aby pri kompilácii jadra z LIDSom bola zvolená táto voľba:

[*]  Port Scanner Detector in kernel

Problémy

Problémy z /etc/mtab

Ak chránime adresár /etc štýlom READONLY, príkaz mount sa snaží o zapisovanie do tohoto súboru a vznikajú chybové hlášky. Na vyriešenie tohto problému môžeme zmazať súbor /etc/mtab a nahradiť ho symbolickou linkou nasmerovanou na /proc/mounts. Aby to fungovalo musíme modifikovať štartovací skript na použitie voľby “-n” pri každom príkaze “mount” a “umount”. Táto voľba povie príkazu “mount” a “umount” aby neupdatoval súbor /etc/mtab.

Ak nájdeme napríklad toto:

mount -av -t nonfs,noproc

nahradíme ho týmto:

mount -av -n -t nonfs,noproc

Problémy z logrotate

Ak chránime adresár z logmi štýlom APPEND, rotovanie logov nefunguje. Rotovanie logov musíme urobiť manuálne, keď je LIDS globálne vypnutý pomocou utility na rotovanie logov. Môžme samozrejme spraviť to, že utilite na rotovanie logov dáme WRITE prístup ku logom, ale to sa neodporúča z toho dôvodu, že keď sa niekto nabúra do nášho systému sice nemôže modifikovať log súbory, ale môže rotovať logy toľko krát až budú zahodené (manuálne bude spúštať utilitu na rotovanie logov). Alternatívne riešenie je, že dáme WRITE prístup démonu cron, ktorý spúšťa rotovaciu utilitu.

# lidsconf -A -s /usr/sbin/crond -i -o /var/log -j WRITE

Toto nás ochráni pred manuálnym spúšťaním rotovacej utility, ale stále bude fungovať cez démona cron. Samozrejme keď sa nájde chyba v démone cron, niekto može exploitnúť tento démon a zmazať všetky logy. Ďalšia a posledná alternatíva je povoliť démonu cron WRITE pŕistup k logom v určitý časový interval. Napríklad ak rotovanie logov sa vykonáva každý deň o 4:00 ráno pomocou crond, limitujeme crond WRITE prístup len na jednu minútu.

# lidsconf -A -s /usr/sbin/crond -i 2 -o /var/log -t 0400-0401 -j WRITE

Iné problémy

Pri konfigurácii nejakej služby na jadre z LIDSom môžu nastať problémy, ako napríklad že nejaký program chce otvoriť nejaký súbor na čítanie alebo že chce otvoriť nejaký port a podobne. Základ riešenia týchto problémov je čítať logy, ktoré posiela jadro, čiže napr. vo /var/log/kernel a za behu pridávať pravidlá a kontrolovať či sa daná hláška už nevyskytuje alebo či sa neobjavila nejaká nová. Keď už jadro nepíše žiadne chybové hlášky pri spúšťaní služby malo by už byť všetko OK. V prípade že máme program, ktorý je skúpi na informácie môžeme použiť funkciu strace. Najskôr však musíme povoliť trasovanie programu (CAP_SYS_PTRACE).

# lidsconf -A -s /usr/bin/strace -o CAP_SYS_PTRACE -j GRANT

Linky

Lids dokumentacia: tu
Článok, ktorý vyšiel na roote o LIDSe: tu
Celkom zaujimavé teoretické info: tu
Čo je ACL? tu

Nabudúce
www.grsecurity.net ;-)

    • Re: LIDS (Linux Intrusion Detection System) 12.09.2007 | 20:34
      Avatar blackhole   Návštevník

      Len zopar nazvem to updatov k SE (Security Enhancements):
      Redhat uz toto pouziva nejaku chvilu, v RHEL 5 je to konecne pouzivatelne tiez.
      Taktiez Debian to nedavno releasol v Etch a uvidime ci si to Ubuntu adoptuje z Debian sourcov.
      Co sa tyka competingu tak Gentoo ma technologiu ktora sa vola Amarok pokial dobre viem.

      • Re: LIDS (Linux Intrusion Detection System) 12.09.2007 | 21:29
        Avatar blackhole_tommyhot   Používateľ

        Ja zas pokial dobre viem tak Amarok je prehravac hudby pod KDE.
        ----------
        tommyhot@hackingmachine:~$ microsoft &> /dev/null

      • Re: LIDS (Linux Intrusion Detection System) 13.09.2007 | 08:58
        Avatar BH   Používateľ

        Ano, Redhat ako aj komunita okolo Fedori Core, tusim od verzie FC2 sa uz dlhsie hraje zo SeLinuxom a maju pre neho vyrobenu uz celkom dobru SeLinux politiku a taktiez je aj certifikovany.
        Nejake info o certifikatoch: tu a tu.
        Neviem o tom, ze by Redhat aktivne pouzival aj nejaky iny patch na jadro. Debian ma vo svojom balickovom repertoari patch GrSecurity + utilitky. Samozrejme ma aj SeLinux + utilitky kedze je to standardna sucast jadra. Co sa tyka gentoo, ten ma svoj hardened projekt ktory pokryva rozne jadrove patche a ma dobru dokumentaciu. ;-)

        BH == /dev/null