LIDSADM
Section: Maintenance Commands (8)
Index
JM Home Page
roff page
名前
lidsadm - Linux Intrusion Detection System 用の管理ツール
書式
lidsadm -[S|I] -- [+|-][LIDS_FLAG] [...]
lidsadm -V
lidsadm -h
説明
lidsadm
は
Linux Intrusion Detection System (LIDS)
用の管理ツールである。
LIDS は現在のLinux カーネルを拡張する、カーネルパッチである。LIDS によっ
て、重要なファイルや、ディレクトリや、デバイスを保護することができる。
さらにシステム全体に対して、アクセス制限をかけるACL を定義することもで
きる。LIDS の詳しい情報に関しては、
http://www.lids.org
を参照のこと。
lidsadm
は、ACL を定義し、LIDS の保護機能を管理するために使用される。
コマンド
それぞれのlidsadm ユーティリティの機能ごとに、コマンドは独立して定義さ
れる。組み合わせて使用することはできない。
- -P
-
RipeMD-160 で暗号化されたLIDS のパスワード(lids.pw に保存される) を設
定する。
- -S
-
LIDS の保護機能を変更する(LIDS パスワードが必要)。
- -I
-
LIDS の保護状態をパスワード無しで変更する("カーネルの封印"のときだけ
使用される)。
- -V
-
LIDS システムの現在の状態を表示する。
- -v
-
lidsadm のバージョンを表示する。
- -h
-
ヘルプを表示する。
LIDS_FLAG
- たくさんのフラグをセットすることができる。権限をセットしたり外し
-
たり、さらにLIDS システムをオンにしたりオフにしたりすることもできる。
使用可能な権限
LIDS で使われる権限には、下記のものがある。封印して切替えをすると
きに、権限を有効や無効にするために名前を使用することができる。
さらに、権限がシステム全体で無効になっているときでも、プログラムに権限
を与えることができる。
- CAP_CHOWN
-
chown(2)/chgrp(2)
- CAP_DAC_OVERRIDE
-
DAC access.
- CAP_DAC_READ_SEARCH
-
DAC read.
- CAP_FOWNER
-
ユーザーID とオーナーID が等しくない
- CAP_FSETID
-
実行ユーザーID とオーナーID が等しくない
- CAP_KILL
-
実/有効ID とプロセスID が等しくない
- CAP_SETGID
-
setgid(2)
- CAP_SETUID
-
set*uid(2)
- CAP_SETPCAP
-
転送権限
- CAP_LINUX_IMMUTABLE
-
不変か、付け加えられるファイル特性
- CAP_NET_BIND_SERVICE
-
1024 未満のポートへのバインディング
- CAP_NET_BROADCAST
-
マルチキャストのブロードキャスト/リスニング
- CAP_NET_ADMIN
-
インターフェース/ファイアーウォール/ルーティング 変更
- CAP_NET_RAW
-
RAW ソケット(ping)
- CAP_IPC_LOCK
-
共有メモリーセグメントのロック
- CAP_IPC_OWNER
-
IPC 所有者のチェック
- CAP_SYS_MODULE
-
カーネルモジュールの挿入と削除
- CAP_SYS_RAWIO
-
ioperm(2)/iopl(2) アクセス
- CAP_SYS_CHROOT
-
chroot(2)
- CAP_SYS_PTRACE
-
ptrace(2)
- CAP_SYS_PACCT
-
プロセスアカウンティングの設定
- CAP_SYS_ADMIN
-
管理者の重み
- CAP_SYS_BOOT
-
reboot(2)
- CAP_SYS_NICE
-
nice(2)
- CAP_SYS_RESOURCE
-
リソース制限の設定
- CAP_SYS_TIME
-
システム時間の設定
- CAP_SYS_TTY_CONFIG
-
TTY 設定
- CAP_MKNOD
-
mknod() の特別な許可
- CAP_LEASE
-
ファイルにリースを許可
- CAP_HIDDEN
-
システムからプログラムを隠す
- CAP_KILL_PROTECTED
-
プロセスに、保護されているプロセスをkill させることを許可/不許可
- CAP_PROTECTED
-
シグナルからプロセスを保護
有効なフラグ
これらのフラグは、管理オプションの"-S" と共に用いられる。
- LIDS_GLOBAL
-
LIDS システム全体を有効/無効にする。
- RELOAD_CONF
-
設定ファイルと、プログラムのinode/dev 番号を再読込させる。
- LIDS
-
LIDS をローカルに(シェルと子プロセスも) を有効/無効にする。これは、
LIDS フリーセッション(LFS) として知られている。
例
下記にlidsadm の使用例をいくつか示す。
- lidsadm -I
-
カーネルを、デフォルトの/etc/lids/lids.cap にある権限セットを用い
て封印する。そのファイルは、自分自身で編集する必要がある。
- lidsadm -S -- -LIDS
-
LIDS を現在のターミナルセッション上でオフにするときは、このオプションを
使用することを薦める。
- lidsadm -S -- -LIDS_GLOBAL
-
LIDS を全体的にオフにする。システムは、もはやLIDS で守られていない。
その他の情報源
- メーリングリスト
-
参加、退会するときには、次のサイトを参照-
http://lists.sourceforge.net/lists/listinfo/lids-user
メッセ-ジをメーリングリストに投稿するときは、メールを次のところまで送信
してほしい-
lids-user@lists.sourceforge.net
最新のLIDS メーリングリストのアーカイブは、次のところにある-
http://www.geocrawler.com/redir-sf.php3?list=lids-user
古いアーカイブは、次のところにある-
http://groups.yahoo.com/group/lids
- LIDS FAQ
-
LIDS FAQ は次のところにある-
http://www.lids.org/lids-faq/lids-faq.html
あるいは、
http://www.roedie.nl/lids-faq
バグ
LIDS に関するバグは、Xie やPhil に送るか、あるいはメーリングリスト
(lids-user@lists.sourceforge.net)
に送ってほしい。
カーネルをコンパイルするときに使った、.config ファイルと、/etc/lids に
あるlids.conf とlids.cap ファイルを一緒に送ること。また、このマ
ニュアルページでエラーを見付けたら、Sander Klein まで知らせて欲しい。
ファイル
/etc/lids/lids.conf - LIDS 設定ファイル
/etc/lids/lids.cap - 全体の権限の定義
/etc/lids/lids.net - e-mail アラートの設定
/etc/lids/lids.pw - 暗号化されたLIDS パスワード
関連項目
lidsconf(8)
AUTHORS
Huagang Xie
<xie@lids.org>
Philippe Biondi
<biondi@cartel-securite.fr>
マニュアルページは、Sander Klein によって書かれた。
<roedie@roedie.nl>
配布
LIDS
の最新のバージョンは、
http://www.lids.org/
か、ミラーからダウンロードできる。
LIDS
is (C) 1999-2003 by Huagang Xie(xie@lids.org)。
その他の注意点は、lidsadm (8) のマニュアルを参照のこと。
Index
- 名前
-
- 書式
-
- 説明
-
- コマンド
-
- LIDS_FLAG
-
- 使用可能な権限
-
- 有効なフラグ
-
- 例
-
- その他の情報源
-
- バグ
-
- ファイル
-
- 関連項目
-
- AUTHORS
-
- 配布
-
This document was created by
man2html,
using the manual pages.
Time: 04:32:32 GMT, November 19, 2007