|
|
(Одна проміжна версія одного користувача не показана) |
Рядок 1: |
Рядок 1: |
− | == Конфігурація ядра ==
| + | Конфігурування |
− | | + | Поточна конфігурація ядра зберігається у файлі. Config. Даний файл формується за допомогою однієї з конфігураційних цілей (мета - це, кажучи простою мовою, команда виконується у вигляді make мета): |
− | Щоб налаштувати ядро, додавши підтримку '''LIDS''', скористайся make menuconfig або будь-який інший командою конфігурації ядра, зручною тобі:
| + | config config |
− | | + | Мета config використовує інтерфейс командного рядка для отримання відповідей багато на питання, що стосуються створення або поновлення файлу. Config. В порівнянні з цілями використовують меню - дуже незручна штука. |
− | cd / usr / src / linux
| + | cloneconfig cloneconfig |
− | make menuconfig make menuconfig
| + | Копіювання налаштувань поточного ядра в файл. Config. Дана мета застаріла і в нових ядрах замінена oldconfig .(Зручно для додавання нових функція поточного ядра) |
− | | + | menuconfig menuconfig |
− | | + | Мета menuconfig використовує програму з меню-інтерфейсом, побудовану на базі ncurses, для створення або поновлення файлу. Config. Ви повинні тільки відповісти на питання для елементів, які потрібно змінити. Цей підхід замінив стару мета config. Виконується у вікні терміналу віддалено або локально. |
− | Насамперед вибери пункт меню Code maturity level options. Усередині ти знайдеш опцію Prompt for development and / or incomplete code / drivers (CONFIG_EXPERIMENTAL). Дана опція повинна бути включена (CONFIG_EXPERIMENTAL = y).
| + | nconfig nconfig |
− | | + | Мета nconfig використовує програму з меню-інтерфейсом, побудовану на базі ncurses, для створення або поновлення файлу. Config. Дана версія заснована на menuconfig, але має більш сучасний зовнішній вигляд. Додана після релізу Linux-ядра 2.6.35. Ви повинні тільки відповісти на питання для елементів, які потрібно змінити. Виконується у вікні терміналу віддалено або локально. |
− | [*] Prompt for development and / or incomplete code / drivers
| + | xconfig xconfig |
− | | + | Мета xconfig використовує систему графічного меню, засновану на QT front-end, що використовується в KDE desktop. |
− | | + | gconfig gconfig |
− | Потім вибери пункт меню General setup. Найди опцию Sysctl support(CONFIG_SYSCTL). Знайди опцію Sysctl support (CONFIG_SYSCTL). Дана опція також повинна бути включена (CONFIG_SYSCTL = y).
| + | Мета gconfig використовує систему графічного меню, засновану на QT front-end, використовуваному в GNOME desktop. |
− | | + | oldconfig oldconfig |
− | [*] Sysctl support
| + | Мета oldconfig дозволяє створити конфігурацію з використанням існуючого файлу. Config, створеного раніше або взятого з іншої системи. Наприклад, ви можете скопіювати конфігураційний файл для вашої системи з / lib / modules / $ (uname-r) / build / .config в / usr / src / linux. Зробивши це, можна використовувати одну з цілей меню конфігурації, щоб при необхідності внести зміни. Так само при виконанні даної команди, якщо в новому ядрі додано багато нових можливостей - буде поставлено багато питань по налаштуванню нових параметрів. (Зручно для додавання нових функція поточного ядра) |
− | | + | Повторюю, що список всіх цілей команд можна побачити, ввівши make help. Отже, почнемо конфігурування. Найзручніша для консолі - make menuconfig. |
− | | + | |
− | Потім вибери пункт Linux Intrusion Detection System. Усередині ти знайдеш різні параметри настройки LIDS. Першим йде включення підтримки LIDS в ядрі. Натисни пробіл на цьому пункті для включення підтримки:
| + | |
− | | + | |
− | [*] Linux Intrusion Detection System support (EXPERIMENTAL)
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Після включення підтримки LIDS, виникне список різних опцій налаштування LIDS:
| + | |
− | | + | |
− | | + | |
− | Maximum protected objects to manage (CONFIG_LIDS_MAX_INODE)
| + | |
− | | + | |
− | Даний пункт дозволяє встановити максимальну кількість захищених об'єктів. За замовчуванням 1024. Чим більше число, тим більше розмір ядра.:)
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Maximum ACL subjects to manage (CONFIG_LIDS_MAX_SACL) Maximum ACL subjects to manage (CONFIG_LIDS_MAX_SACL)
| + | |
− | | + | |
− | Дозволяє встановити максимальну кількість суб'єктів правил доступу LIDS. За замовчуванням 1024.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Maximum ACL objects to manage (CONFIG_LIDS_MAX_OACL) Maximum ACL objects to manage (CONFIG_LIDS_MAX_OACL)
| + | |
− | | + | |
− | Дозволяє встановити максимальну кількість об'єктів правил доступу LIDS. За замовчуванням 1024. Про об'єкти, суб'єктів правил доступу, самих правилах, захисту об'єктів пізніше .:)
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Maximum protected proceeds (CONFIG_LIDS_MAX_PROTECTED_PID) Maximum protected proceeds (CONFIG_LIDS_MAX_PROTECTED_PID)
| + | |
− | | + | |
− | Дозволяє встановити максимальну кількість захищених процесів. За замовчуванням 1024.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Hang up console when raising securit alert (CONFIG_LIDS_HANGUP) Hang up console when raising securit alert (CONFIG_LIDS_HANGUP)
| + | |
− | | + | |
− | Даний пункт включає / відключає можливість закриття консолі, з якою відбулося порушення безпеки. Наприклад, при спробі запису в захищений файл, вікно терміналу користувача, що намагається це зробити, закривається, викидаючи його таким чином з системи. Рекомендуется включить данную опцию. Рекомендується включити дану опцію.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Security alert when execing unprotected programs before sealing LIDS (CONFIG_LIDS_SA_EXEC_UP) Security alert when execing unprotected programs before sealing LIDS (CONFIG_LIDS_SA_EXEC_UP)
| + | |
− | | + | |
− | Включає / відключає виведення повідомлення про порушення безпеки при запуску незахищених програм до установки здібностей. Рекомендується включити дану опцію, тому що це дозволить виявити програми, які адміністратор або забув захистити за допомогою LIDS, або які були встановлені в початкове завантаження злісним хакером.:) Про здібності пізніше.:)
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Do not execute unprotected programs before sealing LIDS (CONFIG_LIDS_NO_EXEC_UP) Do not execute unprotected programs before sealing LIDS (CONFIG_LIDS_NO_EXEC_UP)
| + | |
− | | + | |
− | Включає / відключає заборону на запуск незахищених програм до установки здібностей. Не включай цю опцію, поки не будеш впевнений в тому, що всі програми, що запускаються при початковому завантаженні, захищенi!
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Try not to flood logs (CONFIG_LIDS_NO_FLOOD_LOGS) Try not to flood logs (CONFIG_LIDS_NO_FLOOD_LOGS)
| + | |
− | | + | |
− | При включенні цієї опції LIDS не буде записувати в логи поспіль йдуть повідомлення про одне й те ж порушення захисту. Для більшої безпеки рекомендується не включати цю опцію.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Autorized time between two identic logs (seconds) (CONFIG_LIDS_TIMEOUT_AFTER_FLOOD) Autorized time between two identic logs (seconds) (CONFIG_LIDS_TIMEOUT_AFTER_FLOOD)
| + | |
− | | + | |
− | Тут встановлюється час в секундах, протягом яких перевіряється поява двох ідентичних повідомлень, для того, щоб не записувати однакові повідомлення в логи. За замовчуванням 60 секунд.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Allow switching LIDS protections (CONFIG_LIDS_ALLOW_SWITCH) Allow switching LIDS protections (CONFIG_LIDS_ALLOW_SWITCH)
| + | |
− | | + | |
− | Включає / відключає можливість відключення і включення LIDS в процесі роботи системи після введення пароля. При включення даної опції з'являється можливість поміняти будь-які параметри роботи без перезавантаження системи. Для кращої безпеки рекомендується відключити дану опцію, але поки ти повністю не розібрався з роботою і налаштуванням LIDS краще залишити її включеною.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Numbers of attempts to submit password (CONFIG_LIDS_MAX_TRY) Numbers of attempts to submit password (CONFIG_LIDS_MAX_TRY)
| + | |
− | | + | |
− | Кількість спроб введення пароля, по закінченню яких відключення LIDS стає неможливим на заданий проміжок часу. За замовчуванням 3. Для більшої безпеки постав 1.:)
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Time to wait after fail (seconds) (CONFIG_LIDS_TTW_FAIL) Time to wait after fail (seconds) (CONFIG_LIDS_TTW_FAIL)
| + | |
− | | + | |
− | Час в секундах, протягом якого після введення неправильного пароля вказану кількість разів, відключення LIDS стає неможливим. За замовчуванням 3 секунди. Для більшої безпеки постав 3600 секунд, щоб хакер сильніше помучився.:)
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Allow remote users to switch LIDS protections (CONFIG_LIDS_REMOTE_SWITCH) Allow remote users to switch LIDS protections (CONFIG_LIDS_REMOTE_SWITCH)
| + | |
− | | + | |
− | Дає можливість віддаленим користувачам відключати LIDS. Не рекомендується включати цю опцію.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Allow any program to switch LIDS protections (CONFIG_LIDS_ANY_PROG_SWITCH) Allow any program to switch LIDS protections (CONFIG_LIDS_ANY_PROG_SWITCH)
| + | |
− | | + | |
− | Дає можливість будь-якій програмі відключати LIDS. Для чого може знадобиться ця опція навіть автори LIDS не знають. Настійно рекомендується не включати цю опцію!
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Allow reloading config. Allow reloading config. file (CONFIG_LIDS_RELOAD_CONFIG) file (CONFIG_LIDS_RELOAD_CONFIG)
| + | |
− | | + | |
− | Якщо ти відключаєш захист, то мабуть для того, щоб змінити якісь налаштування. Ці настройки не вступлять в силу до тих пір, поки ти не даси команду вважати заново файли конфігурації. Дана опція включає можливість переконфігурація LIDS без перезавантаження комп'ютера.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Port Scanner Detector in kernel (CONFIG_LIDS_PORT_SCAN_DETECTOR) Port Scanner Detector in kernel (CONFIG_LIDS_PORT_SCAN_DETECTOR)
| + | |
− | | + | |
− | При включенні цієї опції в ядро вкомпілівается детектор сканування портів. Детектор дуже потужний, визначає практично всі відомі методи сканування портів. Рекомендується включити дану опцію.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Send security alerts through network (CONFIG_LIDS_SA_THROUGH_NET) Send security alerts through network (CONFIG_LIDS_SA_THROUGH_NET)
| + | |
− | | + | |
− | Включає / відключає можливість відправки електронної пошти при порушенні безпеки на вказаний віддалений e-mail з інформацією про порушення. Лист відправляється негайно при спробі здійснення несанкціонованих дій. Для відправки може використовуватися будь-smtp-сервер, як віддалений, так і локальний.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Hide KLIDS network threads (CONFIG_LIDS_SA_HIDE_KLIDS) Hide KLIDS network threads (CONFIG_LIDS_SA_HIDE_KLIDS)
| + | |
− | | + | |
− | Включення даної опції дозволяє приховувати мережеві з'єднання LIDS. Вони не будуть видні ні в / proc, ні при запуску netstat. Але в цьому випадку всі помилки з'єднання з smtp-сервером не будуть записуватися в логи.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Number of connection tries before giving up (CONFIG_LIDS_NET_MAX_TRIES) Number of connection tries before giving up (CONFIG_LIDS_NET_MAX_TRIES)
| + | |
− | | + | |
− | Тут вказується кількість спроб з'єднання з smtp-сервером. Якщо з'єднання не буде встановлено - лист з інформацією про порушення безпеки не буде надіслано. За замовчуванням 3. Для більшої впевненості постав тут досить велике число.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Sleep time after a failed connection (CONFIG_LIDS_NET_TIMEOUT) Sleep time after a failed connection (CONFIG_LIDS_NET_TIMEOUT)
| + | |
− | | + | |
− | Час в секундах між спробами з'єднання.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Message queue size (CONFIG_LIDS_MSGQUEUE_SIZE) Message queue size (CONFIG_LIDS_MSGQUEUE_SIZE)
| + | |
− | | + | |
− | Максимальна кількість повідомлень в черзі. При перевищенні цієї кількості, найстаріше невідправлене буде видалено з черги.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Use generic mailer pseudo-script (CONFIG_LIDS_MAIL_SCRIPT) Use generic mailer pseudo-script (CONFIG_LIDS_MAIL_SCRIPT)
| + | |
− | | + | |
− | Включення даної опції вказує LIDS використовувати стандартний скрипт для відправки повідомлення. Відключення вказує використовувати скрипт користувача. ВУ версії 0.9.8 ця опція не працює. Тому обов'язково повинна бути включена. У попередніх версіях працювала і дозволяла використовувати свій скрипт для відправки повідомлень на віддалений комп'ютер. Можна було вибрати протокол (TCP або UDP) та інші параметри передачі повідомлення. Хоча якщо трохи попрацювати над исходниками (/ usr / src / linux / kernel / KLIDS.c), можна змусити цю опцію працювати.:) Але краще надати цю роботу авторам.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | LIDS debug (CONFIG_LIDS_DEBUG) LIDS debug (CONFIG_LIDS_DEBUG)
| + | |
− | | + | |
− | Ця опція добавлена тільки у версії 0.9.8. Використовується для включення виведення налагоджувальних повідомлень LIDS. Якщо ти не збираєшся сам переписувати исходники LIDS - залиш цю опцію відключеною.
| + | |
− | | + | |
− | | + | |
− | | + | |
− | | + | |
− | Таким чином, після настройки всіх параметрів, в / usr / src / linux / .config повинні з'явиться рядки, приблизно такого змісту:
| + | |
− | | + | |
− | CONFIG_ LIDS = y
| + | |
− | | + | |
− | CONFIG_LIDS_MAX_INODE=1024 CONFIG_LIDS_MAX_INODE = 1024
| + | |
− | | + | |
− | CONFIG_LIDS_MAX_SACL=1024 CONFIG_LIDS_MAX_SACL = 1024
| + | |
− | | + | |
− | CONFIG_LIDS_MAX_OACL=1024 CONFIG_LIDS_MAX_OACL = 1024
| + | |
− | | + | |
− | CONFIG_LIDS_MAX_PROTECTED_PID=1024 CONFIG_LIDS_MAX_PROTECTED_PID = 1024
| + | |
− | | + | |
− | CONFIG_LIDS_HANGUP=y CONFIG_LIDS_HANGUP = y
| + | |
− | | + | |
− | CONFIG_LIDS_SA_EXEC_UP=y CONFIG_LIDS_SA_EXEC_UP = y
| + | |
− | | + | |
− | # CONFIG_LIDS_NO_EXEC_UP is not set # CONFIG_LIDS_NO_EXEC_UP is not set
| + | |
− | | + | |
− | CONFIG_LIDS_NO_FLOOD_LOG=y CONFIG_LIDS_NO_FLOOD_LOG = y
| + | |
− | | + | |
− | CONFIG_LIDS_TIMEOUT_AFTER_FLOOD=60 CONFIG_LIDS_TIMEOUT_AFTER_FLOOD = 60
| + | |
− | | + | |
− | CONFIG_LIDS_ALLOW_SWITCH=y CONFIG_LIDS_ALLOW_SWITCH = y
| + | |
− | | + | |
− | CONFIG_LIDS_MAX_TRY=3 CONFIG_LIDS_MAX_TRY = 3
| + | |
− | | + | |
− | CONFIG_LIDS_TTW_FAIL=3600 CONFIG_LIDS_TTW_FAIL = 3600
| + | |
− | | + | |
− | # CONFIG_LIDS_REMOTE_SWITCH is not set # CONFIG_LIDS_REMOTE_SWITCH is not set
| + | |
− | | + | |
− | # CONFIG_LIDS_ALLOW_ANY_PROG_SWITCH is not set # CONFIG_LIDS_ALLOW_ANY_PROG_SWITCH is not set
| + | |
− | | + | |
− | CONFIG_LIDS_RELOAD_CONF=y CONFIG_LIDS_RELOAD_CONF = y
| + | |
− | | + | |
− | CONFIG_LIDS_PORT_SCAN_DETECTOR=y CONFIG_LIDS_PORT_SCAN_DETECTOR = y
| + | |
− | | + | |
− | CONFIG_LIDS_SA_THROUGH_NET=y CONFIG_LIDS_SA_THROUGH_NET = y
| + | |
− | | + | |
− | CONFIG_LIDS_HIDE_KLIDS=y CONFIG_LIDS_HIDE_KLIDS = y
| + | |
− | | + | |
− | CONFIG_LIDS_NET_MAX_TRIES=3 CONFIG_LIDS_NET_MAX_TRIES = 3
| + | |
− | | + | |
− | CONFIG_LIDS_NET_TIMEOUT=10 CONFIG_LIDS_NET_TIMEOUT = 10
| + | |
− | | + | |
− | CONFIG_LIDS_MSGQUEUE_SIZE=16 CONFIG_LIDS_MSGQUEUE_SIZE = 16
| + | |
− | | + | |
− | CONFIG_LIDS_MAIL_SCRIPT=y CONFIG_LIDS_MAIL_SCRIPT = y
| + | |
− | | + | |
− | # CONFIG_LIDS_DEBUG is not set # CONFIG_LIDS_DEBUG is not set
| + | |
− | | + | |
− | | + | |
− | | + | |
− | Звичайно значення параметрів настройки ядра у тебе можуть не співпадати з наведеними вище, але імена параметрів повинні бути такими ж.:)
| + | |
− | | + | |
− | Тепер спокійно можна перезібрати і встановити нове ядро.
| + | |
− | | + | |
− | cd / usr / src / linux
| + | |
− | | + | |
− | make clean dep install modules modules_install make clean dep install modules modules_install | + | |
− | | + | |
− | | + | |
− | Поки йде компіляції ядра, можна зайнятися налаштуванням інших параметрів LIDS. АЛЕ ЗА ЖОДНИХ УМОВ НЕ перевантажувати машину, ПОКИ НЕ Закінчивши налаштування LIDS!
| + | |
Конфігурування
Поточна конфігурація ядра зберігається у файлі. Config. Даний файл формується за допомогою однієї з конфігураційних цілей (мета - це, кажучи простою мовою, команда виконується у вигляді make мета):
config config
cloneconfig cloneconfig
Копіювання налаштувань поточного ядра в файл. Config. Дана мета застаріла і в нових ядрах замінена oldconfig .(Зручно для додавання нових функція поточного ядра)
menuconfig menuconfig
Мета menuconfig використовує програму з меню-інтерфейсом, побудовану на базі ncurses, для створення або поновлення файлу. Config. Ви повинні тільки відповісти на питання для елементів, які потрібно змінити. Цей підхід замінив стару мета config. Виконується у вікні терміналу віддалено або локально.
nconfig nconfig
Мета nconfig використовує програму з меню-інтерфейсом, побудовану на базі ncurses, для створення або поновлення файлу. Config. Дана версія заснована на menuconfig, але має більш сучасний зовнішній вигляд. Додана після релізу Linux-ядра 2.6.35. Ви повинні тільки відповісти на питання для елементів, які потрібно змінити. Виконується у вікні терміналу віддалено або локально.
xconfig xconfig
Мета xconfig використовує систему графічного меню, засновану на QT front-end, що використовується в KDE desktop.
gconfig gconfig
Мета gconfig використовує систему графічного меню, засновану на QT front-end, використовуваному в GNOME desktop.
oldconfig oldconfig
Мета oldconfig дозволяє створити конфігурацію з використанням існуючого файлу. Config, створеного раніше або взятого з іншої системи. Наприклад, ви можете скопіювати конфігураційний файл для вашої системи з / lib / modules / $ (uname-r) / build / .config в / usr / src / linux. Зробивши це, можна використовувати одну з цілей меню конфігурації, щоб при необхідності внести зміни. Так само при виконанні даної команди, якщо в новому ядрі додано багато нових можливостей - буде поставлено багато питань по налаштуванню нових параметрів. (Зручно для додавання нових функція поточного ядра)
Повторюю, що список всіх цілей команд можна побачити, ввівши make help. Отже, почнемо конфігурування. Найзручніша для консолі - make menuconfig.