Man page - lidsconf(8)
Manual
LIDSCONF
名 前書 式
説 明
オ プ シ ョ ン (ACL の )
使 用 可 能 な 権 限
例
そ の 他 の 情 報 源
バ グ
フ ァ イ ル
関 連 項 目
AUTHORS
配 布
名 前
lidsconf - Linux Intrusion Detection System 用 の 設 定 ツ ー ル
書 式
lidsconf -A
[-s subject] -o object [-d] [-t from-to] [-i level] -j
ACTION
lidsconf -D [-s file] [-o file]
lidsconf -Z
lidsconf -U
lidsconf -L [-e]
lidsconf -P
lidsconf -v
lidsconf [-h|H]
説 明
lidsconf は 、 Linux Intrusion Detection System (LIDS) の 設 定 ツ ー ル で あ る 。
LIDS は 現 在 の Linux カ ー ネ ル を 拡 張 す る 、 カ ー ネ ル パ ッ チ で あ る 。 LIDS に よ っ て 、 重 要 な フ ァ イ ル や 、 デ ィ レ ク ト リ や 、 デ バ イ ス を 保 護 す る こ と が で き る 。 さ ら に シ ス テ ム 全 体 に 対 し て 、 ア ク セ ス 制 限 を か け る ACL を 定 義 す る こ と も で き る 。 LIDS の 詳 し い 情 報 に 関 し て は 、 http://www.lids.org を 参 照 の こ と 。
lidsconf は LIDS に 対 し て の ア ク セ ス 制 限 情 報 を 設 定 す る た め に 使 用 さ れ る 。 そ れ に 関 す る 全 て の 情 報 は 、 "/etc/lids/lids.conf" に 保 存 さ れ る 。
オ プ シ ョ ン (ACL の )
ACL は
"Access Control List" の 略 で
あ る 。 LIDS の ACL で
は 、 Subject が ど の
様 に Object に 対 し て
ア ク セ ス 出 来
る の か を 定 義
し て い る 。 Subject
は 、 シ ス テ ム
上 の 、 任 意 の
プ ロ グ ラ ム フ
ァ イ ル を 指 し
て い る 。 Object は フ
ァ イ ル や 、 デ
ィ レ ク ト リ や
、 そ の 他 の 特
別 な オ プ シ ョ
ン (MEM デ バ イ ス 、
RAW IO、 隠 し プ ロ セ
ス )を 指 し て い
る 。 Target は 、 Sbject の
Object に 対 す る ア ク
セ ス タ イ プ を
定 義 し て い る
。
ACL の 書 式 は
[-s subject] [-d|-i TTL] -o object [-t timescale] -j TARGET
Subject を 省 略 す る と 、 ACL は そ の Object に 対 す る デ フ ォ ル ト の ア ク セ ス を
定 義 す る 。
-s subject
Subject と は 、 シ ス テ ム 上 の "/bin/login" の よ う な 、 任 意 の プ ロ グ ラ ム で あ る 。
-o object [portscale]
Object は フ ァ イ ル や 、 デ ィ レ ク ト リ や 、 そ の 他 の 特 別 な オ プ シ ョ ン (CAP_SYS_RAWIO, CAP_HIDDEN, CAP_INIT_KILL, な ど ) で あ る 。 . Object が CAP_NET_BIND_SERVICE の 場 合 に は 、 例 え ば 、 "20-299,400-1002" の よ う に 、 続 け て ポ ー ト 番 号 の 範 囲 を 指 定 す る 必 要 が あ る 。
|
-d |
こ れ は 、 DOMAIN 設 定 用 で あ る 。 こ れ を 指 定 す る と 、 Subject は Domain で 定 義 さ れ て い る Object に の み ア ク セ ス が 可 能 に な る 。 こ の Domain 以 外 の Object に 関 す る 全 て の ア ク セ ス は 、 で き な く な る 。 |
-i <inheritance level>
こ れ で 、 Subjectの 子 プ ロ セ ス に 対 し て の ACL の 継 承 を 指 定 す る 。 inheritance level は 、 ど れ ぐ ら い ま で ACL が 影 響 す る の か を 表 し て い る 。 継 承 レ ベ ル "-1" は 、 無 制 限 の 継 承 を 表 す 。 継 承 レ ベ ル 1 は 、 親 プ ロ セ ス に よ り 発 生 さ れ た 、 同 じ プ ロ グ ラ ム で は 無 い 子 プ ロ セ ス が ACL を 継 承 す る が 、 子 プ ロ セ ス が 発 生 し た 子 プ ロ セ ス (す な わ ち 、 オ リ ジ ナ ル の プ ロ セ ス か ら 見 た 孫 プ ロ セ ス )に は 、 ACL は 継 承 さ れ な い と い う こ と を 表 し て い る 。 継 承 レ ベ ル は 、 親 プ ロ セ ス と は 異 な る プ ロ グ ラ ム の 、 子 プ ロ セ ス に の み 有 効 に な る 。 も し 子 プ ロ セ ス が 親 プ ロ セ ス と 同 じ 場 合 に は 、 親 プ ロ セ ス と 完 全 に 同 じ 権 限 が 与 え ら れ る 。
-t タ イ ム ス ケ ー ル
こ れ は 、 ACL に 対 す る 時 間 制 限 で あ る 。 こ の 制 限 は 、 Subject 付 き の ACL に の み 、 作 用 す る 。 時 間 制 限 と は 、 ACL が 有 効 に な る 時 間 帯 で あ る 。 タ イ ム ス ケ ー ル の 書 式 は 、 "hourminute-hourminute" に な る 。 例 え ば 、 "0905-1021" は 、 "9 時 5 分 か ら 、 10 時 21 分 ま で " と な る 。
-j Target
Target に は 、 通 常 の フ ァ イ ル ア ク セ ス ACL に 対 し て READ, APPEND, WRITE, あ る い は IGNORE が 設 定 で き る 。 特 殊 な Object に 対 し て は 、 Target は GRANT だ け が 設 定 で き る 。
使 用 可 能 な 権 限
LIDS で 使 わ れ る 権 限 に は 、 下 記 の も の が あ る 。 封 印 し て 切 替 え を す る と き に 、 権 限 を 有 効 や 無 効 に す る た め に 名 前 を 使 用 す る こ と が で き る 。 さ ら に 、 権 限 が シ ス テ ム 全 体 で 無 効 に な っ て い る と き で も 、 プ ロ グ ラ ム に 権 限 を 与 え る こ と が で き る 。
CAP_CHOWN
chown(2)/chgrp(2)
CAP_DAC_OVERRIDE
DAC access.
CAP_DAC_READ_SEARCH
DAC read.
CAP_FOWNER
ユ ー ザ ー ID と オ ー ナ ー ID が 等 し く な い
CAP_FSETID
実 行 ユ ー ザ ー ID と オ ー ナ ー ID が 等 し く な い
CAP_KILL
実 /有 効 ID と プ ロ セ ス ID が 等 し く な い
CAP_SETGID
setgid(2)
CAP_SETUID
set*uid(2)
CAP_SETPCAP
転 送 権 限
CAP_LINUX_IMMUTABLE
不 変 か 、 付 け 加 え ら れ る フ ァ イ ル 特 性
CAP_NET_BIND_SERVICE
1024 未 満 の ポ ー ト へ の バ イ ン デ ィ ン グ
CAP_NET_BROADCAST
マ ル チ キ ャ ス ト の ブ ロ ー ド キ ャ ス ト /リ ス ニ ン グ
CAP_NET_ADMIN
イ ン タ ー フ ェ ー ス /フ ァ イ ア ー ウ ォ ー ル /ル ー テ ィ ン グ 変 更
CAP_NET_RAW
RAW ソ ケ ッ ト (ping)
CAP_IPC_LOCK
共 有 メ モ リ ー セ グ メ ン ト の ロ ッ ク
CAP_IPC_OWNER
IPC 所 有 者 の チ ェ ッ ク
CAP_SYS_MODULE
カ ー ネ ル モ ジ ュ ー ル の 挿 入 と 削 除
CAP_SYS_RAWIO
ioperm(2)/iopl(2) ア ク セ ス
CAP_SYS_CHROOT
chroot(2)
CAP_SYS_PTRACE
ptrace(2)
CAP_SYS_PACCT
プ ロ セ ス ア カ ウ ン テ ィ ン グ の 設 定
CAP_SYS_ADMIN
管 理 者 の 重 み
CAP_SYS_BOOT
reboot(2)
CAP_SYS_NICE
nice(2)
CAP_SYS_RESOURCE
リ ソ ー ス 制 限 の 設 定
CAP_SYS_TIME
シ ス テ ム 時 間 の 設 定
CAP_SYS_TTY_CONFIG
TTY 設 定
CAP_MKNOD
mknod() の 特 別 な 許 可
CAP_LEASE
フ ァ イ ル に リ ー ス を 許 可
CAP_HIDDEN
シ ス テ ム か ら プ ロ グ ラ ム を 隠 す
CAP_KILL_PROTECTED
プ ロ セ ス に 、 保 護 さ れ て い る プ ロ セ ス を kill さ せ る こ と を 許 可 /不 許 可
CAP_PROTECTED
シ グ ナ ル か ら プ ロ セ ス を 保 護
例
以
下 に 、 い く つ
か の lidsconf を 使 っ
た 例 を 示 す 。
こ れ ら は 簡 単
/平 易 な も の か
ら 、 複 雑 /難 解
な も の ま で あ
る 。 実 際 の フ
ァ イ ル 名 は も
っ と 具 体 的 な
も の が 使 わ れ
る こ と に 注 意
す る こ と 。
実
際 の シ ス テ ム
に 合 わ せ て フ
ァ イ ル /デ ィ レ
ク ト リ を 置 き
換 え る こ と 。
lidsconf -A -o /sbin -j READ
こ の ACL は 、 /sbin デ ィ レ ク ト リ を 読 込 み 専 用 に 保 護 す る 。
lidsconf -A -o /var/log/message -j APPEND
/var/log/messages を 付 加 専 用 に す る 。
lidsconf -A -o /sbin/test -j IGNORE
/sbin を 読 込 専 用 で 保 護 す る が 、 /sbin/test は 保 護 し な い 。
lidsconf -A -o /etc/passwd -j DENY
/etc/passwd を 全 て の ユ ー ザ ー か ら 隠 す 。 フ ァ イ ル を 見 る よ う な こ と (open, stat, な ど )は 、 で き な く な る 。
lidsconf -A -s /bin/login -o /etc/passwd -j READ
/bin/login プ ロ グ ラ ム に 、 先 ほ ど の 設 定 で 隠 し フ ァ イ ル に さ れ て い る /etc/passwd を 読 み 込 む こ と を 許 可 す る 。 こ の 場 合 、 /bin/login の み が /etc/passwd を 読 む こ と が で き る 。 そ の 他 の プ ロ グ ラ ム や ユ ー ザ ー は 、 そ の フ ァ イ ル (/etc/passwd) を 見 る こ と は で き な い 。
lidsconf -A -o /home/httpd -j
DENY
lidsconf -A -s /usr/sbin/httpd -o /home/httpd -j READ
lidsconf -A -s /usr/sbin/httpd -o CAP_NET_BIND_SERVICE 80 -i
-1 -j
GRANT
Web サ ー バ ー の ServerROOT (/home/httpd) を DENY で 保 護 し 、 httpd バ イ ナ リ ー (/usr/sbin/httpd) の み が ServerROOT (/home/httpd) を 読 み 込 む こ と を 許 可 し て 、 さ ら に httpd が ポ ー ト 番 号 80 番 に の み バ イ ン ド で き る よ う に す る こ と を 許 可 す る 。
lidsconf -A -s /bin/program -i 2 -o CAP_NET_ADMIN -j GRANT
/bin/program に CAP_NET_ADMIN の 権 限 を 与 え 、 継 承 レ ベ ル を 2 に 設 定 し て い る 。
lidsconf -A -s /usr/X11/bin/XF86_SVGA -o CAP_SYS_RAWIO -j GRANT
XF86_SVGA に CAP_SYS_RAWIO の 権 限 を 、 CAP_SYS_RAWIO が /etc/lids/lids.cap で 無 効 に な っ て い る と き に も 、 与 え る 。
lidsconf -A -s /usr/sbin/httpd -d -o /home/httpd -j READ
httpd の 実 行 ド メ イ ン を /home/httpd と し て 定 義 し て い る 。 /home/httpd 以 外 か ら の 、 ど の よ う な オ ペ レ ー シ ョ ン も 、 httpd が 動 い て い る と き に は 許 可 し な い 。
lidsconf -A -s /bin/login -o /etc/shadow -t 0900:1800 -j READ
/bin/login に /etc/shadow フ ァ イ ル を 、 09:00 か ら 18:00 の 間 だ け 読 み 込 ま せ る こ と を 許 可 す る 。 こ れ に よ り 、 ユ ー ザ ー の ロ グ イ ン を 、 こ の 時 間 だ け に 制 限 す る こ と が で き る 。
lidsconf -A -s /usr/sbin/sshd
-o CAP_NET_BIND_SERVICE 10-22,300-1020 -j
GRANT
/usr/sbin/sshd が ポ ー ト 番 号 10 か ら 22 ま で と 、 300 か ら 1020 ま で バ イ ン ド す る こ と が で き る よ う に 定 義 し て い る 。 こ の ケ ー ス で は 、 ssh は こ の 番 号 の 範 囲 の み で し か バ イ ン ド で き な い 。
そ の 他 の 情 報 源
メ ー リ ン グ リ ス ト
参 加 、
退 会 す る と き
に は 、 次 の サ
イ ト を 参 照 -
http://lists.sourceforge.net/lists/listinfo/lids-user
メ ッ セ -ジ を メ
ー リ ン グ リ ス
ト に 投 稿 す る
と き は 、 メ ー
ル を 次 の と こ
ろ ま で 送 信 し
て ほ し い -
lids-user@lists.sourceforge.net
最 新 の LIDS メ ー リ
ン グ リ ス ト の
ア ー カ イ ブ は
、 次 の と こ ろ
に あ る -
http://www.geocrawler.com/redir-sf.php3?list=lids-user
古 い ア ー カ イ
ブ は 、 次 の と
こ ろ に あ る -
http://groups.yahoo.com/group/lids
LIDS FAQ
LIDS FAQ は 次
の と こ ろ に あ
る -
http://www.lids.org/lids-faq/lids-faq.html
あ る い は 、
http://www.roedie.nl/lids-faq
バ グ
LIDS に 関 す る バ グ は 、 Xie や Phil に 送 る か 、 あ る い は メ ー リ ン グ リ ス ト (lids-user@lists.sourceforge.net) に 送 っ て ほ し い 。 カ ー ネ ル を コ ン パ イ ル す る と き に 使 っ た 、 .config フ ァ イ ル と 、 /etc/lids に あ る lids.conf と lids.cap フ ァ イ ル を 一 緒 に 送 る こ と 。 ま た 、 こ の マ ニ ュ ア ル ペ ー ジ で エ ラ ー を 見 付 け た ら 、 Sander Klein ま で 知 ら せ て 欲 し い 。
フ ァ イ ル
/etc/lids/lids.conf
- LIDS 設 定 フ ァ イ ル
/etc/lids/lids.cap
- 全 体 の 権
限 の 定 義
/etc/lids/lids.net
- e-mail ア ラ ー
ト の 設 定
/etc/lids/lids.pw
- 暗 号 化 さ
れ た LIDS パ ス ワ ー
ド
関 連 項 目
lidsadm (8)
AUTHORS
Huagang Xie <xie@lids.org>
Philippe Biondi <biondi@cartel-securite.fr>
マ ニ ュ ア ル ペ ー ジ は 、 Sander Klein に よ っ て 書 か れ た 。 <roedie@roedie.nl>
配 布
LIDS の 最 新 の バ ー ジ ョ ン は 、 http://www.lids.org/ か 、 ミ ラ ー か ら ダ ウ ン ロ ー ド で き る 。
LIDS そ の 他 の 注 意 点 は 、 lidsadm (8) の マ ニ ュ ア ル を 参 照 の こ と 。