LIDSADM(8) LIDSADM(8)
名前
lidsadm - Linux Intrusion Detection System 用の管理ツール
書式
lidsadm -[S|I] -- [+|-][LIDS_FLAG] [...]
lidsadm -V
lidsadm -h
説明
lidsadm は Linux Intrusion Detection System (LIDS) 用の管理ツールである
。
LIDS は現在のLinux カーネルを拡張する、カーネルパッチである。LIDS に よ
っ て、重要なファイルや、ディレクトリや、デバイスを保護することができる
。さらにシステム全体に対して、アクセス制限をかけるACL を定義すること も
で きる。LIDS の詳しい情報に関しては、 http://www.lids.org を参照のこと
。
lidsadm は、ACL を定義し、LIDS の保護機能を管理するために使用される。
コマンド
それぞれのlidsadm ユーティリティの機能ごとに、コマンドは独立して定義 さ
れる。組み合わせて使用することはできない。
-P RipeMD-160 で暗号化されたLIDS のパスワード(lids.pw に保存される)
を設定する。
-S LIDS の保護機能を変更する(LIDS パスワードが必要)。
-I LIDS の保護状態をパスワード無しで変更する("カーネルの封印"のとき
だけ使用される)。
-V LIDS システムの現在の状態を表示する。
-v lidsadm のバージョンを表示する。
-h ヘルプを表示する。
LIDS_FLAG
たくさんのフラグをセットすることができる。権限をセットしたり外し
た り、さらにLIDS システムをオンにしたりオフにしたりすることもで
きる。
使用可能な権限
LIDS で使われる権限には、下記のものがある。封印して切替えをするときに、
権 限を有効や無効にするために名前を使用することができる。さらに、権限が
システム全体で無効になっているときでも、プログラムに権限を与えること が
できる。
CAP_CHOWN
chown(2)/chgrp(2)
CAP_DAC_OVERRIDE
DAC access.
CAP_DAC_READ_SEARCH
DAC read.
CAP_FOWNER
ユーザーID とオーナーID が等しくない
CAP_FSETID
実行ユーザーID とオーナーID が等しくない
CAP_KILL
実/有効ID とプロセスID が等しくない
CAP_SETGID
setgid(2)
CAP_SETUID
set*uid(2)
CAP_SETPCAP
転送権限
CAP_LINUX_IMMUTABLE
不変か、付け加えられるファイル特性
CAP_NET_BIND_SERVICE
1024 未満のポートへのバインディング
CAP_NET_BROADCAST
マルチキャストのブロードキャスト/リスニング
CAP_NET_ADMIN
インターフェース/ファイアーウォール/ルーティング 変更
CAP_NET_RAW
RAW ソケット(ping)
CAP_IPC_LOCK
共有メモリーセグメントのロック
CAP_IPC_OWNER
IPC 所有者のチェック
CAP_SYS_MODULE
カーネルモジュールの挿入と削除
CAP_SYS_RAWIO
ioperm(2)/iopl(2) アクセス
CAP_SYS_CHROOT
chroot(2)
CAP_SYS_PTRACE
ptrace(2)
CAP_SYS_PACCT
プロセスアカウンティングの設定
CAP_SYS_ADMIN
管理者の重み
CAP_SYS_BOOT
reboot(2)
CAP_SYS_NICE
nice(2)
CAP_SYS_RESOURCE
リソース制限の設定
CAP_SYS_TIME
システム時間の設定
CAP_SYS_TTY_CONFIG
TTY 設定
CAP_MKNOD
mknod() の特別な許可
CAP_LEASE
ファイルにリースを許可
CAP_HIDDEN
システムからプログラムを隠す
CAP_KILL_PROTECTED
プロセスに、保護されているプロセスをkill させることを許可/不許可
CAP_PROTECTED
シグナルからプロセスを保護
有効なフラグ
これらのフラグは、管理オプションの"-S" と共に用いられる。
LIDS_GLOBAL
LIDS システム全体を有効/無効にする。
RELOAD_CONF
設定ファイルと、プログラムのinode/dev 番号を再読込させる。
LIDS LIDS をローカルに(シェルと子プロセスも) を有効/無効にする。こ れ
は、 LIDS フリーセッション(LFS) として知られている。
例
下記にlidsadm の使用例をいくつか示す。
lidsadm -I
カ ーネルを、デフォルトの/etc/lids/lids.cap にある権限セットを用
いて封印する。そのファイルは、自分自身で編集する必要がある。
lidsadm -S -- -LIDS
LIDS を現在のターミナルセッション上でオフにするときは、このオ プ
ションを使用することを薦める。
lidsadm -S -- -LIDS_GLOBAL
LIDS を全体的にオフにする。システムは、もはやLIDS で守られていな
い。
その他の情報源
メーリングリスト
参加、退会するときには、次のサイトを参 照- http://lists.source-
forge.net/lists/listinfo/lids-user
メ ッセ-ジをメーリングリストに投稿するときは、メールを次のところ
まで送信してほしい- lids-user@lists.sourceforge.net
最新のLIDS メーリングリストのアーカイブは、次のとこ ろ に あ る-
http://www.geocrawler.com/redir-sf.php3?list=lids-user
古 い ア ー カ イ ブ は 、 次 の と こ ろ に あ る-
http://groups.yahoo.com/group/lids
LIDS FAQ
LIDS FAQ は次のところにある-
http://www.lids.org/lids-faq/lids-faq.html
あるいは、
http://www.roedie.nl/lids-faq
バグ
LIDS に関するバグは、Xie やPhil に送るか、あるいはメーリ ン グ リ ス ト
(lids-user@lists.sourceforge.net) に送ってほしい。カーネルをコンパイル
するときに使った、.config ファ イ ル と 、/etc/lids に あ るlids.conf
とlids.cap ファイルを一緒に送ること。また、このマニュアルページでエラー
を見付けたら、Sander Klein まで知らせて欲しい。
ファイル
/etc/lids/lids.conf - LIDS 設定ファイル
/etc/lids/lids.cap - 全体の権限の定義
/etc/lids/lids.net - e-mail アラートの設定
/etc/lids/lids.pw - 暗号化されたLIDS パスワード
関連項目
lidsconf(8)
AUTHORS
Huagang Xie
Copyright(C) linux-cmd.com All Rights Reserved. Author Takayuki Yukawa