система виявлення вторгнень в ОС Linux LIDS. Цей засіб є одним з найпоширеніших засобів такого роду. Засоби контролю цілісності файлів допоможуть дізнатися про встановлення нових модулів ядра або модифікації існуючих. Обмеження прав доступу і застосування команди chattr + I відносно різних каталогів / lib / modules може уповільнити атаку початківця хакера.
Але єдиною реальною захистом проти таких складних атак є латки ядра зразок LIDS, коли відповідна конфігурація латки не дозволяє навіть суперкористувачеві встановлювати файли в каталог / lib / modules або взагалі завантажувати модулі в ядро.
Взагалі латка LIDS (Linux Intrusion Detection System - система виявлення і захисту від вторгнень в операційну систему Linux, # «justify"> LIDS може бути встановлена ??як латка ядра і як засіб адміністрування. Серед наданих нею можливостей можна виділити наступні.
Удосконалення захисту файлів. Захищені за допомогою LIDS файли можуть бути прихованими або з встановленою захистом від змін навіть з боку суперкористувача.
Захист процесів. Ядро може відхилити відправку сигналів (наприклад, сигналу SIGKILL) захищеним процесам. Процеси також можуть бути прихованими - каталог / proc не надасть ніякої інформації про цей процес.
Покращений контроль за правами доступу. Застосовується більш ефективне призначення мандатів для надання привілеїв, включаючи заборону зміни мандатів користувачеві з правами системного адміністратора.
Вбудований детектор сканування портів. Детектор сканування може бути вбудований в ядро ??і дозволяє виявляти більшість відомих методів сканування (наприклад, приховане, SYN - сканування і т.д.), виконуваних програмами nmap, SATAN та іншими подібними мережевими сканерами. Інформація про всі дії, які вчиняються проти всіх захищених LIDS об'єктів, записується в системний журнал або надсилається електронною поштою.
Для установки LIDS необхідно завантажити останню офіційну версію ядра Linux і вихідний код латки LIDS. Після цього встановіть латку для вихідного коду ядра, виконайте його компіляцію, інсталюйте утиліту адміністрування і перезавантажте систему. Після запуску LIDS дозволяє виконувати зміни ядра тільки суперкористувачеві, який буде ідентифікований утилітою lidsam. Відомості про всі зміни, внесені в ядро ??на постійній основі, зберігаються в каталозі / etc / lids. За допомогою LIDS можна встановлювати жорсткі обмеження прав доступу до більшості файлів. Бажано захистити всі двійкові файли (/ bin, / sbin, / usr / sbin і т.д.), всі файли системи логування (/ var / log) і конфігураційні файли (/ etc). LIDS дозволяє використовувати чотири типи прав доступу до файлів.
Deny (заборонити). Файли з цим атрибутом не доступні для будь-яких користувачів або програм, крім тих, кому надані особливі повноваження. Наприклад, можна заборонити доступ до файлу / etc / shadow всім користувачам і програмам і видати особливий дозвіл тільки для програми / bin / login з метою надання можливості аутентифікації користувачів.
Read-only (тільки для читання). Файли тільки для читання не можуть змінюватися ні одним користувачем, включаючи суперкористувача.
Append-only (тільки для додавання). Файли з атрибутом для додавання дозволяють лише додати інформацію. Збережені дані не можуть бути зм...
