Это старая версия документа!

Содержание

Откуда начинать поиск программ
Исключить указанные каталоги из поиска
Адрес e-mail для отправки отчета
Отправлять отчет всегда, даже если нет изменений?
yes = да, по = нет
Файл журнала
Сколько журналов хранить
Всегда выполнять ротацию журналов, даже если нет изменений
Каталоги, а которых вообще запрещено применение битов SUID и SGID
Удалять спец. биты из программ, найденных в запрещенных каталогах
Всегда ли отправлять полный список изменений
Игнорировать следующие каталоги
Файл, содержащий список имен файлов (по одному в каждой строке), для которых разрешена установка спец. прав. Это список дополнительных файлов, спец. права для которых установил администратор
Программа для отправки электронных сообщений
cd /tmp
touch test.bin
chmod +x test.bin
chmod u+s test.bin

Программа sXid Специальный контроль за специальными правами

Программа sXid наблюдает за файлами с правами SUID и SGID. Каждый день программа запускается как задача планировщика cron и проверяет систему на наличие подозрительных файлов с битами SUID и SGID.

Установка программы Пакет sxid (RPM или DEB) часто входит в состав дистрибутива, но если на дистрибутивных DVD он отсутствует, его можно поискать в Интернете. К слову, пакет sxid всегда доступен ЗДЕСЬ.

Настройка sXid

Настройка программы осуществляется путем редактирования ее конфигурационного файла /etc/sxid.conf

Пример файла конфигурации /etc/sxid.conf

Откуда начинать поиск программ

SEARCH = «/»

Исключить указанные каталоги из поиска

EXCLUDE =«/proc /mnt /media»

Адрес e-mail для отправки отчета

EMAIL = «root»

Отправлять отчет всегда, даже если нет изменений?

yes = да, по = нет

ALWAYS_NOTIFY = «по»

Файл журнала

LOG_FILE = «var/log/sxid.log»

Сколько журналов хранить

KEEP_LOGS = 5

Всегда выполнять ротацию журналов, даже если нет изменений

ALWAYS_R0TATE = «по»

Каталоги, а которых вообще запрещено применение битов SUID и SGID

FORBIDDEN = «/home /tmp»

Удалять спец. биты из программ, найденных в запрещенных каталогах

ENFORCE = «yes»

Всегда ли отправлять полный список изменений

LISTALL = «no»

Игнорировать следующие каталоги

IGNORE_DIRS = «»

Файл, содержащий список имен файлов (по одному в каждой строке), для которых разрешена установка спец. прав. Это список дополнительных файлов, спец. права для которых установил администратор

EXTRA_LIST = «etc/sxid.lst»

Программа для отправки электронных сообщений

MAIL_PROG = «/bin/mail»

После редактирования конфигурационного файла программы нужно изменить права доступа к нему:

chmod 400 etc/sxid.conf

При установке программы будет создан файл /etc/cron.daily/sxid, обеспечивающий ежедневный запуск программы, поэтому вам не нужно будет заботиться о его создании.

Запуск и проверка программы

Запустите программу:

sxid -к

и если высветится, что «no changes found» (никаких изменений не найдено), то все в порядке.

А теперь перейдите в каталог /tmp (можно в любой другой), создайте пустой файл и установите для него права SUID:

cd /tmp

touch test.bin

chmod +x test.bin

chmod u+s test.bin

Опять запустите программу: sxid -k

В конце мы видим: Checking for any additions or removals: +/tmp/test.bin root.root - 6755

Checking for changed attributes or sums/inodes:

Checking for no user/group matches:

Checking for forbidden s[ug]id items: tmp/test.bin root.root 755

Программа нашла созданный нами файл и изменила его права доступа, сняв специальные биты.

nadejnei.net

Инструменты пользователя

Инструменты сайта

**Это старая версия документа!**