Конфигурации.
Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве “floppy.tgz”, включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса:
Для запуска sXid должен быть создан или скопирован файл sxid.conf в каталог /etc.
Настройка файла “/etc/sxid.conf”.
Конфигурационный файл “/etc/sxid.conf” позволяет вам установить опции, которые управляют действиями программы.
Шаг 1.
Редактируйте файл sxid.conf file (vi /etc/sxid.conf) и измените все, что нужно: # Конфигурационный файл для sXid # Замечу, что все пути должны быть абсолютными без замыкающих / # Где начинать поиск файлов SEARCH = "/" # Какие каталоги исключить из поиска EXCLUDE = "/proc /mnt /cdrom /floppy" # Кому посылать отчеты EMAIL = "root" # Всегда посылать отчеты, даже если нет изменений? ALWAYS_NOTIFY = "no" # Где хранить промежуточные логи. Они будут циклически ротироваться 'x' раз # согласно KEEP_LOGS LOG_FILE = "/var/log/sxid.log" # Как много логов хранить KEEP_LOGS = "5" # Сдвигать логи когда не произошло изменений? ALWAYS_ROTATE = "no" # Каталоги, где +s запрещены (они проверяются даже # если явно на прописнаы в SEARCH), правила EXCLUDE применяются FORBIDDEN = "/home /tmp" # Удалять (-s) из файлов найденных в запрещенном каталоге? ENFORCE = "yes" # Это предполагает ALWAYS_NOTIFY. Будет посылаться полный список # элементов наряду с изменениями LISTALL = "no" # Игнорировать элементы для каталогов в этом пути # (Это означает, что файлы будут только регистрироваться, вы # можете эффективно игнорировать все элементы каталогов # установив это в "/"). По умолчанию - /home, так как # в некоторых системах /home имеет g+s. IGNORE_DIRS = "/home" # Файл, который содержит список (каждый в новой строке) # других файлов, которые sxid должен проверять. Это полезно # для файлов, не имеющих +s, но относящихся к целостности # системы (tcpd, inetd, apache...). # EXTRA_LIST = "/etc/sxid.list" # Почтовая программа. Это опция изменяет определенную при компиляции # почтовую программу для отчетов. Эта опция нужно только если вы изменили # месторасположение по умолчанию и не хотите перекомпилировать sxid. # MAIL_PROG = "/usr/bin/mail"
Шаг 2.
Поместите соответствующий элемент в crontab файл пользователя root, чтобы sXid выполнялся автоматически. sXid будет автоматически запускаться и будет отслеживать появление новых s[ug]id программ, изменений произошедших с существующими (снятие этого бита, изменение режима и пр.), их удаление, составляя вам отчет о произошедших событиях.
Для редактирования crontab введите следующую команду:
[root@deep /]# crontab -e
И добавьте следующую строку в crontab (запуск каждый день в 4 часа утра):
0 4 * * * /usr/bin/sxid
Дополнительная документация.
Для получения большей информации, читайте соответствующие man страницы:
$ man sxid.conf (5) – конфигурационные устаноки для sxid
$ man sxid (1) – проверяет изменения в s[ug]id файлах и каталогах
Сейчас, вы должны проверить/ изменить права установленные по умолчанию из соображения безопасности:
[root@deep /]# chmod 600 /usr/psionic/portsentry/portsentry.conf
Конфигурирование файла “/usr/psionic/portsentry/portsentry.ignore”.
В файл “/usr/psionic/portsentry/portsentry.ignore” вы добавляете компьютеры, которые должны быть проигнорированы если они соединяются к порту. Он всегда должен содержать localhost адрес (127.0.0.1) и адреса локальных машин. Не рекомендуется помещать в него все компьютеры из вашей локальной сети. Редактируйте фай portsentry.ignore file (vi /usr/psionic/portsentry.ignore) и добваьте в него все хосты, которые будут пропущены: # Положите сюда адреса хостов, которые мы никогда не будем блокировать.
# Здесь должны находится адреса всех локальных интерфейсов на
# защищаемом сервере (например, virtual host, mult-home)
# Сохраните здесь 127.0.0.1 и 0.0.0.0.
127.0.0.1
0.0.0.0
Сейчас, мы должны проверить/изменить права доступа из соображений безопасности: [root@deep /]# chmod 600 /usr/psionic/portsentry/portsentry.ignore