Конфігурація ядра

Матеріал з Wiki TNEU
Перейти до: навігація, пошук

Конфігурація ядра

Щоб налаштувати ядро, додавши підтримку LIDS, скористайся make menuconfig або будь-який інший командою конфігурації ядра, зручною тобі:

cd / usr / src / linux make menuconfig make menuconfig


Насамперед вибери пункт меню Code maturity level options. Усередині ти знайдеш опцію Prompt for development and / or incomplete code / drivers (CONFIG_EXPERIMENTAL). Дана опція повинна бути включена (CONFIG_EXPERIMENTAL = y). 

[*] Prompt for development and / or incomplete code / drivers


Потім вибери пункт меню General setup. Найди опцию Sysctl support(CONFIG_SYSCTL). Знайди опцію Sysctl support (CONFIG_SYSCTL). Дана опція також повинна бути включена (CONFIG_SYSCTL = y).

[*] Sysctl support


Потім вибери пункт Linux Intrusion Detection System. Усередині ти знайдеш різні параметри настройки LIDS. Першим йде включення підтримки LIDS в ядрі. Натисни пробіл на цьому пункті для включення підтримки:

[*] Linux Intrusion Detection System support (EXPERIMENTAL)


Після включення підтримки LIDS, виникне список різних опцій налаштування LIDS:


Maximum protected objects to manage (CONFIG_LIDS_MAX_INODE)

Даний пункт дозволяє встановити максимальну кількість захищених об'єктів. За замовчуванням 1024. Чим більше число, тим більше розмір ядра.:)


Maximum ACL subjects to manage (CONFIG_LIDS_MAX_SACL) Maximum ACL subjects to manage (CONFIG_LIDS_MAX_SACL)

Дозволяє встановити максимальну кількість суб'єктів правил доступу LIDS. За замовчуванням 1024.


Maximum ACL objects to manage (CONFIG_LIDS_MAX_OACL) Maximum ACL objects to manage (CONFIG_LIDS_MAX_OACL)

Дозволяє встановити максимальну кількість об'єктів правил доступу LIDS. За замовчуванням 1024. Про об'єкти, суб'єктів правил доступу, самих правилах, захисту об'єктів пізніше .:)


Maximum protected proceeds (CONFIG_LIDS_MAX_PROTECTED_PID) Maximum protected proceeds (CONFIG_LIDS_MAX_PROTECTED_PID)

Дозволяє встановити максимальну кількість захищених процесів. За замовчуванням 1024.


Hang up console when raising securit alert (CONFIG_LIDS_HANGUP) Hang up console when raising securit alert (CONFIG_LIDS_HANGUP)

Даний пункт включає / відключає можливість закриття консолі, з якою відбулося порушення безпеки. Наприклад, при спробі запису в захищений файл, вікно терміналу користувача, що намагається це зробити, закривається, викидаючи його таким чином з системи. Рекомендуется включить данную опцию. Рекомендується включити дану опцію.


Security alert when execing unprotected programs before sealing LIDS (CONFIG_LIDS_SA_EXEC_UP) Security alert when execing unprotected programs before sealing LIDS (CONFIG_LIDS_SA_EXEC_UP)

Включає / відключає виведення повідомлення про порушення безпеки при запуску незахищених програм до установки здібностей. Рекомендується включити дану опцію, тому що це дозволить виявити програми, які адміністратор або забув захистити за допомогою LIDS, або які були встановлені в початкове завантаження злісним хакером.:) Про здібності пізніше.:)


Do not execute unprotected programs before sealing LIDS (CONFIG_LIDS_NO_EXEC_UP) Do not execute unprotected programs before sealing LIDS (CONFIG_LIDS_NO_EXEC_UP)

Включає / відключає заборону на запуск незахищених програм до установки здібностей. Не включай цю опцію, поки не будеш впевнений в тому, що всі програми, що запускаються при початковому завантаженні, захищенi!


Try not to flood logs (CONFIG_LIDS_NO_FLOOD_LOGS) Try not to flood logs (CONFIG_LIDS_NO_FLOOD_LOGS)

При включенні цієї опції LIDS не буде записувати в логи поспіль йдуть повідомлення про одне й те ж порушення захисту. Для більшої безпеки рекомендується не включати цю опцію.


Autorized time between two identic logs (seconds) (CONFIG_LIDS_TIMEOUT_AFTER_FLOOD) Autorized time between two identic logs (seconds) (CONFIG_LIDS_TIMEOUT_AFTER_FLOOD)

Тут встановлюється час в секундах, протягом яких перевіряється поява двох ідентичних повідомлень, для того, щоб не записувати однакові повідомлення в логи. За замовчуванням 60 секунд.


Allow switching LIDS protections (CONFIG_LIDS_ALLOW_SWITCH) Allow switching LIDS protections (CONFIG_LIDS_ALLOW_SWITCH)

Включає / відключає можливість відключення і включення LIDS в процесі роботи системи після введення пароля. При включення даної опції з'являється можливість поміняти будь-які параметри роботи без перезавантаження системи. Для кращої безпеки рекомендується відключити дану опцію, але поки ти повністю не розібрався з роботою і налаштуванням LIDS краще залишити її включеною.


Numbers of attempts to submit password (CONFIG_LIDS_MAX_TRY) Numbers of attempts to submit password (CONFIG_LIDS_MAX_TRY)

Кількість спроб введення пароля, по закінченню яких відключення LIDS стає неможливим на заданий проміжок часу. За замовчуванням 3. Для більшої безпеки постав 1.:)


Time to wait after fail (seconds) (CONFIG_LIDS_TTW_FAIL) Time to wait after fail (seconds) (CONFIG_LIDS_TTW_FAIL)

Час в секундах, протягом якого після введення неправильного пароля вказану кількість разів, відключення LIDS стає неможливим. За замовчуванням 3 секунди. Для більшої безпеки постав 3600 секунд, щоб хакер сильніше помучився.:)


Allow remote users to switch LIDS protections (CONFIG_LIDS_REMOTE_SWITCH) Allow remote users to switch LIDS protections (CONFIG_LIDS_REMOTE_SWITCH)

Дає можливість віддаленим користувачам відключати LIDS. Не рекомендується включати цю опцію.


Allow any program to switch LIDS protections (CONFIG_LIDS_ANY_PROG_SWITCH) Allow any program to switch LIDS protections (CONFIG_LIDS_ANY_PROG_SWITCH)

Дає можливість будь-якій програмі відключати LIDS. Для чого може знадобиться ця опція навіть автори LIDS не знають. Настійно рекомендується не включати цю опцію!


Allow reloading config. Allow reloading config. file (CONFIG_LIDS_RELOAD_CONFIG) file (CONFIG_LIDS_RELOAD_CONFIG)

Якщо ти відключаєш захист, то мабуть для того, щоб змінити якісь налаштування. Ці настройки не вступлять в силу до тих пір, поки ти не даси команду вважати заново файли конфігурації. Дана опція включає можливість переконфігурація LIDS без перезавантаження комп'ютера.


Port Scanner Detector in kernel (CONFIG_LIDS_PORT_SCAN_DETECTOR) Port Scanner Detector in kernel (CONFIG_LIDS_PORT_SCAN_DETECTOR)

При включенні цієї опції в ядро ​​вкомпілівается детектор сканування портів. Детектор дуже потужний, визначає практично всі відомі методи сканування портів. Рекомендується включити дану опцію.


Send security alerts through network (CONFIG_LIDS_SA_THROUGH_NET) Send security alerts through network (CONFIG_LIDS_SA_THROUGH_NET)

Включає / відключає можливість відправки електронної пошти при порушенні безпеки на вказаний віддалений e-mail з інформацією про порушення. Лист відправляється негайно при спробі здійснення несанкціонованих дій. Для відправки може використовуватися будь-smtp-сервер, як віддалений, так і локальний.


Hide KLIDS network threads (CONFIG_LIDS_SA_HIDE_KLIDS) Hide KLIDS network threads (CONFIG_LIDS_SA_HIDE_KLIDS)

Включення даної опції дозволяє приховувати мережеві з'єднання LIDS. Вони не будуть видні ні в / proc, ні при запуску netstat. Але в цьому випадку всі помилки з'єднання з smtp-сервером не будуть записуватися в логи.


Number of connection tries before giving up (CONFIG_LIDS_NET_MAX_TRIES) Number of connection tries before giving up (CONFIG_LIDS_NET_MAX_TRIES)

Тут вказується кількість спроб з'єднання з smtp-сервером. Якщо з'єднання не буде встановлено - лист з інформацією про порушення безпеки не буде надіслано. За замовчуванням 3. Для більшої впевненості постав тут досить велике число.


Sleep time after a failed connection (CONFIG_LIDS_NET_TIMEOUT) Sleep time after a failed connection (CONFIG_LIDS_NET_TIMEOUT)

Час в секундах між спробами з'єднання.


Message queue size (CONFIG_LIDS_MSGQUEUE_SIZE) Message queue size (CONFIG_LIDS_MSGQUEUE_SIZE)

Максимальна кількість повідомлень в черзі. При перевищенні цієї кількості, найстаріше невідправлене буде видалено з черги.


Use generic mailer pseudo-script (CONFIG_LIDS_MAIL_SCRIPT) Use generic mailer pseudo-script (CONFIG_LIDS_MAIL_SCRIPT)

Включення даної опції вказує LIDS використовувати стандартний скрипт для відправки повідомлення. Відключення вказує використовувати скрипт користувача. ВУ версії 0.9.8 ця опція не працює. Тому обов'язково повинна бути включена. У попередніх версіях працювала і дозволяла використовувати свій скрипт для відправки повідомлень на віддалений комп'ютер. Можна було вибрати протокол (TCP або UDP) та інші параметри передачі повідомлення. Хоча якщо трохи попрацювати над исходниками (/ usr / src / linux / kernel / KLIDS.c), можна змусити цю опцію працювати.:) Але краще надати цю роботу авторам.


LIDS debug (CONFIG_LIDS_DEBUG) LIDS debug (CONFIG_LIDS_DEBUG)

Ця опція добавлена ​​тільки у версії 0.9.8. Використовується для включення виведення налагоджувальних повідомлень LIDS. Якщо ти не збираєшся сам переписувати исходники LIDS - залиш цю опцію відключеною.



Таким чином, після настройки всіх параметрів, в / usr / src / linux / .config повинні з'явиться рядки, приблизно такого змісту:

CONFIG_ LIDS = y

CONFIG_LIDS_MAX_INODE=1024 CONFIG_LIDS_MAX_INODE = 1024

CONFIG_LIDS_MAX_SACL=1024 CONFIG_LIDS_MAX_SACL = 1024

CONFIG_LIDS_MAX_OACL=1024 CONFIG_LIDS_MAX_OACL = 1024

CONFIG_LIDS_MAX_PROTECTED_PID=1024 CONFIG_LIDS_MAX_PROTECTED_PID = 1024

CONFIG_LIDS_HANGUP=y CONFIG_LIDS_HANGUP = y

CONFIG_LIDS_SA_EXEC_UP=y CONFIG_LIDS_SA_EXEC_UP = y

  1. CONFIG_LIDS_NO_EXEC_UP is not set # CONFIG_LIDS_NO_EXEC_UP is not set

CONFIG_LIDS_NO_FLOOD_LOG=y CONFIG_LIDS_NO_FLOOD_LOG = y

CONFIG_LIDS_TIMEOUT_AFTER_FLOOD=60 CONFIG_LIDS_TIMEOUT_AFTER_FLOOD = 60

CONFIG_LIDS_ALLOW_SWITCH=y CONFIG_LIDS_ALLOW_SWITCH = y

CONFIG_LIDS_MAX_TRY=3 CONFIG_LIDS_MAX_TRY = 3

CONFIG_LIDS_TTW_FAIL=3600 CONFIG_LIDS_TTW_FAIL = 3600

  1. CONFIG_LIDS_REMOTE_SWITCH is not set # CONFIG_LIDS_REMOTE_SWITCH is not set
  1. CONFIG_LIDS_ALLOW_ANY_PROG_SWITCH is not set # CONFIG_LIDS_ALLOW_ANY_PROG_SWITCH is not set

CONFIG_LIDS_RELOAD_CONF=y CONFIG_LIDS_RELOAD_CONF = y

CONFIG_LIDS_PORT_SCAN_DETECTOR=y CONFIG_LIDS_PORT_SCAN_DETECTOR = y

CONFIG_LIDS_SA_THROUGH_NET=y CONFIG_LIDS_SA_THROUGH_NET = y

CONFIG_LIDS_HIDE_KLIDS=y CONFIG_LIDS_HIDE_KLIDS = y

CONFIG_LIDS_NET_MAX_TRIES=3 CONFIG_LIDS_NET_MAX_TRIES = 3

CONFIG_LIDS_NET_TIMEOUT=10 CONFIG_LIDS_NET_TIMEOUT = 10

CONFIG_LIDS_MSGQUEUE_SIZE=16 CONFIG_LIDS_MSGQUEUE_SIZE = 16

CONFIG_LIDS_MAIL_SCRIPT=y CONFIG_LIDS_MAIL_SCRIPT = y

  1. CONFIG_LIDS_DEBUG is not set # CONFIG_LIDS_DEBUG is not set


Звичайно значення параметрів настройки ядра у тебе можуть не співпадати з наведеними вище, але імена параметрів повинні бути такими ж.:)

Тепер спокійно можна перезібрати і встановити нове ядро.

cd / usr / src / linux

make clean dep install modules modules_install make clean dep install modules modules_install


Поки йде компіляції ядра, можна зайнятися налаштуванням інших параметрів LIDS. АЛЕ ЗА ЖОДНИХ УМОВ НЕ перевантажувати машину, ПОКИ НЕ Закінчивши налаштування LIDS!

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти