manual/lids/original/man8/lidsadm.8

   1 .TH LIDSADM 8
   2 .\"
   3 .\" Man page written by Sander Klein <roedie@roedie.nl> (May 2003)
   4 .\" It is based on the original lidsadm page by Steve Bremer.
   5 .\" TODO: I will think of something in the end...
   6 .\"
   7 .\"     This program is free software; you can redistribute it and/or modify
   8 .\"     it under the terms of the GNU General Public License as published by
   9 .\"     the Free Software Foundation; either version 2 of the License, or
  10 .\"     (at your option) any later version.
  11 .\"
  12 .\"     This program is distributed in the hope that it will be useful,
  13 .\"     but WITHOUT ANY WARRANTY; without even the implied warranty of
  14 .\"     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15 .\"     GNU General Public License for more details.
  16 .\"
  17 .\"     You should have received a copy of the GNU General Public License
  18 .\"     along with this program; if not, write to the Free Software
  19 .\"     Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
  20 .\"
  21 .\"
  22
  23 .SH NAME
  24 lidsadm \- administration tool for the Linux Intrusion Detection System
  25
  26 .SH SYNOPSIS
  27 .B "lidsadm -[S|I] -- [+|-][LIDS_FLAG] [...]"
  28 .br
  29 .B "lidsadm -V"
  30 .br
  31 .B "lidsadm -h"
  32
  33 .SH DESCRIPTION
  34 .B lidsadm
  35 is a adminsitration tool for
  36 .I Linux Intrusion Detection System (LIDS).
  37
  38 LIDS is a kernel patch to enhance the current Linux kernel. With LIDS, you can protect important files, directories, and devices. You can also define ACLs that restrict the access control on the entire system. For more information about LIDS, please go to
  39 .I http://www.lids.org.
  40
  41 .B lidsadm
  42 is used to define ACLs and administer the LIDS protections online.
  43
  44 .SH COMMANDS
  45 Commands define the individual functions of the lidsadm utility.  They cannot be combined.
  46 .TP
  47 .B -P
  48 Encrypt a LIDS password with RipeMD-160 (stored in lids.pw).
  49 .TP
  50 .B -S
  51 Change LIDS protections (requires your LIDS password).
  52 .TP
  53 .B -I
  54 Changes LIDS protections once without a password (used only to "seal the kernel").
  55 .TP
  56 .B -V
  57 Lets you view the current state of you LIDS system.
  58 .TP
  59 .B -v
  60 Shows the version of the lidsadm.
  61 .TP
  62 .B -h
  63 List the help.
  64
  65 .SH LIDS_FLAG's
  66 .TP
  67 There are many flags you can set. They can be used to set or unset capabilities but they can also switch you LIDS system on or off.
  68
  69 .SH Available capabilities
  70 The capabilities used in LIDS are shown below. You can use the name to enable or disable the capability when sealing and switching. You can also grant the capability to a program even if the capability is disabled globally on the system.
  71
  72 .SP
  73 .TP
  74 .B CAP_CHOWN
  75 chown(2)/chgrp(2)
  76 .TP
  77 .B    CAP_DAC_OVERRIDE
  78 DAC access.
  79 .TP
  80 .B CAP_DAC_READ_SEARCH
  81 DAC read.
  82 .TP
  83 .B          CAP_FOWNER
  84 Owner ID not equal user ID.
  85 .TP
  86 .B          CAP_FSETID
  87 Effective user ID not equal owner ID.
  88 .TP
  89 .B            CAP_KILL
  90 Real/effective ID not equal process ID.
  91 .TP
  92 .B         CAP_SETGID
  93 setgid(2)
  94 .TP
  95 .B          CAP_SETUID
  96 set*uid(2)
  97 .TP
  98 .B         CAP_SETPCAP
  99 Transfer capability.
 100 .TP
 101 .B  CAP_LINUX_IMMUTABLE
 102 Immutable and append file attributes.
 103 .TP
 104 .B CAP_NET_BIND_SERVICE
 105 Binding to ports below 1024.
 106 .TP
 107 .B   CAP_NET_BROADCAST
 108 Broadcasting/listening to multicast.
 109 .TP
 110 .B       CAP_NET_ADMIN
 111 Interface/firewall/routing changes.
 112 .TP
 113 .B         CAP_NET_RAW
 114 Raw sockets (ping).
 115 .TP
 116 .B        CAP_IPC_LOCK
 117 Locking of shared memory segments.
 118 .TP
 119 .B       CAP_IPC_OWNER
 120 IPC ownership checks.
 121 .TP
 122 .B      CAP_SYS_MODULE
 123 Insertion and removal of kernel modules.
 124 .TP
 125 .B       CAP_SYS_RAWIO
 126 ioperm(2)/iopl(2) access
 127 .TP
 128 .B      CAP_SYS_CHROOT
 129 chroot(2)
 130 .TP
 131 .B      CAP_SYS_PTRACE
 132 ptrace(2)
 133 .TP
 134 .B       CAP_SYS_PACCT
 135 Configuration of process accounting.
 136 .TP
 137 .B       CAP_SYS_ADMIN
 138 Tons of admin stuff.
 139 .TP
 140 .B        CAP_SYS_BOOT
 141 reboot(2)
 142 .TP
 143 .B        CAP_SYS_NICE
 144 nice(2)
 145 .TP
 146 .B    CAP_SYS_RESOURCE
 147 Setting resource limits.
 148 .TP
 149 .B        CAP_SYS_TIME
 150 Setting system time.
 151 .TP
 152 .B  CAP_SYS_TTY_CONFIG
 153 TTY configuration.
 154 .TP
 155 .B  CAP_MKNOD
 156 Allow the privileged aspects of mknod().
 157 .TP
 158 .B  CAP_LEASE
 159 Allow taking of leases on files.
 160 .TP
 161 .B  CAP_HIDDEN
 162 Make a program hidden from the entire system.
 163 .TP
 164 .B  CAP_KILL_PROTECTED
 165 Allow/disallow a process to kill protected processes.
 166 .TP
 167 .B  CAP_PROTECTED
 168 Protect the process from signals.
 169
 170 .SH Available FLAGS
 171
 172 These flags are used with the ADMIN option "-S".
 173 .TP
 174 .B LIDS_GLOBAL
 175 Enable/disable LIDS system-wide.
 176 .TP
 177 .B RELOAD_CONF
 178 Reload config files and inode/dev numbers of special programs.
 179 .TP
 180 .B LIDS
 181 Enable/disable LIDS locally (the shell & childs). This is known as a LIDS free session (LFS).
 182
 183 .SH EXAMPLES
 184 Here are some examples of using lidsadm.
 185 .TP
 186 .B lidsadm -I
 187 Seal the kernel with the default capabilities set in /etc/lids/lids.cap. You should edit that file by youself.
 188 .TP
 189 .B lidsadm -S -- -LIDS
 190 Switch LIDS off in your current terminal session, we recomend you use this.
 191 .TP
 192 .B lidsadm -S -- -LIDS_GLOBAL
 193 Switch LIDS off globally.  Your system is no longer protected by LIDS.
 194
 195 .SH OTHER SOURCES OF INFORMATION.
 196 .TP
 197 .B Mailing List
 198 To subscribe, unsubscribe, go to:
 199 .I http://lists.sourceforge.net/lists/listinfo/lids-user
 200 .br
 201 To post a message to the list, send an e-mail to:
 202 .B lids-user@lists.sourceforge.net
 203 .br
 204 Current LIDS archive can be found at:
 205 .I http://www.geocrawler.com/redir-sf.php3?list=lids-user
 206 .br
 207 An outdated searchable archive can be found at:
 208 .I http://groups.yahoo.com/group/lids
 209
 210 .TP
 211 .B LIDS FAQ
 212 The LIDS FAQ is located at:
 213 .br
 214 .I http://www.lids.org/lids-faq.lids-faq.html
 215 .br
 216 or
 217 .br
 218 .I http://www.roedie.nl/lids-faq/
 219
 220 .SH BUGS
 221 Any bugs found with LIDS itself should be sent to Xie, Phil, or the mailing list
 222 .B (lids-user@lists.sourceforge.net).
 223 Please include your .config file used to compile your kernel, and the lids.conf and lids.cap files located in /etc/lids directory.  Any errors found in this man page should be sent to Sander Klein.
 224 .SH FILES
 225 \fB/etc/lids/lids.conf\fR \- LIDS configuration file.
 226 .br
 227 \fB/etc/lids/lids.cap\fR \- Defines the global capabilities.
 228 .br
 229 \fB/etc/lids/lids.net\fR \- Configuration file for e-mail alerts.
 230 .br
 231 \fB/etc/lids/lids.pw\fR \- Contains the encrypted LIDS password.
 232
 233 .SH SEE ALSO
 234 .BR lidsconf (8)
 235
 236 .SH AUTHORS
 237 Huagang Xie
 238 .I <xie@lids.org>
 239 .PP
 240 Philippe Biondi
 241 .I <biondi@cartel-securite.fr>
 242 .PP
 243 Manpage written by Sander Klein
 244 .I <roedie@roedie.nl>
 245
 246 .SH DISTRIBUTION
 247 The newest version of
 248 .I LIDS
 249 can be obtained from
 250 .I http://www.lids.org/
 251 or the mirrors.
 252 .Sp
 253 .I LIDS
 254 is (C) 1999-2003 by Huagang Xie(xie@lids.org).
 255 .\" See the lidsconf (8) man page for some funny remarks...
 256 .\"
 257