На материнской машине выполним:

sysctl kern.securelevel=1

Чтобы securelevel сохранялся при перезапуске машины, добавим в файл /etc/rc.conf:

kern_securelevel_enable="YES"

kern_securelevel="1"

При securelevel=1 никто, даже пользователь root, не сможет удалить с файлов immutable флаг, system append-only флаг, загрузить в ядро модули и пр.

Также я рекомендую вам включить опцию kern. ps_showallprocs=0, что позволит скрыть весь листинг процессов системы от пользователей рангом ниже root. Однако это только тюнинговое решение, т.к. злоумышленник может найти запущенные процессы, просмотрев /proc. Чтобы сделать изменение перманентным, отредактируйте /etc/sysctl.conf:

kern.ps_showallprocs=0

Далее поставьте immutable флаги на все нужные вам файлы. Я рекомендую поставить их на все важные для нормальной работы системы бинарные файлы, используемые ими библиотеки и файлы конфигурации. В нашем примере мы установим флаг на файл /usr/bin/login:

chflags schg /var/jailed/virtual1/usr/bin/login

Помимо этого способа, нужно не забывать о возможности смонтировать любую нужную директорию материнской машины в jail с правами root.

Теперь ваша система протоколирования настроена и достаточна защищена. Ее плюс в том, что скомпрометировав jail-сервер, злоумышленник не узнает даже о существовании сервера протоколов, не говоря уже о его IP-адресе.

Настройка реакции сервера протоколирования на зафиксированные происшествия

В любой системе активного мониторинга особую роль играет скорость реакции на какую-либо проблему. Для достижения наибольшей оперативности при поддержке сервера я рекомендую включить в схему еще одно звено – swatch.

Шаг 1. Установка swatch

Выполните следующие команды:

wget http://unc.dl.sourceforge.net/sourceforge/swatch/ ї swatch-3.0.5.tar.gz

tar xzvf swatch-3.0.5.tar.gz

cd swatch-3.0.5/

wget http://cpan.org/authors/id/S/ST/STBEY/Date-Calc- ї 5.3.tar.gz

wget http://ftp.u-picardie.fr/local/cricket/TimeDate- ї 1.08.tar.gz

tar xzvf Date-Calc-5.3.tar.gz

cd Date-Calc-5.3/

perl Makefile.PL

make

make test

make install

cd ../

tar xzvf TimeDate-1.08.tar.gz

cd TimeDate-1.08/

perl Makefile.PL

make

make test