Ovo poglavlje govori o sledećim pitanjima:
Korisnici;
Razlike između privilegovanih i neprivilegiranih korisnika;
Datoteke za prijavu;
Datoteka / itd. / Passwd;
Datoteka / itd. / Shadow;
Datoteka / itd. / GShadow;
File /etc/login.defs;
Izmjena informacija o zastarjelosti lozinke;
Osnova sigurnosti MSA-a je koncept korisnika i grupa. Sve odluke o onome što je dozvoljeno ili nije dozvoljeno učiniti da korisnik bude izvršena na osnovu toga ko je korisnik ušao u sustav sa stanovišta kernela operativnog sistema.
Opći pogled korisnika
MSVS je višestalni multiplayer sistem. Dužnosti operativnog sistema uključuju izolaciju i zaštitu korisnika jedna od druge. Sistem prati svakom od korisnika i na osnovu koga ovaj korisnik utvrđuje je li moguće pružiti pristup određenoj datoteci ili omogućiti pokretanje programa ili drugog.
Prilikom kreiranja novog korisnika, on se stavlja u red jedinstvenim imenom
BILJEŠKA
Sistem određuje korisničke privilegije na osnovu korisničkog ID-a (Userid, UID). Za razliku od korisničkog imena, UID možda nije jedinstven, u tom slučaju se uzima prvo pronađeno ime koje se podudaraju sa imenom korisnika, čiji se uID podudara sa podacima.
Svaki novi snimljen u sistemu, korisnik je u skladu sa određenim elementima sistema.
Privilegirani i neprivilegirani korisnici
Prilikom dodavanja novog korisnika u sistem, označen je poseban broj, nazvan korisnički identifikator (Userid, UID). U Calderi MSvi, raspodjela identifikatora novim korisnicima započinje 500 i nastavlja prema velikim brojevima, do 65.534. Brojevi do 500 rezervirani su za sistemske račune.
Općenito, identifikatori s brojevima manjim od 500 nisu različiti od ostalih identifikatora. Često program za normalno funkcioniranje zahtijeva poseban korisnik s potpunim pristupom svim datotekama.
Numeriranje identifikatora počinje sa 0 i nastavlja se do 65 535. UID 0 je poseban UID. Bilo koji proces ili korisnik sa nultom identifikatorom je privilegiran. Takva osoba ili proces ima neograničenu moć nad sistemom. Ništa ne može poslužiti kao zabrana. Korijenski račun (račun, uid koji je 0), koji se naziva i račun superuser, Unosi unesena sa svojom upotrebom ako ne i vlasnik, a zatim barem njegov povjernik.
UID ostaje jednak 65.535. Takođe nije od običnog. Ovaj uid pripada nikome (niko).
Nekad je jedan od načina hakiranja sistema bio stvaranje korisnika sa identifikatorom od 65.536, kao rezultat toga koji je primilegirao superuser. Zaista, ako preuzmete bilo koji UID i prevedete odgovarajući broj u binarni oblik, dobit ćete kombinaciju šesnaest binarnih pražnjenja, od kojih je svaki od 0 ili 1. Overwhelming broj identifikatora uključuje i nule i jedinice. Izuzetak je nulta uid superuser koji se sastoji od nekih nula, a Uidnobody, jednak 65535 i sastoji se od 16 jedinica, tj. 111111111111111. Broj 65 536 ne može se postaviti u 16 cifara - da bi se ovaj broj predstavljali u binarnom obliku koji trebate koristiti 17 Ispuštanje. Najstariji iscjedak bit će jednak jedinici (1), sve su ostale nule (0). Pa šta se događa prilikom kreiranja korisnika sa identifikatorom dužine 17 binarnih pražnjenja - 10000000000000000? Teoretski, korisnik sa nultim identifikatorom: jer se samo 16 binarnih pražnjenja dat identifikatoru, 17 znamenka nije poznata, a odbacuje se. Stoga se izgubila jedina jedinica identifikatora, a neke nule ostaju, a pojavi se sistem novi korisnik Sa identifikatorom, i samim tim privilegijama, superuser. Ali sada u ASV-ima ne postoje programi koji bi vam omogućili instaliranje UID na 65.536.
BILJEŠKA
Korisnici s identifikatorima većim od 65.536, moguće je stvoriti, ali neće se koristiti bez zamjene / bin / prijave.
Svaki haker definitivno će pokušati dobiti privilegije superusera. Čim ih primi, daljnja sudbina sistema u potpunosti će ovisiti o njegovim namjerama. Možda je, zadovoljan činjenicom hakiranja, neće učiniti ništa loše s njom i šaljem vam pismo s opisom rupa koje su pronađene u sigurnosnom sustavu, zauvijek će ga ostaviti na miru, a možda i ne. Ako namere hakiranog hakera nisu tako čiste, onda je najbolje, ono što se može nadati je da ima sistem kvara.
Datoteka / itd. / Passwd
Želeći se prijaviti u sustav mora unijeti korisničko ime i lozinku koja se provjeravaju na korisničku bazu podataka pohranjenu u / etc / passwd datoteci. U njemu su u njemu, između ostalog, lozinke svih korisnika pohranjene. Pri povezivanju na sustav provjerava se lozinka koja odgovara ovom imenu, a ako je korisnik dozvoljen u sustavu, nakon čega je pokrenut program naveden za ovo korisničko ime u datoteci lozinke u datoteci lozinke. Ako je ovo naredba školjka, korisnik dobija mogućnost unosa naredbi.
Razmislite o popisu 1.1. Ovo je passwd datoteka u starom stilu.
Oglas 1.1. Datoteka / itd. / Passwd u starom stilu
root: *: 1i Dywromhmebu: 0: 0: Root :: / Root: / bin / bash
bin: *: 1: 1: bin: / bin:
daemon: *: 2: 2: Daemon: / SBIN:
aDM: *: 3: 4: ADM: / var / adm:
lP: *: 4: 7: LP: / var / spool / lpd:
sync: *: 5: 0: Sync: / sbin: / bin / sinkronizacija
isključivanje: *: 6: 11: Isključivanje: / sbin: / sbin / gašenje
hATT: *: 7: 0: HALT: / SBIN: / SBIN / HALT
pošta: *: 8: 12: Mail: / var / kaol / mail:
vijesti: *: 9: 13: Vijesti: / var / kalem / vijesti:
uECP: *: 10: 14: UUCP: / var / kaol / uucp:
operator: *: 11: 0: Operator: / Root:
igre: *: 12: 100: Igre: / usr / igre:
gOPHER: *: 13: 30: GOPHER: / USR / 1IB / GOPHER-PODACI:
fTP: *: 14: 50: FTP korisnik: / home / ftp:
Čovjek: *: 15: 15: Priručnici Vlasnik: /:
majordom: *: 16: 16: MAJORDOMO: /: / bin / false
postgres: * 17: 17: Postgres korisnik: / home / postgres: / bin / bash
mySQL: *: 18: 18: MySQL korisnik: / usr / local / var: / bin / false
silvia: 1idywromhmebu: 501: 501: Silvia bandel: / Početna / Silvia: / bin / bash
niko: *: 65534: 65534: Niko: /: / bi n / false
david: 1idywromhmebu: 500: 500: David A. Bandel: / Početna / David: / bin / bash
Datoteka lozinke ima čvrsto navedenu strukturu. Sadržaj datoteke je tablica. Svaki red datoteka je unos u tablicu. Svaki unos sastoji se od nekoliko polja. Polja datoteka Passwd razdvojena su dvotonom, pa se debelo debelo ne može koristiti u bilo kojem polju. Ukupno postoji sedam polja: korisničko ime, lozinka, ID korisnika, grupni identifikator, gecos polje (to je polje za komentare), kućni direktorij i prijavu za zapovjedništvo.
Pročitajte više o / etc / passwd
Prvo polje označava korisničko ime. Trebalo bi biti jedinstveno - nemoguće je da dva korisnika sistema imaju isto ime. Polje imena je jedino polje čija vrijednost treba biti jedinstvena. U drugom polju je korisnička lozinka pohranjena. Da bi se osigurala zaštita sistema, lozinka se pohranjuje u hashiigling formu. Izraz "hashish" u ovom kontekstu znači "šifrirano". U slučaju lozinke, lozinka je šifrirana u skladu sa algoritmom DES (DataCebryptiptiondardard). Dužina hasene lozinke u ovom polju uvijek je jednaka 13 znakova, a neki od likova, poput debelog colona i pojedinačnog navoda, nikada ne mogu naći među njima. Bilo koja druga vrijednost polja, drugačija od pravilnog hasiziranog lozinke od 13 znakova, onemogućava da uđe u ovaj korisnik u sustav, za jednu izuzetno važnu iznimku: polje za lozinku može biti prazno.
U drugom polju ništa, ni prostor, znači da li ne treba relevantni korisnik lozinka za prijavu u sustav. Ako promijenite lozinku pohranjenu u polju dodavanjem lika, na primjer, jedan navod, ovaj račun će biti blokiran, a odgovarajući korisnik neće se moći prijaviti. Činjenica je da nakon dodavanja ilegalnog simbola hash-a od 14 znakova, sustav je odbio autentificirati korisnika sa takvom lozinkom.
Trenutno je dužina lozinke ograničena na osam znakova. Korisnik može unijeti i duže lozinke, ali samo će prvih osam znakova biti značajan. Prva dva znaka hasized lozinke su sjeme (Sol). (Seme se zove broj koji se koristi za inicijalizaciju algoritma šifriranja. Sa svakom promjenom lozinke sjeme se odabere nasumično.) Kao rezultat toga, broj svih mogućih permutacija je dovoljno velik, pa je nemoguće saznati ako su korisnici U sistemu s istim lozinkama, jednostavna usporedba hash lozinki.
BILJEŠKA
Rječnik attapcack napad odnosi se na metode hakirnih lozinki grubim silom i podrazumijeva upotrebu rječnika i poznatog semena. Napad je u interakciji svih riječi rječnika, šifrirajući ih sa ovim sjemenom i uspoređujući rezultat sa pećnom lozinkom. Istovremeno, pored riječi iz rječnika, obično se razmatraju neke izmjene njihovih modifikacija, na primjer, sva slova naslova, samo prvo slovo naslova i dodavanje brojeva (obično samo 0-9) kraj svih ovih kombinacija. Slično tome, možete hakirati puno jednostavnih lozinki.
Treće polje označava korisnički ID. Korisnički ID nije potreban da bude jedinstven. Posebno, osim korijenskog korisnika, mogu postojati proizvoljno drugi korisnici sa nultim identifikatorom, a svi će imati privilegije superusera.
Četvrto polje sadrži grupni identifikator (GroupiD, GID). Grupa naznačena u ovom polju naziva se primarna grupa korisnika (Primarna grupa). Korisnik može pripadati nekoliko grupa, ali jedan od njih mora biti primarna grupa.
Peto polje se sada naziva poljem za komentare, ali njegovo početno ime je Gecos, iz "GeconsolidaDoperationsystem". Prilikom zahtjeva za korisničke podatke putem prsta ili drugog programa, sadržaj ovog polja sada se vraća kao pravo korisničko ime. Polje za komentare može biti prazno.
Šesto polje postavlja korisnički kućni direktorij. Svaki korisnik mora imati vlastiti kućni direktorij. Obično se korisnik, prijavi u sustav, pokaže se u svom kućnom imeniku, ali ako ne postoji, padne u korijenski direktorij.
Sedmo polje postavlja naredbu ljuska prijave. Nije svaka ljuska može biti navedena u ovom polju. Ovisno o postavkama sustava, može se specificirati samo ljuska s popisa dozvoljenih školjki. U ASWS-u je popis dozvoljenih školjki zadana u datoteci / etc / školjki.
Datoteka / itd. / Shadow
Vlasnik datoteke / itd. / Sjene je korijenski korisnik i samo ima pravo pročitati ovu datoteku. Da biste ga stvorili, morate preuzeti korisnička imena i hashing lozinke iz datoteke Passwd i smjestite ih u datoteku sjene, zamijenite sve hash lozinke u prolaznim simbolima datoteka. Ako pogledate datoteku Passwd u sustavu, možete vidjeti da postoje simboli x na mjestu hasinova lozinki. Ovaj simbol označava sistem na činjenicu da se lozinka treba pogledati ovdje, ali u / etc / shadow datoteci. Prijelaz iz jednostavnih lozinki na sjenu i nazad vrši se tri alate. Da biste otišli u sjene lozinke, PWCK uslužni program prvo započinje. Provjerava passwd datoteku za bilo koje anomalije, zbog kojih se sljedeći korak može završiti u kvaru ili jednostavno pobijediti. Nakon što PWCK radi, PWCONV uslužni program je počeo stvaranje / etc / senw. To se obično radi nakon toga ručno ažuriranje Datoteka / itd. / Passwd. Da se vratim u obične lozinke, Pwuncov počinje.
Shadow Lozinka datoteka na mnogo načina slična je datoteci običnih lozinki. Konkretno, prva dva polja ovih datoteka su iste. Ali osim ovih polja u njemu, naravno, postoje dodatna polja koja nedostaju u normalnoj datoteci lozinke. Oglas 1.2. Prikazuje sadržaj tipične / etc / sjenske datoteke.
Oglas 1.2. Datoteka / itd. / Shadow
root: 1IDYWROMHMEBU: 10792: 0 ::: 7: 7 ::
bin: *: 10547: 0 :: 7: 7 ::
daemon: *: 10547: 0 :: 7: 7 ::
aDM: *: 10547: 0 :: 7: 7 ::
lP: *: 10547: 0 :: 7: 7 :::
sync: *: 10547: 0 :: 7: 7 ::
isključivanje: U: 10811: 0: -1: 7: 7: -1: 134531940
halt: *: 10547: 0 :: 7: 7 ::
pošta: *: 10547: 0 :: 7: 7 ::
vijesti: *: 10547: 0 :: 7: 7 ::
uECP: *: 10547: 0 :: 7: 7 ::
operator: *: 10547: 0 :: 7: 7 ::
igre: *: 10547: 0: 7: 7 ::
gOPHER: *: 10547: 0 :: 7: 7 ::
fTP: *: 10547: 0 :: 7: 7 ::
Čovjek: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mySQL: *: 10547: 0 :: 7: 7 ::
sI1VIA: 1IDYWROMHMEBU: 10792: 0: 30: 7: -L ::
niko: *: 10547: 0 :: 7: 7 ::
david: 1idywromhmebu: 10792: 0 :: 7: 7 :::
Detalji / itd. / Senka
Svrha prvog polja datoteke u sjeni jednaku je prvom polju datoteke Passwd.
Drugo polje sadrži hash lozinku. Implementacija sjenki lozinki u msvs omogućava mršavljenje lozinki dužine 13 do 24 znaka, ali Crypt lozinkom Program šifriranja može proizvesti samo 13-simbol hash lozinke. Likovi koji se koriste u hash-u uzimaju se iz skupa koji se sastoji od 52 slova slova (mala i velika slova), brojevima 0-9, bodova i nagnutih karakteristika desno (/). Isključuje 64 znaka dopuštene u polje Hashilizirane lozinke.
Sjeme, pa, kao i prije, prva dva znaka, može se odabrati iz 4096 mogućih kombinacija (64x64). Za šifriranje, algoritam des koristi se sa 56-bitnim ključem, odnosno prostora ključeva ovog algoritma ima 2 56 ključeva, što iznosi oko 72.057.590.000.000 ili 72 kvadlindova. Broj izgleda impresivno, ali zapravo možete imati vrlo kratko vrijeme za premještanje svih ključeva iz prostora ove veličine.
Od trećeg polja počinju informacije o informacijama o dijeljenju lozinkom. Pobrzuje broj dana od 1. januara 1970. do posljednje promjene lozinke.
Četvrto polje postavlja minimalni broj dana za prolazak prije nego što ponovo možete promijeniti lozinku. Dok je od datuma posljednje promjene, lozinka neće proći onoliko dana kako je naznačeno u ovom polju, nemoguće je promijeniti lozinku.
Peto polje postavlja maksimalni broj dana tokom kojeg možete koristiti lozinku, nakon čega je podložna obaveznom promjenom. Pozitivna vrijednost ovog polja, korisnik pokušava prijaviti u sistem nakon što istekne lozinku rezultirat će naredbom lozinke koja nije kao i obično, već u režimu obvezne promjene lozinke.
Vrijednost sa šestog polja određuje koliko dana prije isteka lozinke treba početi izdavati upozorenje o tome. Nakon primitka upozorenja, korisnik može započeti izmisliti novu lozinku.
Sedmo polje postavlja broj dana koji počinju od dana kada je lozinka oblikovana, nakon čega je ovaj račun blokiran.
Predkonzultatno polje pohranjuje dan blokiranja računa.
Posljednje polje je rezervirano i ne koristi se.
Pročitajte više o / etc / grupu
Svaki unos datoteke / itd. / Grupe sastoji se od četiri polja odvojena debelom crevom. Prvo polje postavlja ime grupe. Kao korisničko ime.
Drugo polje je obično prazno, jer se mehanizam za lozinku obično ne koristi, ali ako ovo polje nije prazno i \u200b\u200bsadrži lozinku, bilo koji korisnik može se pridružiti grupi. Da biste to učinili, morate izvršiti naredbu Newgrp sa imenom grupe kao parametrom, nakon čega unosite ispravnu lozinku. Ako lozinka za grupu nije navedena, mogu se pridružiti samo korisnici navedeni na listi članova grupe.
Treće polje postavlja grupni identifikator (GroupiD, GID). Značenje je isto kao i ID korisnika.
Potonje polje je popis korisničkih imena koji pripadaju grupi. Korisnici su navedeni putem zareza bez razmaka. Primarna korisnička grupa je naznačena (obavezna) u PASWD datoteci i dodjeljuje kada je korisnik povezan na sustav na temelju ovih informacija. U skladu s tim, ako promijenite primarnu korisničku grupu u datoteku Passwd, korisnik se više neće moći pridružiti svojoj bivšoj primarnoj grupi.
File /etc/login.defs.
Novi korisnik u sustav možete dodati na više načina. U dupe su za to koriste sledeći programi: CoastOol, Lisa, Userbaddd. Nešto pogodno za bilo koji od njih. Coas uslužni program koristi vlastitu datoteku. Programi Userbadd i Lisa uzimaju zadane vrijednosti za polja datoteka Passwd i Shadow iz datoteke /etc/login.defs. Sadržaj ove datoteke u skraćenom obliku prikazan je u popisu 1.4.
Oglas 1.4. Skraćena datoteka /etc/login.defs.
# Maksimalni broj dana tokom kojih je lozinka dozvoljena:
# (- 1 - Promjena lozinke nije obavezna) Pass_max_days-1
Minimalni broj dana između premještanja lozinke: pas_min_dayso
# Nekoliko dana prije datuma promjene lozinke treba izdati upozorenje: Pass_Warn_age7
# Koji broj dana mora proći nakon isteka lozinke istječe prije nego što će se račun blokirati: Pass_inactive-1
# Prisilite istekom upotrebe lozinke na određeni dan:
# (datum je identificiran prema broju dana nakon 70/1/1, -1 \u003d ne forsiranje) Pass_expire -1
# Vrijednosti polja integriranog računa za usedddd
# Tim zadano: Grupa100
# Početna katalog:% s \u003d korisnički ime) Nome / home /% s
# Naredba za zadatak: školjka / bin / bash
Katalog u kojem se nalazi kostur kuće: skel / etc / skel
# Minimum I. maksimalne vrijednosti Za automatsko odabir GID-a u grupiddgid_min100
Sadržaj ove datoteke postavlja zadane vrijednosti za polja datoteka passwd i sjene. Ako ih ne nadvladate iz naredbenog retka, oni će se koristiti. Kao polazište, ove su vrijednosti, međutim, ove vrijednosti primijenjene zastarjele lozinke, neke od njih će trebati mijenjati. Vrijednost jednaka -1 ne znači ograničenja.
U programu COAS-a, distribucija Caldera koristi grafičko korisničko sučelje
Da biste promijenili informacije o lozinci, za jednog ili dva korisnika, možete koristiti CHAGE naredbu (promjena - promjena zastarjele). Neavilegirani korisnici mogu pokrenuti je samo sa -l parametrima i vlastitim korisničkim imenom, odnosno zatražiti informacije o zastaretriji samo vlastitu lozinku. Da biste promijenili informacije o kvotama, dovoljno je odrediti korisničko ime, preostali parametri bit će zatraženi u dijaloškom okviru. CHAGE CHAGE bez parametara dat će kratku referencu za upotrebu.
Program CoAS može se koristiti za promjenu parametara dijeljenja lozinkom za svaki od računa odvojeno. U ovom slučaju vrijednosti su označene u danima. Programsko sučelje je očigledno.
Bilješka -
Da biste dobili informacije o zastarjeli lozinku korisnika ili prisiljavali ovaj proces, možete koristiti naredbu za istek.
RAMS sigurnosni sistem
Glavna ideja okvira je u tome što uvijek možete napisati novi sigurnosni modul da bi se to uputio datoteci ili uređaju za informacije i vratio rezultat izvršenja postupka autorizacije: uspjeh (uspjeh), neuspjeh (neuspjeh) ) ili zanemariti (ignorisati). I RAM, zauzvrat, vratit će uspjeh (uspjeh) ili neuspjeh (neuspjeh) koji su ga uzrokovali. Stoga, nije važno koje se lozinke, sjena ili obična, koriste u sustavu, ako postoje okviri: svi podržavajuće okvire savršeno će raditi s tim i drugima.
Sada se obraćamo razmatranjem osnovnih principa rada RAM-a. Razmislite o popisu 1.6. /Etc/pam.d Directory sadrži konfiguracijske datoteke za druge usluge, poput su, passwd itd., Ovisno o tome koji je softver instaliran u sustavu. Svaka usluga ograničenja usluge (ograničenaService) odgovara njegovoj konfiguracijskoj datoteci. Ako nema nikoga, ta usluga s ograničenjem pristupa ulazi u "drugu" kategoriju, s drugom konfiguracijskom datotekom. (Usluga restrikcije usluge naziva se usluga ili programa za upotrebu koja je potrebna za podvrgavanje autorizacije. Drugim riječima, ako u normalnim uvjetima, usluga traži vaše korisničko ime i lozinku, to je usluga ograničenja usluge.)
Popis 1.6. Konfiguracija datoteke Prijava.
auth potreban pam_securetty.so.
auth potreban pam_pwdb.so.
auth potreban pam_nologin.so.
#Auth je potreban pam_dialup.so.
aUTH Opciono Pam_mail.so.
potreban je račun Pam_pwdb.so.
potrebna je sesija Pam_pwdb.so.
sesija opcionalna pam_lastlog.so.
potrebna lozinka Pam_pwdb.so.
Kao što se može vidjeti s popisa, konfiguracijska datoteka sastoji se od tri stupca. Redovi koji se započinju s rešetkim simbolom (#) se zanemaruju. Stoga će se modul Pam_Dialup (četvrti red listi 1.6) biti promašen. Datoteka ima retke s istim trećim poljem - pam_pwd.so, i prvo - auth. Upotreba nekoliko redaka s istim prvim poljem naziva se akumulacija (slaganje) modula i omogućava vam dobivanje autorizacije s više koraka (snop modula), koji uključuje nekoliko različitih postupaka autorizacije.
Prvi stupac je stupac tipa. Vrsta se određuje jednom od četiri oznake znakova: auth, račun, sesija i lozinka. Sadržaj svih stupaca smatra se bez registracije.
Tip Auth (Autentifikacija - provjera autentičnosti) koristi se za razjašnjenje da li je korisnik oni koji daju sebi. U pravilu se to postiže usporedbom unesenih i pohranjenih lozinki, ali moguća su i druge opcije.
Vrsta računa (račun) provjerava je li usluga omogućeno korištenje ovog korisnika, u kojim uvjetima nije lozinka i tako dalje.
Upišite lozinku (lozinku) za ažuriranje autorizacijskih markera.
Tip sesije (sesija) vrši određene akcije kada se korisnik prijavljuje i kada se korisnik izlazi iz sistema.
Upravljanje zastavama
Drugi stupac je polje kontrolne zastave, što je određivanje onome što treba učiniti nakon povratka iz modula, odnosno reakcija RAM-a na vrijednosti uspjeha (uspjeha), zanemarivanje (zanemarivanje) i zanemarivanja ( Neuspjeh). Dozvoljene vrijednosti: potrebni, potrebni, dovoljni i fakultativni. Od vrijednosti u ovom polju ovisi da li će se ostale linije datoteke biti obrade.
Potrebna zastava postavlja najpričiju ponašanje. Obrada bilo kojeg reda uz potrebnu zastavu, od kojih se modul vratio vrijednost kvara (neuspjeh) će se prekinuti i usluga koja je uzrokovala da će biti vraćen na neuspjeh. Neće se razmatrati druge linije. Ova zastava je dovoljno rijetka. Činjenica je da ako se modul obilježeni od njih obavlja prvo, tada se moduli nakon toga ne mogu izvršiti, uključujući odgovorne za prijavu, tako da se obično primjenjuje potrebna zastava (obavezna).
Potrebna zastava ne prekida izvršenje modula. Bez obzira na provedbu modula označenog od njih: uspjeh (uspjeh), zanemarite (zanemarite) ili neuspjeh (neuspjeh), okviri uvijek prelaze na obradu sljedećeg modula. Ovo je najčešće korištena zastava, jer se rezultat modula ne vraća sve dok ne rade svi ostali moduli, što znači da su definirani moduli odgovorni za prijavu.
Dovoljna zastava (dovoljna) dovodi do neposrednog završetka obrade reda i vraćanja vrijednosti uspjeha (uspjeha), pod uvjetom da je modul označio vrijednost vraćen vrijednošću uspjeha (uspjeh) i prethodno nisu ispunili modul sa potrebnom zastavom koja je vratila status neuspjeha (neuspjeh). Ako se takav modul ispuni, dovoljna je zastava zanemarena. Ako je modul označen ovom zastavom vratio vrijednost za ignorisanje (zanemarivanje) ili kvara (neuspjeh), tada se dovoljna zastava vidi slično na opcionalnu zastavu.
Rezultat izvršenja modula s opcionalnom zastavom (neobavezno) uzima se u obzir samo kada je jedini modul u snopu koji je vratio vrijednost uspjeha (uspjeh). Inače, rezultat njegovog izvršenja zanemareno je. Stoga, neuspješno ispunjavanje modula označenog na njemu ne podrazumijeva neuspjeh cjelokupnog postupka autorizacije.
Da bi se osiguralo da korisnik može pristupiti sistemu, moduli označeni potrebnim i potrebnim zastavama, ne bi trebali vratiti vrijednosti kvara (neuspjeh). Rezultat izvršenja modula s opcionalnom zastavom pretpostavlja se samo ako je jedini modul u snopu koji je vratio uspjeh (uspjeh).
Moduli RAM-a.
Treći stup sadrži puno ime datoteke modula povezano s ovim niz. U principu se moduli mogu smjestiti bilo gdje, ali ako se postavljaju u unaprijed definirani direktorij za module, možete odrediti samo jedno ime, u protivnom je potreban put potreban put. U OPS-u unaprijed definirani katalog je / lib / sigurnost.
Četvrti stupac dizajniran je za prenos dodatnih parametara modulu. Nisu svi moduli imaju parametre, a ako postoji, možda se ne mogu koristiti. Prijenos modula parametara omogućava vam promjenu njegovog ponašanja na ovaj ili onaj način.
Oglas 1.7 Sadrži popis okvira modula koji su dio MSV-a.
Oglas 1.7. Popis modula okvira uključenih u msvs
pam_rhosts_auth.so.
pam_securetty.so.
pam_unix_acct.so.
pam_unix_auth.so.
pam_unix_passwd.so.
pam_unix_session.so.
O modulima Više detalja
Modul Pam_Access.so koristi se za pružanje / zabrane pristupa na osnovu /etc/security/access.conf datoteke. Linije ove datoteke imaju sljedeći format:
prava: Korisnici: Odakle
Prava + (Dopusti) ili - (zabraniti)
Korisnici - sve, korisničko ime ili korisnika @ čvor, gdje čvor odgovara nazivu lokalne mašine, u protivnom se zapis zanemaruje.
Odakle je jedna ili više terminalnih imena datoteka (bez prefiksa / dev /), imena čvorova, imena domena (počevši od točke), IP adrese, sve ili lokalno.
Pam_cracklib.so modul provjerava u rječniku lozinke. Dizajniran je za provjeru nove lozinke i omogućava vam sprječavanje upotrebe u sustavu lako puknuti lozinke koje se smatraju uobičajenim riječima, lozinke koje sadrže ponavljanje znakova i prekratkim lozinkama. Postoje opcionalni parametri: ispravljanje pogrešaka, tip \u003d i pokušajte \u003d. Parametar za uklanjanje pogrešaka uključuje informacije o pogrešci u datoteku dnevnika. Parametar tipa, nakon čega slijedi niz, promjene u zadanom pozivu NewUnixPassword: Unix Word do navedenog niza. Parametar za pokušaj postavlja broj pokušaja koji su korisniku pružili da unese lozinku, što se greška vraća na iscrpljenost (jedan pokušaj dat je prema zadanim postavkama).
Razmislite o popisu 1.8. Prikazuje sadržaj datoteke / itd. / Pam.d / drugo. Ova datoteka sadrži konfiguraciju koju koristi mehanizam okvira za usluge koje nemaju vlastite konfiguracijske datoteke u /etc/pam.d direktoriju. Drugim riječima, ova datoteka odnosi se na sve usluge nepoznate okvirnom sistemu. Predstavlja sve četiri vrste autorizacije, auth, račun, lozinke i sesije, od kojih svaka uzrokuje modul pam_deny.so označen prepunim zastavom. Stoga je zabranjeno izvršenje nepoznate službe.
Oglas 1.8. File /etc/pam.d/Other.
auth Potreban pam_deny.so.
auth je potreban pam_warn.so.
potreban račun Pam_deny.SO.
potrebna lozinka pam_deny.so.
potrebna lozinka Pam_Warn.so.
potrebna sesija Pam_deny.SO.
Pam_Dialup.so modul provjerava da li da odredite lozinku za pristup udaljenom terminalu ili terminalima, koji koriste / etc / sigurnosnu datoteku. Modul se primjenjuje ne samo na ttyys, već općenito na bilo koji Tty terminal. Kada je potrebna lozinka, provjerava se s datotekom / itd. / Sigurnošću / passwd.dialup. Promjene u datoteci Passwd.Dialup provodi se u Programu DPAPWD.
Modul Pam_Group.so provjerava se u skladu sa sadržajem /etc/security/group.conf datoteke. Ova datoteka ukazuje na grupe čiji član može biti korisnik naveden u datoteci prilikom obavljanja određenih uvjeta.
Pam_lastlog.so modul ulazi u informacije o lastlog datoteci o tome kada i odakle korisnik ušao u sistem. Obično je ovaj modul označen tipom sesije i opcionalnom zastavom.
PAM_LIMITTS.SO modul omogućava vam da nametnete različita ograničenja prijavljenih korisnika. Ova ograničenja ne primjenjuju se na korijenski korisnik (ili bilo koji drugi korisnik sa nultim identifikatorom). Ograničenja su postavljena na nivou prijave i nisu globalni ili trajni, koji djeluju samo u istom ulazu.
Pam_lastfile.so modul prihvaća neki zapis (predmet), uspoređuje s popisom u datoteci i na osnovu rezultata usporedbe, vraća uspjeh (uspjeh) ili neuspjeh (neuspjeh). Parametri ovog modula su sljedeći:
Artikal \u003d [Korisnik terminala | Daljinski_uzel | Daljinski korisnik | Grupa | omotač]
Smisao \u003d (status za povratak; kada se na popisu nalazi snimanje, u protivnom se status nalazi suprotan prema navedenoj)
datoteka \u003d / puna / staza / i / / file_name - onrr \u003d (Koji se status vraća u slučaju pogreške)
Arr1u \u003d [Korisnik | @ Group] (Određuje korisniku ili grupu na koju se primjenjuju ograničenja. To ima smisla samo za prikaz predmeta: [Terminal | Remote_uelle | za prikaz predmeta: [Korisnik | Remote USER | Grupa] zanemareno)
Modul Pam_nologin.so koristi se prilikom autorizacije vrsti auth sa potrebnom zastavom. Ovaj modul provjerava da li datoteka / itd. / NOLOGIN postoji, a ako ne, tada vraća vrijednost uspjeha (uspjeha), u protivnom je sadržaj datoteke prikazan korisniku i vraća vrijednost kvara (neuspjeh). Ovaj se modul obično koristi u slučajevima u kojima sistem još nije u potpunosti unovan u rad ili privremeno zatvoren za održavanje, ali nije isključen iz mreže.
Pam_permit.so modul nije obavezan za modul Pam_deny.so. Uvijek vraća vrijednost uspjeha (uspjeh). Svi preneseni parametri modula se zanemaruju.
PAM_PWDB.SO modul pruža sučelje za passwd i sjene datoteke. Mogući su sljedeći parametri:
Debug - snimanje podataka o pogrešci u datoteku dnevnika;
Revizija - Dodatne informacije o pogrešacima za one koji nisu dovoljni obični podaci o uklanjanju pogrešaka;
Upotreba_first_pass - Nikada ne tražite lozinku za korisnika i uzmite ga iz prethodnih modula snopa;
Pokušajte_first_pass - pokušajte dobiti lozinku iz prethodnih modula, u slučaju neuspjeha za zatraženje korisnika;
Upotreba_Authtok - vrati vrijednost kvara (neuspjeh) ako Pam_Authtok nije instaliran, ne zatražite lozinku za korisnika i uzmite ga iz prethodnih modula snopa (samo za hrpe modula lozinke);
Ne_set_pass - ne instalirajte lozinku iz ovog modula kao lozinku za naredne module;
Sjena - održavati sistem lozinki za sjene;
UNIX - Postavite lozinke za datoteku / itd. / Passwd;
MD5 - Nakon sljedeće promjene lozinke koristite MD5 lozinke;
Bigcrypt - sa sljedećom promjenom lozinke, koristite lozinke DECC2;
Nodelay - onemogući jedno-acejsko kašnjenje sa neuspešnim autorizacijom.
Pam_rhosts_auth.so modul omogućava / zabranjuje upotrebu datoteka.rhosts ili hosts.equiv. Pored toga, ona takođe omogućava / zabranjuje upotrebu "opasnih" unosa u tim datotekama. Parametri ovog modula su sljedeći:
No_hosts_equiv - zanemarite /etc/hosts.equiv datoteku;
No_rhosts - zanemarite datoteku / itd. / Rhosts ili ~ / .rhosts;
Ispravljanje pogrešaka - za označavanje podataka o pogrešavanju;
Nowarn - ne prikazuje upozorenja;
Suzbijanje - ne izlažite nikakve poruke;
Promiskuitetno - dopustite upotrebu "+" zamjenskog simbola na bilo kojem polju.
Modul pam_rootok.so vraća vrijednost uspjeha (uspjeha) za bilo koji korisnik sa nultim identifikatorom. Označen s dovoljnom zastavom, ovaj modul omogućava pristup usluzi bez navođenja lozinke. Parametar na modulu je samo jedan: ispravljanje pogrešaka.
Modul Pam_securetty.so može se koristiti samo za supetuže. Ovaj modul radi s / etc / securetty datotekom, omogućavajući SuperUser da se prijavi u sustav samo putem terminala navedenih u ovoj datoteci. Ako želite dopustiti da superuser unese u sistem putem Telneta (TTYP Pseudo-terminal), tada biste trebali dodavati niz u ovu datoteku za TTYP0-255 ili za komentar na Pam_Securetty.so Pozovite u datoteku za prijavu.
PAM_SHELLS.SO modul vraća vrijednost uspjeha ako je korisnik datoteke naveden u / etc / passwd datoteci prisutan u listi školjke iz datoteke / etc / školjke. Ako / ETC / Passwd datoteka ne dodijeli nikakvu školjku, započinje / bin / sh. Ako / ETC / Passwd datoteka određuje ljusku koja nedostaje na popisu / etc / školjki, modul vraća vrijednost kvara (neuspjeh). Pravo na pisanje u datoteku / itd. / Školjke treba imati samo superuser.
Modul Pam_stress.so koristi se za kontrolu lozinki. Ima mnogo parametara, uključujući stalni pogrešku, ali uopšte, samo su dva interesa od svih parametara:
Roorok - Dopustite Superureru da promijeni korisničke lozinke bez unosa stare lozinke;
Istekao - uz ovaj parametar, modul se izvodi kao da je korisnička lozinka već valjana već je istekla.
Ostali parametri modula omogućuju vam da onemogućite bilo koji od ova dva načina, koristite lozinku od drugog modula ili proslijedite lozinku na drugi modul itd. Ovdje neću uzeti u obzir sve parametre modula, tako da ako imate potrebu za korištenjem Posebne karakteristike ovog modula, pročitajte im opis u dokumentaciji modula.
Pam_tally.so modul u datotekama /etc/pam.d se ne koriste prema zadanim postavkama. Ovaj modul izračunava pokušaje donošenja autorizacije. Uz uspješan prolazak odobrenja, broj pokušaja može se resetirati. Ako je broj neuspješnih pokušaja veze premašio neki prag, pristup može biti zabranjen. Prema zadanim postavkama, informacije o pokušajima postavljaju se u / var / log / faillog datoteku. Globalni parametri su sljedeći:
Onrr \u003d - Što učiniti ako se dogodila greška, na primjer, nije bilo moguće otvoriti datoteku;
Datoteka \u003d / puna / staza / i / / file_name - ako nema, tada se koristi zadana datoteka. Sljedeći parametar ima smisla samo za tip auth:
No_magic_root - uključuje brojanje broja pokušaja superusera (zadano ne provodi). Korisno ako je unos Superusera dozvoljen sistemu putem Telneta. Sljedeći parametri imaju smisla samo za tip računa:
Deny \u003d n - odbiti pristup nakon N pokušaja n. Kada koristite ovaj parametar, ponašanje resetiranja / no_reset modula varira prema zadanim postavkama s no_reset na resetiranju. To se događa za sve korisnike, osim korijenskog korisnika (UID 0), osim ako se ne koristi parametar NO_MAGIC_ROOT;
No_magic_root - ne zanemarujte parametar za poređenje za pokušaje korijenskog korisnika. Kada se koristi u kombinaciji s deni \u003d parametrom (vidi ranije), ponašanje resetiranja postavljeno je podrazumevano za korijenski korisnik, kao za sve ostale korisnike;
Everna_deny_root_account - Omogućuje zaključavanje superouser računa ako postoji parametar no_magic_root. Ovo se izdaje upozorenje. Ako se parametar NO_MAGIC_ROOT ne koristi, tada bez obzira na broj neuspjelih pokušaja superuser-a, za razliku od običnih korisnika, nikada neće biti blokiran;
Resetiranje - resetirajte brojač broja pokušaja na uspješnom ulazu;
No_reset - ne resetirati broj pokušaja na uspješnom ulazu; Koristi se prema zadanim postavkama, osim ako nije naveden parametar negiranja \u003d.
Modul Pam_time.so omogućava vam ograničavanje pristupa usluzi ovisno o vremenu. Sva uputstva za njegovu konfiguraciju mogu se naći u datoteci / etc / sigurnosnog / vremena.con.con.con.conf. Nema parametre: sve je postavljeno u konfiguracijskoj datoteci.
Pam_Unix modul bavi se pitanjima uobičajenog odobrenja ISWS-a (obično umjesto modula koristi pam_pwdb.so). Fizički ovaj modul sastoji se od četiri modula, od kojih svaka odgovara jednoj od vrsta okvira: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so i pam_unix_passwd.so. Moduli za vrste računa i auth parametri nemaju. Modul za parametar Passwd tipa je samo jedan: strog \u003d lažan. Ako je dostupan, modul ne provjerava lozinke za otpornost na hakiranje, omogućujući vam da koristite proizvoljne, uključujući nesigurne (lako pogodite ili odabrane) lozinke. Modul tipa sesije razumije dva parametra: uklanjanje pogrešaka i traga. Informacije o pogrešaju od parametra za uklanjanje pogrešaka postavljaju se u datoteku dnevnika za uklanjanje pogrešaka, kao što je naznačeno u Syslog.conf, a informacije o parametrima traga su zbog svoje osjetljivosti - u authpriv dnevniku.
Modul pam_warn.so evidentira poruku o njegovom pozivu na Syslog. Parametri nemaju br.
PAM_WHEEL.SO modul omogućava superuzureču samo članovima grupe kotača. Grupa kotača je posebna sistemska grupa čiji članovi imaju velike privilegije od običnih korisnika, ali manji od superusera. Njeno prisustvo smanjuje broj korisnika sistema s privilegijama superusera, čineći ih članovima grupe kotača i na taj način povećavaju sigurnost sistema. Ako se superuser može prijaviti samo pomoću terminala, ovaj se modul može koristiti za izradu nepristupačnog posla korisnicima putem Telneta sa privilegijama Supersera, odbijajući ih pristup ako ne pripadaju invalidskim grupama koristi sljedeće parametre:
Ispravljanje pogrešaka - evidentiranje podataka o pogrešci;
Upotreba_uid - Definicija pripadnosti na osnovu trenutnog korisničkog ID-a, a ne ono što mu je dodijeljeno prilikom ulaska u sustav;
Povjerenje - u slučaju korisničkih podružnica u grupu kotača vratite vrijednost uspjeha (uspjeha), a ne zanemarite (zanemarite);
Negira - mijenja značenje postupka suprotnom (povrat štete). U kombinaciji sa grupom \u003d omogućava vam da negirate pristup članovima ove grupe.
Bilješka -
Katalog / itd. / Sigurnost je direktno povezana sa /etc/pam.d direktorijom, jer sadrži konfiguracijske datoteke različitih okvira uzrokovanih u datotekama iz /etc/pam.d.
RAM unosi u datoteke dnevnika
Popis 1.9. Sadržaj / Var / Log / Secure
11. januara 16:45:14 Chiriqui pam_pwdb: (SU) sesija otvorila za korijen korisnika
Jan 11 16:45:25 Chiriqui Pam_pwdb: (SU) sesija zatvorena za korijen korisnika
Jan 11 17:18:06 Chiriqui Prijava: Neuspjela prijava 1 od (null) za Davida,
Kvar autentifikacije.
11. januara 17:18:13 Chiriqui Prijava: Neuspjela prijava 2 od (null) za David.
Kvar autentifikacije.
11. januara 17:18:06 Chiriqui Prijava: Neuspjela prijava 1 od (null) za Davida.
Kvar autentifikacije.
11. januara 17:18:13 Chiriqui Prijava: Neuspjela prijava 2 od (null) za David,
Kvar autentifikacije.
11. januara 17:18:17 Chiriqui pam_pwdb: (Prijava) sesija otvorila za korisnika David
11. januara 17:18:17 Chiriqui - David: Prijava na ttyl by David
11. januara 17:18:20 Chiriqui pam_pwdb: (Prijava) sesija zatvorena za korisnika David
Svaki snimak započinje iz imena, vremena i broja čvora. Nakon toga, naziv okvirnog modula i identifikatora procesa zatvoren u kvadratnim zagradama. Zatim u zagradama dolazi naziv restrikcije usluge. Za unos 1.9 je ili se ili se prijavljuje. Nakon naziva usluge, bilo je "SessionOpened" (sesija otvorena) ili "sessionclosed" (sesija je zatvorena).
Unos koji slijedi zapis sa "sesiopened" je poruka o unosu sistema iz kojeg možete saznati ko je i odakle je ušao u sistem.
Smatra se sljedeća pitanja:
Koja je zadana korisnička grupa i privatne grupe korisnika;
Promijenite korisnika / grupu;
Kako promijeniti korisnika / grupu utječe na grafičko sučelje;
Sigurnost i korisnici;
Sigurnost i lozinke;
Zaštita lozinkom;
Odabir dobre lozinke;
Hakiranje lozinki.
Default Group
Trenutno ograničenja istovremeno korisnik koji pripadaju samo jednoj grupi više ne postoje. Svaki korisnik može istovremeno pripadati u nekoliko grupa. U naredbi Newgrp, korisnik postaje član grupe naveden u grupi, dok ova grupa postaje za ovog korisnika. grupa za prijavu (Logingroup). Istovremeno, korisnik i dalje bude član grupa u kojima je ušao prije nove naredbe Newgrp. Grupa za prijavu je grupa koja postaje vlasnik grupe korisnika.
Razlika između zadanih grupa i privatnih grupa grupa je stupanj otvorenosti ove dvije sheme. U slučaju zadane sheme bilo koji korisnik može čitati (i često mijenjati) druge korisničke datoteke. Sa privatnim grupama, čitanje ili pisanje datoteke koje je stvorio drugi korisnik moguće je samo ako je njegov vlasnik izričito izričito dao prava na ove operacije drugim korisnicima.
Ako se traži da se korisnici mogu pridružiti i napustiti grupu bez intervencije administratora sistema, lozinka se može dodijeliti ovoj grupi. Korisnik može koristiti privilegije određene grupe samo ako to pripada njemu. Ovdje postoje dvije mogućnosti: Ili pripada grupi od trenutka prijave u sustav ili postaje član grupe nakon toga, nakon što je počeo sa radom sa sistemom. Tako da se korisnik može pridružiti grupi kojoj ne pripada, lozinka mora biti dodijeljena ovoj grupi.
Po defaultu se grupne lozinke ne koriste u ASWS-u, tako da GShadow datoteka u / etc direktoriju nije.
Ako stalno koristite samo jedan od programa za administraciju korisnika, stalno koristite jedan od programa - Useracdd, Lisa ili Coas, - datoteke korisnika se dobijaju dosljednije i lakše u pratnji.
Prednost zadane sheme s zadanom grupom je da olakšava razmjenu datoteka, jer ne treba brinuti o pravima pristupa. Ova shema podrazumijeva otvoreni pristup sustavu u skladu sa principom "Sve što nije zabranjeno je dozvoljeno".
Konfiguriranje korisničkih parametara prema zadanim postavkama je zadatak visokog prioriteta koji odmah slijedi kada postavite sistem.
Privatne grupe korisnika
Privatne korisničke grupe imaju imena koja se podudaraju s korisničkim imenima. Privatna grupa izrađena je u grupi za prijavu, tako da je podrazumevano, odnosno ako atributi direktorija ne propisuju ništa drugo, dodjeljuje se kao grupni vlasnik svih datoteka ovog korisnika.
Prednost privatnih grupa korisnika je da korisnici ne trebaju razmišljati o ograničavanju pristupa svojim datotekama: prema zadanom pristupu korisničke datoteke Od trenutka njihovog stvaranja bit će ograničen. U ISWS-u, kada se koristi privatne grupe, korisnik može čitati ili promijeniti samo datoteke koje pripadaju njemu. Pored toga, može stvoriti samo datoteke samo u vašem kućnom direktoriju. Ovo zadano ponašanje može promijeniti sistemski administrator ili korisnik, i na nivou pojedinačne datoteke i na nivou direktorija.
Postoji nekoliko naredbi, sa kojima korisnik može kontrolirati svoje ime i / ili grupu kojoj pripada, ili po imenu ili grupi, na osobi u kojoj se program vrši. Jedan od ovih programa je Newgrp.
Naredba Newgrp može obavljati bilo koji korisnik. Omogućuje mu da se pridruži grupi kojoj nije pripadala, već samo ako je lozinka dodijeljena ovoj grupi. Ova naredba neće vam omogućiti da se pridružite grupi bez lozinke ako niste član ove grupe.
Naredba Newgrpa može se koristiti u vezi s grupom, čiji je član već korisnik. U ovom slučaju Newgrp čini navedenu grupu za prijavu. Grupe korisnika podijeljene su u dvije vrste: Grupa za prijavu i sve ostale grupe kojima ovaj korisnik pripada. Korisnik može pripadati nekoliko grupa, međutim, grupu Grupe za prijavu u ovom korisniku uvijek će biti dodijeljena vlasnica korisničke datoteke.
Pored naredbi Newgrp, Chang i CHGRP mogu se koristiti i za upravljanje pripadnošću datoteke za datoteku ili drugog korisnika ili grupu.
Newgrp Command Područje u okruženju XTERM ograničen je na XTERM program u kojem je završeno: U kontekstu nove grupe će se izvršiti samo programi koji prolaze kroz ovaj terminal, te stoga korisnik ne može promijeniti grupu za prijavu za programe Trčanje kroz dispečer prozora. Program koji uvijek treba izvesti u kontekstu srednje grupe može se proći putem skripte postavke potrebne grupe za prijavu za to.
XWindow sistem uvek uvodi dodatne poteškoće. U ovaj slučaj Ove poteškoće nisu izravno povezane sa X i slijede iz logike rada / itd. / Grupe i / etc / gshadow. Oni koji ne koriste sjene lozinke za grupe, zabrinjavajući se posebno o čemu. U slučaju X, međutim, postavite grupu zaštićenu lozinkom iz jednostavnog skripta za sekundarne grupe korisnika koje ne zahtijevaju unos lozinke, promjena grupe je izuzetno jednostavna. Slijedi sljedeći scenarij:
sG - Gifs -C / usr / x11r6 / bin / xv &
Kao rezultat početka ove skripte, pokrenut će se XV program, koja će se osnovna grupa biti GiF-ova grupa. Šta je bilo potrebno za dobivanje.
Teže onima koji koriste lozinke u senci, jer u ovom slučaju, prilikom izvršavanja ove skripte, na ekranu se pojavljuje poruka o pogrešci. Kad su korisnici navedeni u datoteci / etc / grupa, bilo koji od njih automatski se smatra da je član odmah nakon prijave u sustav. Međutim, popis korisnika grupe premješten je na datoteku / itd. / Gshadow, tako da se korisnik prijavio u sustav ne zaslužuje njenim članovima, ali može se pridružiti naredba Newgrp ili za obavljanje bilo kojeg programa sa svog imena sa naredbom pomoću naredbe SG. Problem je što sa stanovišta X, ovaj korisnik (koji nije nužno korisnik, pokrenut radnom sesijom x), nema pravo instaliranja veze. Stoga su za nezaštićene grupe lozinki, prethodno smanjeni scenarij mijenjaju kako slijedi:
xhosts + Lozalhost.
sG - Gifs -C / usr / x11r6 / bin / xv &
Dodani niz omogućava vam pristup ekranu. nova grupa (GIF-ovi). Za većinu radnih stanica to ne bi trebalo dovesti do značajnih sigurnosnih pitanja, jer vam ovaj niz omogućava samo pristup zaslonu lokalnim korisnicima čvora (za više informacija o X i XHost-u, pogledajte dobar priručnik za Linux administratora sistema).
BILJEŠKA
Upotreba X servera (posebno posebno sa XDM ili KDM) podrazumijeva brojne njegove suptilnosti, još više pogoršane grafičkim aplikacijama, jer se mogu pokrenuti ne samo kroz naredbenu liniju, već i ikonu na grafičkoj radnoj površini.
Promjena korisnika
BILJEŠKA
Običan korisnik ne može izazvati sistem toliko štete kao bezbrižan superuser. Posljedice vašeg tipografskog kao superugara mogu biti prilično fatalne, do te mjere da se mogu reći svi vašim sistemskim datotekama (i uopšte sve datoteke pohranjene u sustavu. U nekim kompanijama, nakon toga mogu reći "zbogom" i ti.
Transformacija jednog korisnika u drugu je naredba su. Tim je primio ime « zamjena. korisnik. » (zamjena korisnika), ali od najčešće se koristi da postane superuser ..
Samo naredba uzrokovana bez argumenata postavit će korisničku lozinku, nakon čega (primanje ispravne lozinke u odgovoru) učinit će vam korijenski korisnik. Ova naredba je usluga ograničenja usluge, tako da se svi aspekti njene sigurnosti mogu konfigurirati putem /etc/pam.d/su datoteke.
Bilješka -
Su cirkulacija bez navođenja korisničkog imena (sa ili bez ili bez deficita ili bez), kao naznaka da vas učini korijenskim korisnikom.
Ova naredba sudo omogućava omiljenim korisnicima obavljaju neke programe na pravima supersluga, a kod korisnika koji se žalba na ovu naredbu ne traži kao superuser lozinka, već vlastitu lozinku. Rabljeni sudo poput SG naredbe. Korisnik ulazi u sudo Team_fer_mill, a zatim lozinku, a ako mu je dozvoljeno, navedena naredba se izvodi u kontekstu privilegija superusera.
Sigurnost i korisnici
Korisnici se obično zanimaju samo u tome kako se prijaviti i pokrenuti programe koji su vam potrebni. Interes za sigurnost pojavljuju se samo nakon gubitka važnih datoteka. Ali on traje dugo. Saznajući da su mere prihvaćene, korisnici brzo zaboravljaju na bilo kakvu predostrožnost.
Generalno gledano, ne njihova briga - sigurnost. Administrator sustava mora uzeti u obzir, implementirati i održavati sigurnosnu politiku koja bi omogućila korisnicima da rade svoj rad a da ih ne ometaju pitanjima zaštite za njih.
Glavna opasnost za sustav u pravilu dolazi iznutra, a ne vani. Njegov izvor (posebno u velikim sistemima) može biti, na primjer, ljuti korisnik. Međutim, potrebno je izbjeći pretjeranu sumnju kada se šteta uzrokovana neznanjem uzimaju za zlu namjeru. O tome kako zaštititi korisnike od nenamjernog oštećenja njihovih i stranih datoteka opisano je u prvom dijelu knjige. Kao što se praksa pokazuje, prosječni korisnik ne može oštetiti sistem. Potrebno je samo brinuti o tim korisnicima koji su u stanju pronaći rupu u mehanizmima zaštite i stvarno su u stanju da uzrokuju ciljanu štetu sustavu. Ali takvi su korisnici obično malo i s vremenom postaju poznati, posebno ako znate na čemu da obratite pažnju. Grupa za rizik uključuje korisnike koji, po svom položaju ili, zahvaljujući svojim odnosima mogu pristupiti razini korijenskog privilegija. Kao što ćete savladati materijal ove knjige, saznat ćete šta tačno treba smatrati znacima predstojećih problema.
Korisnici prema zadanim postavkama dobijaju potpunu kontrolu nad svojim kućnim katalozima. Ako koristite zadanu grupu, svi korisnici sistema pripadaju istoj grupi. Svaki korisnik ima pravo pristupa kućnim direktorima drugih korisnika i datoteke koje se nalaze u njima. Kada koristite shemu sa privatnim grupama korisnika, bilo koji od korisnika sistema ima pristup samo vlastitim kućnim imeniku, a kućni direktoriji drugih korisnika nisu dostupni.
Ako su potrebni svi korisnici sustava za pružanje zajedničkog pristupa nekim zajedničke datotekePreporučuje se stvaranje negdje opći katalog posebno u te svrhe, za pokretanje grupe čiji bi članovi bili svi korisnici (to može biti korisnička grupa ili bilo koja druga grupa koju ste stvorili) i pružite ovu grupu), i pružite ovu grupu u odgovarajuću pravu pristupa Ovaj zajednički katalog. Ako korisnik želi napraviti neke od svojih datoteka dostupnih drugim korisnicima, može ih jednostavno kopirati u ovaj direktorij i osigurati da ove datoteke pripadaju istoj grupi koju su svi korisnici članovi.
Neki korisnici trebaju se koristiti ili jednostavno ne mogu učiniti bez programa koji nisu uključeni u ASC komplet. Većina korisnika će na kraju steći mnoštvo vlastitih datoteka: dokumenata, konfiguracijske datoteke, scenarije itd. OpenLinux sistem ne pruža posebnu njegu u organizaciji njihovih datoteka, a ovaj zadatak ostavljaju administratoru sistema.
Struktura imenika kreiranih u kućnom imeniku svakog novog korisnika određuje se sadržajem / etc / skel imenika. Sljedeći su direktoriji obično prisutni u tipičnom / etc / skelu:
Ovi se direktoriji koriste za pohranu (respektivno) binarnih datoteka, izvorne datoteke, datoteke dokumenata i druge raznolike datoteke. Mnogi zadani programi nude za spremanje datoteka određenih vrsta u jednoj od ovih poddirektoracija. Nakon što je primio objašnjenje imenovanja kataloga dostupnih na raspolaganju, korisnici ih obično voljno počinju koristiti, jer ih eliminira iz potrebe da se nešto izmisle. Ne zaboravite da napravite direktorij ~ / bin kao jedan od najnovijih direktorija navedenih u varijabilni korisnik puta.
Sigurnost i lozinke
Kaže se da je tamo gdje je u redu, tamo i pauza, - ta se izjava često seća kada je u pitanju značaj lozinki u sigurnosnom sustavu. Općenito govoreći, pouzdanost sigurnosnog sustava određuje mnoštvo faktora, posebno što MSV-sistemske usluge čini dostupnim vanjskim korisnicima (bilo da se koristi kao web poslužitelj ako je moguće unijeti pomoću Telnet-a itd .).). Drugi definiranje faktora su korisničke lozinke, što nas dovodi do drugog faktora - poštivanje korisničkih politika. Jednostavan korisnik ne zna ništa o sigurnosti. Ako poštujemo korisnika i ne želimo mijenjati njegov stav prema sigurnosnim prisilnim metodama, trebali bismo napraviti sigurnosni sustav pogodno i razumljivo za njega. Najteže je osigurati praktičnost. Sve sigurno nije previše zgodno (jer se pogodnost predvidljivosti i elementa ne u kombinaciji ne u kombinaciji sa sigurnošću) i stoga ulazi u sukob s uobičajenim ponašanjem ljudi koji preferiraju sve moguće načine na najprikladniji način. Na kraju, korisnici rade sa sistemom kako bi se obavljao posao povjeren, a ne dodavati novi. Da bi korisnici namjerno nisu prolazili putem staze najmanje otpora pri radu sa lozinkom, obično im pokušavam objasniti, za koje su lozinke potrebne i zašto je važno održavati svoju sigurnost. Važno je ne iz općih pozicija poput "nisko sigurnosni sustav može hakirati i ukrasti ili oštetiti važne datoteke", i sa položaja ličnih interesa korisnika.
Većina korisnika razumije važnost e-pošte za svoj rad. Ipak, oni ne shvataju da bilo koji uneseni u sistem pod njihovim imenom dobiva priliku za korištenje njihove e-pošte u njihovo ime protiv njih. Pitajte korisnika, bilo da li koristi e-poštu u lične svrhe. Najvjerovatnije će odgovoriti na to da. Zatim ga pitajte da li je morao riješiti važna poslovna pitanja e-poštom. Ne postoji manje od onih koji svakodnevno odgovaraju na "ne". Ali čak i u slučaju negativnog odgovora, neki poslovni partneri mogu razmotriti transakciju e-poštom kao obavezujući kao transakciju telefonom.
Nakon toga objasnite korisniku da je njegov e-poruke Ponekad ima isto kao i njegov lični potpis. I iako se naslov elektroničke poruke može zamijeniti, u većini slučajeva takva zamjena također je ilegalna kao lažni potpis. Ali ako je neko, na ovaj ili onaj način, saznao lozinku drugog korisnika, ući će u sistem pod njegovim imenom, a onda će se figurativno govoriti, moći će se pretplatiti na potpis druge osobe. Svaka pošta poslana njima tehnički će se ne razlikovati od pošte koju je korisnik poslao sam. Praksa pružanja nekog unosa u različitom imenu je nepoželjna i treba ih izbjeći (izuzetak je sustav administratori koji koriste ovu značajku za testiranje scenarija za prijavu i korisnički parametre, ali za to ne trebaju znati lozinku ovog korisnik). Neželjene pojave treba pripisati sustavu pod tuđom imenom (čak i uz dozvolu drugog korisnika). Koliko je to nepoželjno? Odgovor na ovo pitanje određuje se ozbiljnosti sigurnosne politike preduzeća.
Međutim, korisnici trebaju razumjeti da postoje drugi ne manje opasni načini za dobijanje neovlaštenog pristupa njihovom računu. Slučaj je najčešće kada se korisnik, bojaći da zaboravi lozinku, čini jednostavnim za pamćenje, što znači pogađanje ili bilježi lozinku na komadu papira koji se često pričvršćuje na monitor. Sigurnosni sistem lozinke zasnovan je na dvije stvari: konstantno korisničko ime i periodično mijenjajući lozinku. Većina ljudi neće reći PIN kôd nikome da pristupi svom bankovnom računu, ali njihova korisnička lozinka daleko je od tako ljubomore. Iako, za razliku od situacije sa bankovnim računom, gdje je to, kreditna kartica fizički objekt, pristup kojem je još uvijek potreban za dobijanje, stalan dio sigurnosnog sistema za lozinku, odnosno jest, korisničko ime je Poznato svima (barem svi unutar kompanija i onih kojima je ovaj korisnik proveo dopisnost e-poštom). Stoga, ako se varijabilni dio bilježi negdje ili lako pogodak ili je odabrao program koji proguta riječi iz rječnika, tada se takav račun ne može smatrati dobro zaštićenim.
Konačno, korisnici bi trebali biti svjesni postojanja ove metode prijema lozinke kao "socijalljenje" (društveno inženjering). Većina nas je u životu srela barem sa jednom osobom koja može reći "klizavo kao već". Takvi ljudi imaju sposobnost uvjerenja drugih ljudi pribjegavajući logičkom argumentu, da im pruže informacije koje su im potrebne. Ali ovo nije jedini moguća metoda Saznajte tuđu lozinku. Ponekad je dovoljno da se izliječi.
Način protivljenja takvim incidentima je redovna promjena lozinke. Možete, naravno, promijeniti vrijeme lozinke za deset godina, ali bolje je ne uzeti praznine između prehrani predugo, kao i bolje da ih ne učinite i prekratki, na primjer, na primjer, na primjer. Ne mijenjajte lozinku za preduženje previše sredstva koja se izlažete hakiranju rizika.
BILJEŠKA-
Prodiranje autsajdera u sistemu pod krinkom redovnog korisnika može imati tužne posljedice ne samo za dosjee ovog korisnika, već i za cijeli sustav u cjelini, jer će više ovog autsajdera znati za vaš sistem, Lakše će biti pronalazak rezova u svojoj zaštiti.
Imajte na umu da prije početka rada, scenarij obavlja neke provjere: Bilo da se radi na nivou korijenskog privilegija, bilo da je početni uid zauzet i tako dalje. Međutim, nemoguće je reći da sve provjerava.
Hakiranje lozinki
Jedan od načina za provjeru sigurnosti sustava podrazumijeva da se stavi na mjesto napadača i pokušati razmišljati i ponašati se kao osoba koja pokušava razbiti odbranu. To znači da je potrebno hodati među korisnicima, provjeravajući da li snimljena lozinka nije pričvršćena na bilo koji monitor, da li je neko ostavio bilo koga na stolu s dijelom identifikacijskih podataka na njemu ili "proći" samo u tom jutru kad Korisnici ulaze u sistem (možda će biti moguće primijetiti kako će bilo koji od njih birati lozinku na tastaturi).
Takođe znači da biste trebali obratiti pažnju na orijentaciju korisničkog monitora, imajući pristup osjetljivim informacijama, kako bi se saznali je li vidljiv nekom drugom. Dalje, kada ovi korisnici napuste sa svog radnog mjesta, bilo da lansiraju program zaslona blokiranim lozinkom, a možda i izlazi iz sistema ili ne učinite ništa?
ali najbolji način Provjerite za sigurnost lozinke za lozinku i korisnički odnosi na njega - pokušajte hakirati korisničke lozinke. Redovno izvršavanje programa hakiranja lozinke može dati prilično dobru procjenu tvrđave vašeg sistema zaštite lozinkom.
MSVS 3.0- Zaštićeni multiplayer MultiTasking OS s vremenskim razdvajanjem razvijenim na osnovu Linuxa. Operativni sistem pruža višeslojni prioritetni sustav s premještanjem više zadataka, virtualne organizacije za virtuelnu memoriju i potpunu mrežnu podršku; Radi sa Multiprocesorom (SMP - simetrično multiprocessing) i konfiguracije klastera na Intel, Mips i Sparc platformama. Značajke MSVS 3.0 - Ugrađena sredstva zaštite od neovlaštenog pristupa koji ispunjavaju zahtjeve Državnog vijeća Državne tehničke komisije prema predsjedniku Ruske Federacije za 2 sredstva tehnologije računarske tehnologije. Alat za zaštitu uključuju obaveznu kontrolu pristupa, popise za kontrolu pristupa, model uloga i razvijene alate za reviziju (evidentiranje događaja).
Datotečni sistem ISWS 3.0 podržava imena datoteka do 256 znakova s \u200b\u200bmogućnošću stvaranja nazivi datoteka i direktorija za rusko govore, simboličke veze, kvote i liste prava pristupa. Postoji mogućnost montiranja FAT i NTFS datotečnih sistema, kao i ISO-9660 (CD-ovi). Mehanizam kvote omogućava vam kontrolu upotrebe korisnika prostora na disku, broj pokrenutih procesa i količinu memorije dodijeljenog na svakom procesu. Sistem se može konfigurirati za izdavanje upozorenja kada se korisnik zatražio korisnik pristupi određenoj kvoti.
MSVS 3.0 uključuje grafički sistem zasnovan na X prozoru. Dva menadžera prozora isporučuju se za rad u grafičkom okruženju: ICEWM i KDE. Većina programa u ISWS-u fokusirana je na rad u grafičkom okruženju, što stvara povoljne uvjete ne samo za rad korisnika, već i za njihov prijelaz u Windows OS na MSV-u.
MSVS 3.0 se isporučuje u konfiguraciji, koja osim kernela uključuje skup dodatnih softverskih proizvoda. Sama operativni sistem Koristi se kao osnovni element organizacije automatiziranih radnih mjesta (oružja) i izgradnju automatiziranih sistema. Dodatni softver može se instalirati na izbor i fokusiran je na maksimalnu administraciju automatizacije i primjene domene, što smanjuje troškove servisiranja Armm-a i koncentrira se na korisnike njihovog ciljanog zadatka. Instalacijski program omogućava vam instaliranje OS-a sa CD-a za pokretanje ili na mrežu putem FTP protokola. Obično je instalacijski poslužitelj instaliran i konfiguriran iz diskova, a zatim je postavljanje ostalih računara instalirana preko mreže. Instalacijski poslužitelj u radnoj domeni vrši zadatak ažuriranja i obnavljanja softvera na radnim mjestima. Nova verzija je odgođena samo na poslužitelju, a zatim se događa automatsko ažuriranje na radnim mjestima. Kada je oštećen na radnim mjestima (na primjer, kada izbrišete programsku datoteku ili poprečnu provjeru provjera izvršnih ili konfiguracijskih datoteka), odgovarajući softver automatski se preusmjerava.
Prilikom instaliranja administratora predlaže se da odaberete jednu od standardnih vrsta ugradnje ili prilagođene instalacije. Standardne vrste se koriste kada se instaliraju na standardnim poslovima i pokrivaju glavne standardne opcije za organiziranje poslova na osnovu magarca 3.0 (Sl. 1). Svaki standardni tip definira skup instaliranih softverskih proizvoda, konfiguraciju diska, skupa datotečnih sistema i brojne postavke sustava. Prilagođena instalacija omogućava nam izričito postavljanje svih naznačenih karakteristika konačnog sistema do odabira pojedinačnih softverskih paketa. Kada odaberete prilagođenu instalaciju, ASW 3.0 možete instalirati na računar s već instaliranim drugim operativnim sistemom (na primjer, Windows NT).
MSVS 3.0 uključuje jedinstveni dokumentacijski sustav (ECD) s informacijama o raznim aspektima funkcioniranja sistema. ESD se sastoji od poslužitelja dokumentacije i baze podataka koji sadrže opise opisa, pristup kojem je moguć preglednicima. Prilikom instaliranja dodatnog softvera u ECD bazu podataka postavljene su odgovarajuće referentne dijelove. ESD se može postaviti lokalno na svakom radnom mjestu, ili se u domenu MSVS može dodijeliti posebni dokumentacijski poslužitelj. Potonja opcija korisna je za korištenje velike dimenzije u ISWS domenima za spremanje ukupnog prostora na disku, pojednostaviti proces upravljanja i ažuriranje dokumentacije. Pristup dokumentaciji iz drugih poslova mogući je putem web pretraživača koji se isporučuje sa MSVS 3.0.
MSVS 3.0 je u ruskom jeziku i u alfanumeričkim i grafičkim režimima. Podržani su virtualni terminali, prebacivanje između kojih se vrši pomoću kombinacije tipke.
Ključna točka sa točke integriteta sistema je registracijska operacija novih korisnika TSWW, kada su definirani atributi korisnika, uključujući sigurnosne atribute, u skladu s kojom će sustav kontrole pristupa nastaviti kontrolirati korisnika operacija. Osnova za mandat modela su informacije unesene prilikom registracije novog korisnika.
Za provođenje diskrecijskog kontrole pristupa koriste se tradicionalni mehanizmi za UNIX mehanizme liste prava pristupa i popis prava pristupa (ACL - kontrolni popis za pristup). Oba mehanizama se implementiraju na nivou sistem podataka MSVS 3.0 i služe za postavljanje prava na pristup objektima datotečnog sistema. Bitovi vam omogućavaju da odredite prava za tri kategorije korisnika (vlasnika, grupe, ostalo), međutim, to nije prilično fleksibilan mehanizam i primjenjuje se prilikom navođenja prava za većinu datoteka OS-a, najčešće korišteni dio korisnika. Uz pomoć ACL lista, možete postaviti prava na nivou pojedinih korisnika i / ili grupa korisnika, a na taj način postići značajan detalj u zadatku prava. Popisi se primjenjuju prilikom rada s datotekama za koje je potrebno, na primjer, za postavljanje različitih prava pristupa za nekoliko određenih korisnika.
Jedan od važnih nedostataka tradicionalnih UNIX sistema, u pogledu sigurnosti, je dostupnost superusera koji ima najšire moguće ovlasti. Sadrži MSVS 3.0 - Decentralizacija funkcija superusera. Zadatak administracije sistema podijeljen je na nekoliko dijelova, za obavljanje konfiguracije, sigurnosti i revizije postoje. Sa stajališta operativnog sistema, ovi administratori su obični korisnici koji su dobili priliku za pokretanje posebnih administrativnih programa i pristupa odgovarajućim konfiguracijskim datotekama. Izrada računa administratora sistema događa se u instalaciji faze instalacije 3.0.
Svaki od administratora odgovoran je za obavljanje samo njihovih zadataka, na primjer, konfiguracijski administrator upravlja datotečnim sustavima, mrežnim sučeljima, sistemskim postavkama itd. Sigurnosni administrator odgovoran je za sigurnosnu politiku i kontrolira sigurnosne postavke povezane sa sigurnošću: minimalna dužina lozinke, broj neuspjelih pokušaja prijave korisnika i slično. Istovremeno se bilježe svi događaji vezani za sigurnost, uključujući administratore. Administrator za reviziju koji može, na primjer, "CLEAN" Dnevnici revizije odgovoran je za upravljanje revizijom.
Decentralizacija funkcija Superuser-a omogućava vam da implementirate princip "četiri oka". Na primjer, registracija novog korisnika MSVS 3.0 izvodi se u dvije faze. Prvo, administrator konfiguracije stvara račun za novi korisnik, a zatim sigurnosni administrator registrira novi korisnik u bazi podataka o zaštiti. Tek nakon toga postaje moguće ući u novi korisnik u sustav.
Izvršiti zadatke administracije u distribuciji, paket "Administratorski alati" uključuje programe upravljanja korisnicima, datotekama, sigurnosnim, reviziji, širokim i mrežnim postavkama.
Prvi zadatak koji će se izvesti nakon instaliranja ISW3.0 je formiranje administratora sigurnosne politike sprovedeno u ovoj organizaciji. Jedna od komponenti ovog zadatka je konfiguriranje mehanizma obvezne kontrole pristupa. Na slici. 2 prikazuje oblik programa upravljanja obaveznim mehanizmom koji vam omogućuje konfiguriranje skupa mandata atributa predmeta i MSVS 3,0 objekata. Na vrhu prozora programa konfiguriraju se nivoi sigurnosti, mogućih vrijednosti od kojih mogu biti, na primjer, "ne povjerljive" i "povjerljivo". Donji dio stvara skup kategorija koji opisuju predmet koji podaci uključuju: "Zaposleni" "Tehnička sredstva", itd. Moguće je stvoriti superti kategorije (na primjer, "kategorije_1_2"), uključujući nekoliko zasebnih kategorija i drugih vert. Rad sa nivoima je najprikladniji prilikom predstavljanja u decimalnom obliku, jer nivoi imaju hijerarhijsku organizaciju. Zauzvrat, prilikom rada s kategorijama, pogodno ih predstavlja u binarnom obliku, jer kategorije nisu hijerarhijski set.
Na slici. 3 je pogled na jedan od programa Windows upravljanja. Pokretanje ovog programa moguće je samo konfiguracijskim i sigurnosnim administratorima. U ovom slučaju svaki od njih može uspostaviti ili mijenjati samo one korisničke atribute, koji su uključeni u njenu kompetentnost.
Na slici. 4 prikazuje primjer prozora programa upravljanja datotekama koji vam omogućava pregled i promjenu vrijednosti atributa datoteke. Vizualizacija drveća struktura datotečnog sustava na lijevoj strani prozora olakšava navigaciju na njoj i odaberite željenu datoteku. Atributi odabrane datoteke grupirani prema njenoj funkcionalnoj svrsi prikazani su na desnoj strani. Za svaku grupu izdvojila je zasebnu karticu. Tajka "Basic" predstavlja takve tradicionalne atribute datoteka kao što su vrsta, veličina, broj krutnih referenci, diskrecijskim atributima i vremenskim oznakama. Značajka datoteka ISWS 3.0 prisustvo je obaveznih atributa i širenja diskrecijskim atributima na listu prava pristupa. Atributi mandata predstavljeni su u kartici "Mandat Tag". Za upravljanje ACL datotekom označeno je karticu "Prava pristupa". Štaviše, kada odaberete direktorije za koje je moguće zadani ACL, aktivira se kartica "Zadana prava pristupa". Na slici. 5 prikazuje prozor View ACL datoteke. Možete dodati i jedan unos za korisnika ili grupu i mnoge unose s istim pristupom. Kao u slučaju prethodnog programa, pokretanje programa upravljanja datotekama moguće je samo samo konfiguracijskim i sigurnosnim administratorima. Svaki od njih može mijenjati samo atribute datoteka koje kontroliraju njegovu kompetenciju.
MSVS 3.0 Usluge
ASA, poput bilo kojeg drugog operativnog sistema, koristi se za stvaranje optimalnih uvjeta za obavljanje usluga i aplikacija koje pružaju automatizaciju i poboljšanje efikasnosti korisnika.
Jedna od glavnih usluga bilo kojeg OS-a je štamparska usluga. MSVS 3.0 uključuje sistem za ispis koji vam omogućuje ispis dokumenata u skladu sa zahtjevima za zaštićenim sistemima. Među značajkama sustava za ispis MSVS 3.0, koji ga razlikuje od sličnih sustava podržava mehanizam kontrole pristupa, koji vam omogućava da definirate nivo privatnosti dokumenta i automatski usmjeri zadatak u skladu s donesenim pravilima ispisa U ovoj organizaciji. Svaki tiskani list automatski označava atributima računovodstva dokumenata, uključujući ime korisnika, ispisano dokumentom i nazivom računara iz kojeg se zadatak šalje. Jedna od prednosti sistema štampanja je njegova invarijantna u odnosu na aplikacije koje se okreću u servisu za ispis. To znači da nije vezano za postojeće aplikacije i ne mijenja se kada se pojave nove aplikacije. Kao rezultat toga, prikazane aplikacije trebaju uzeti u obzir obilježavanje listova i ostaviti slobodan prostor za to. Činjenica tiska zabilježena je u posebnom časopisu za uzimajući u obzir tiskane dokumente. Da biste radili s ovim časopisom, koristi se poseban program, koji vam omogućava da vidite, uređujete neka polja zapisa i ispisate ih (Sl. 6).
Važan element ISWS 3.0 sistema zaštite je identifikacijski / autentifikacijski sustav. Za uspješnu provjeru autentičnosti, korisnik mora unijeti ispravnu lozinku. Očito, kvaliteta odabrane lozinke definira otpor sustava da prodre u uljeze. Za proizvodnju korisničkih lozinki u MSA 3.0 uključen je poseban program (Sl. 7).
Za nadgledanje domena računara, primjenjuje se funkcionalni sustav (CF), koji se sastoji od poslužitelja i posebnih agenata. Agenti su instalirani na domenu računara i izvještavaju na server njihovog stanja. CF sistem omogućava vam da primite informacije o različitim aspektima funkcioniranja računara (stanje procesa, disk sustava, kernel podsistema) i nadgledajte performanse mrežnih usluga (FTP, SSH, itd.). Informacije koje ulaze u poslužitelj nakupljeni su u posebnim časopisima, što vam omogućuje da primijetite ne samo trenutno stanje domene, već i proučavate njegovo stanje za cjelokupno razdoblje funkcioniranja sistema.
Msvs domene
MSVS 3.0 koristi se za stvaranje domena zasnovanih na zaštićenim automatiziranim sistemima. Fizički domena se provodi kao lokalna mreža računara, većina služi za organiziranje korisničkih poslova. Neki od njih su potrebni za organizovanje javnih resursa, kao što su datotečni poslužitelj, poslužitelj baze podataka, poslužitelja za ispis, poslužitelja pošte. Logično, MSVS domena je razna računala koja implementiraju jedinstvenu sigurnosnu politiku i formirajući jednopravni prostor. Jedna sigurnosna politika podrazumijeva da su svi računari podržani pojedinačnim skupovima predmeta i pristupnih objekata, sigurnosnim atributima, a postoje pojedina pravila za diskreciona i obavezna kontrola pristupa. U tom smislu, MSVS domena je takođe sigurnosna domena.
Ujedinjeni upravni prostor podrazumijeva jedinstvenu administraciju informativnih resursa (računala) MSVS domene. Njegova fondacija je objedinjeni prostor korisnika MSVS domene.
- Za svaki korisnik domene podržan je račun koji uključuje potrebne podatke o korisnicima (logičko ime, lozinka, puno ime i atribute korisnika korisnika). Ove informacije Koristi se za obavljanje postupaka identifikacije / provjere identiteta na svom ulazu u MSVS domenu.
- Na svakoj računarskoj domeni sa zajedničkim resursima (server) na kojem ovaj korisnik može raditi, postoji potpuno isti račun za to kao na svom radnom mjestu.
- Na radnom mjestu sigurnosnog administratora podržava se baza podataka s informacijama o svim korisnicima domena, što uključuje njihov račun, poboljšane informacije (na primjer, položaj, ime / odjel), kao i naziv svog računara i svih poslužitelja koje ima pristup.
Dakle, račun je jedan za dani korisnik kao dio MSVS domene i kroz njega je da se korisnički pristup kontrolira od strane resursa za informacije o domenu.
Heterogene domene
Na ovaj trenutak Prilikom razvoja zaštićenog automatskog sistema, postojeće lokalne mreže uzimaju se kao osnova, u kojim se poslužiteljima i poslovima dominiraju windows baza podataka NT. Nemogućnost trenutne tranzicije organizacije na MSVS platformi stvara problem njegove integracije sa Windowsom. Ovdje možete izdvojiti dva aspekta: izbor optimalne strategije za prijelaz na TSWW i tehničke poteškoće koji prate ovu tranziciju.
Kao rezultat analize informacija, u sigurnom automatiziranom sistemu, područja su najvažnija u pogledu sigurnosti. Prije svega, ova područja uključuju protoke informacija o uvozu / izvozu, jer je kroz ove tokove povjerljive informacije (izvana izvana i proizvedene iznutra) spadaju u vanjski svijet: ispis poslužitelji i izvozne informacije o diskovima i kasetama. Druga najvažnija područja skladištenja informacija su: datotečni serveri i radne stanice korisnika.
U procesu prekretanja Windows mreže na zaštićeni automatizirani sustav, ta područja mreže moraju se prije svega modificirati, koja su najkritičnija u pogledu sigurnosti. Prvi korak je minimiziranje i nadgledanje protoka informacija o izlazu. Kao što je spomenuto, ISWS 3.0 ima razvijeni sistem računovodstva i kontrolu ispisa dokumenata i omogućava mrežu izgrađenu na osnovu da implementira zahtjeve za izdavanje tiskanih dokumenata na čvrstu kopiju.
Drugi korak je prenos servera datoteka sa Windows platforme. U MSVS 3.0, razvijen korisnički sistem za kontrolu pristupa pruža se informacijskim resursima operativnog sistema, što vam omogućava da organizujete zaštitu korisničkih podataka na odgovarajućem nivou.
Prilikom integriranja ISWU-a i Windows-a, što se pojavljuje niz tehničkih problema, od kojih su najvažniji problemi problemi sa kompatibilnošću / programima za provjeru identiteta korisnika, principi kontrole korisničkih pristupa korištenim u ovim širilnim sustavima.
Prva dva problema su u tome da u Windows NT okruženju, krug za prijavu korisnika podržava u NT domenu na temelju jedne baze podataka pohranjene na posebnom upravljačkom poslužitelju - kontroler domene. Ova se shema u osnovi razlikuje od sheme koja se koristi u msvs. Pored toga, u Windows NT arhitekturi ne postoji podrška za kontrolu pristupa mandatu i nije moguće prikazati skup sigurnosnih atributa ASW operativnog sistema. Windows-sustavi koriste CP1251 kodiranje, dok se Koi8-R koristi u MSVS 3.0, međutim, akumulirani podaci (za rad s kojom je potrebno Windows okruženje) obično se pohranjuje u CP1251. U ovom slučaju, prezentacija ovih korisnika, njihov ulaz i uređivanje događaju se u MSVS okruženju, pa je potrebno transkriskode "u letu". Pored toga, za rješavanje zadataka upravljanja podacima (na primjer, zadatak za sortiranje podataka) CP1251 kodiranje je prihvatljivije od KOI8-R.
Za izgradnju sigurnog automatskog sistema zasnovan na MSVS 3.0 s mogućnošću privremene kompatibilnosti s NT-om, razvijen je terminalni pristup pristupu (Sl. 8). Ovaj sistem Omogućuje vam organiziranje operacija sa Windows aplikacijama na sljedeći način: Poslužitelji datoteka i ispisa, kao i mjesta klijenta izgrađena su na temelju MSVS 3.0, a za rad sa Windows aplikacijama postoji aplikacijski poslužitelj na temelju NT terminalskog izdanju poslužitelja, pristup koji se izvodi na poseban način.. Jedna od prednosti ove opcije je fleksibilnost u organizaciji korisničkog rada, što zapravo dobiva priliku da istovremeno radi u dva operativna okruženja i koriste aplikacije od svakog od njih. Nedostatak je potreba za stvaranjem aplikacijskog poslužitelja s posebnim pristupom, što dovodi do pojave ograničenja sigurnosnih politika. Kao rezultat toga, zadatak integriranja MSVS i Windows NT rješava se stvaranjem MSVS domene sa aplikacijskim poslužiteljem aplikacije zasnovan na NT i pomoću terminalnog pristupa.
Sad smatramo kako korisnik radi u heterogenom msvs domenu. Korisnik ulazi u domenu kroz ruku. Da biste pristupili poslužitelju aplikacije Windows NT, korisnik se odnosi na klijent Terminal Access. U posebnoj bazi podataka pohranjenoj na aplikacijskom poslužitelju, postoji prepisnica između korisničkog imena i naziva njegovog računala, koji se koristi prilikom povezivanja mrežnih pogona za ovog korisnika. Kao rezultat, rad na NT sesiji, korisnik kao mrežni disk na svom radnom mjestu vidi samo sadržaj svog kućnog imenika, kao i zajedničke resurse domene (poslužitelji datoteka i pisači). Može pokrenuti Windows aplikacije, ali će raditi samo s ograničenim mnoštvom datoteka (njenih ili općih) pohranjenih na računarima sa MSVS 3.0.
Da biste organizovali ispis povjerljivih dokumenata u domenu, dodjeljuje se poslužitelj za ispis na temelju MSVS-a koji je odgovoran za implementaciju i održavanje štampanja, što sprečava nerasposodno reprodukciju izlaznih poverljivih dokumenata. Za ispis nema povjerljivih podataka, povezivanje lokalnih pisača na ruku. Korisnik, koji radi sa Windows ili ASW aplikacijama, šalje štampani dokument i nije važno gdje se dokument nalazi na lokalnoj mašini ili na poslužitelju datoteke. Uz pomoć ISWW fondova, analizira se povjerljivost dokumenta. Ako je dokument povjerljiv, zadatak se preusmjerava na poslužitelj za ispis, ako ne, dokument se ispisuje lokalno.
Predložene opcije omogućavaju vam da organizujete postepenu tranziciju iz informaciona infrastruktura Na osnovu Windows NT-a za osiguranje automatiziranih sistema za obradu informacija na osnovu MSVS 3.0.
Literatura
1. Gostekomsions iz Rusije. Upravni dokument. Računarska oprema. Zaštita od neovlaštenog pristupa informacijama. Indikatori zaštite od neovlaštenog pristupa informacijama. Moskva, 1992.
2. D.V. Efanov. Sistem štampanja dokumenata // ACS i kontroleri. 2001, №1
Andrei Trewin - Zaposlenik Ministarstva odbrane Ruske Federacije. Igor Zhukov, Dmitrij Efanov ([Zaštićen e-poštom]) - Zaposlenici all ruskog istraživačkog instituta za automatizaciju ureda u proljeću za impocipaciju (Moskva).
U ovom se pregledu pokušat ću uspostaviti kopiju Redhat Enterces Linuxa za potrebe RF MO da vidje kako funkcionira na modernom hardveru. Posljednje pitanje ISWS-a već je bilo u 2011. godini, ali još uvijek je "korisno" u vojsci Ruske Federacije:
Dolazak u instalaciju
Instalirat ćemo na laptop Fujitsu Lifebook N532, koji je postalno u Linuxu i u Windows-u. Ovaj laptop je pušten 2012. godine, samo godinu dana kasnije od MSVS 5.0.
Prozor za pokretanje - CUT-up copy Redhat Enterces Linux:
Čak su i lijeni da se naprave normalan prozor za utovar, promijenili su pozadinu / logotip, uklonili nepotrebne tipke i to je to.
Da biste nastavili instalaciju, jednostavno pritisnite ENTER:
Instalater je učitao u MS-DOS retro stilu, ali prije izlaska ISSU 5, gotovo sve distribucije imale su grafički instalater. U Debian, postoji i tekstualni instalater, ali mnogo je lakši i jasniji od ovoga. Pitaju nas, provjerite instalacijski DVD ili ne. Provjerimo samo u slučaju:
Disk se normalno bilježi, nema grešaka. Zatim se traži da provjerimo dodatne medije, ali nemam ih.
Disk za označavanje alata za označavanje s odabranim opcijom brisanja za sve odjeljke. Šta ako se nada da se nada umu domaće IT industrije jednostavno pritisnete Enter?
Sada nastavite do oznake diska. Na ovom računaru instalirao je još dva OS i odabrala sam "Kreiraj svoju particiju"
Imamo 30 GB neiskorištenog neformatinog prostora, odaberite "Koristite slobodni prostor i stvorite zadanu particiju" i dobijte grešku u prekidu: nemoguće je distribuirati tražene dijelove
Kliknite "Da" i nabavite automatsku grešku u particiji:
Kliknite "Da" i odaberite "Kreirajte svoju particiju"
Budući da ovaj "Dosovsky Fdisk" ne pokazuje koliko sam zauzet i slobodan, tako da sam slučajno izbrisao bilo šta, odlučio sam da gledam odjeljke u drugi OS i pritisnula ponovno pokretanje (Alt + Ctrl + Del Sjepam iz MSSO-a).
Računar je jednostavno obješen o tim riječima, ali reagira na CAPSLLOCK. Čekamo još 15 minuta i samo klikni resetiranje. Učitavamo još jedan OS, uvjereni smo u ispravnost izbora besplatne particije, nastavljamo instalaciju i reagiramo na korak oznake diska. Odabir datotečnih sistema nije bogat ovdje, samo Ext2, Ext3 i VFAT (koji nije ugrađen na ekranu).
Ostavimo sve po zadanim postavkama, odnosno ćemo koristiti GRUB:
Samo pritisnite Enter.
Zatim se tražimo da kreiramo lozinku za promjenu parametara lom-loading
morao sam ući u dugu lozinku
Sada nastavite da instalirate bootloader. Na instaliran prijenosnom računalu najnovije verzije Debiana i Ubunti, ali instalater ih nije pronašao. Kao rezultat, nakon instaliranja MSVA, izbornik za izbor operativnog sistema će nestati i morat ćete obnoviti Grub putem Livecd-a.
Klizač liste operativnih sistema na samom dnu, kao da kaže da je nešto drugo. Pokušao sam ga premjestiti pritiskom na karticu, CTRL, Ctrl + tabulator i drugim kombinacijama tipki. Ali klizač u kojem je mjestu, u ovome i ostao:
Kliknite Da i nastavite instalaciju:
Odaberite gdje instalirati bootloader. Podesio sam Downloader na glavni zapis za pokretanje MBR, odnosno na / dev / sda, ali za nedavne Windows korisnike, ovo je teško pitanje. Ili svi vojni Rusi znaju Unixes?
Slijedi da je mrežna postavka.
Nemamo mrežne veze, odaberite "Ne" i kliknete Enter
otvoreni prozor sa zahtevom za ulazak dodatne opcije Mrežne postavke:
Kao što vidite, tipke "Otkaži" i "Ne" nisu potrebni, nema. Postoji samo "da" i "nazad". Bilo bi logično ako bismo instalirali sustav preko mreže, ali imamo DVD s kompletnim setom programa. Kliknite Enter.
Ostavili ste prazan polje "Gateway". Ovisno o vašem mrežnom okruženju, u budućnosti mogu postojati problemi
kliknite da biste nastavili i ponovo tražite da unesete dodatne mrežne parametre. Općenito, vraćamo se na prvi prozor postavki mreže i odredimo da trebate konfigurirati mrežno sučeljeIako ga nemamo.
Oni traže da uđu u ime mreže. Odaberite "Ručno" i izmislite naziv mreže
Odaberite svoju vremensku zonu:
Odaberite korijensku korisničku lozinku (ne manje od šest znakova):
Odaberite popis paketa za ugradnju. Izabrao sam sve
Daljnja ovisnost je nakon kojeg se prozor otvorio s adresom za ugradnju:
Proces instalacije:
Ne razumijem, da li su ovi problemi sa fontovima ili sa kodiranjem?
Instalacija dolazi do 100%, a instalacijski program nas srećom pozdravlja o završetku instalacije, traži da isključite uklonjive medije i pritisnite Enter za ponovno pokretanje. Pritisnite Enter i računar jednostavno vise kao prošli put.
Pritisnite tipku za napajanje, pričekajte nekoliko minuta i oh, užas, sve je na engleskom jeziku. Ili je to tako ruski jezik u ruskoj vojsci?
Gdje su naš Debian i Ubunta? Postoji samo jedan msvs. Ali ništa strašno, može se ispraviti ponovnim instaliranjem utovarivača GRUB-a putem Livecd-a.
Samo pritisnite Enter za preuzimanje
Sistem je glup 15 sekundi i prikazuje greške: memorija za sudar kernel (0x0 do 0x0) notwin dozvoljev; Nije moguće upiti snažan hardver sinaptike (ne mogu intervjuirati dodirnu tablu)
i nastavlja se preuzimati, meni postavki se otvara tokom procesa preuzimanja.
Samo odaberite "izlaz" i kliknite Enter. Nakon 10 sekundi ovaj se ekran otvara, gdje nema niti jednog nagoveštavanja na rasporedu. Ulazimo u prijavu i lozinku, a sistem je spreman za rad:
Uzgred, obratite pažnju, kernel je ovdje instaliran 2.6.18. Ovaj je kernel izašao, pet godina ranije od MSVS 5.0. Da, za pet godina bilo je moguće izgraditi čitave industrije, kao u petogodišnjim pločicama Staljina, ali skoro 10 godina je prošlo! U tom dalekom vremenu tek sam počeo da me zanima Linux. Iako su pet godina potrošili sigurnosnu reviziju kodeksa.
Ok, pokušajte da koristite ono što jeste.
Pokušavamo pokrenuti grafiku. U niksiju za pokretanje grafike, obično morate unijeti StartX, unesite Startx:
#startx
i nabavite greške:
Ovdje sam posebno otvorio log greške /var/log/xorg.0.log tako da je bilo jasno Što je stvar: Sistem ne može preuzeti standardne upravljačke programe FBDEV i VESA.
Moramo ponovo pokrenuti samo sistem i vratiti se na radni OS, unesite ponovno pokretanje i ponovo se zamrzavajte prilikom ponovnog pokretanja:
Trudimo se da instaliramo putem VirtualBox:
Takođe ulazimo u korijen za prijavu, lozinku i startx
Naravno, Vniini iz sigurnosnih razloga ne preporučuju se vođenjem šupljina administratora. I zašto se nakon prvog lansiranja ili u sam instalacijdžeru nije sugerirano u sigurnosne svrhe za stvaranje jednostavnih korisnika kao u mnogim drugim distribucijama?
O_o, ispostavilo se da radi.
Radni stol MSVS 5.0
Dakle, da vidimo - prekrasna lagana radna površina, simulirajući stari prozori i KDE. Ali to je samo ukrašena desertnska radna površina
Upravitelj datoteka, objavljen prije 11 godina, vrlo je sličan obloženom Konquerroru
U sistemu tre ro vremenski indikator sa kalendarom, prekidačem rasporeda tipkovnice i indikator nivoa raspoloživosti (ali to je radije iz MSVS programera).
Podešavanja MSVS 5.0.
U Linuxu se neki programi (na primjer kromij) ne kandiduju od korijenskog korisnika, na ovome prvo kreiramo novog korisnika i prelazimo u sistem kroz njega:Početak - Postavke - ELK Control Panel, Upravljanje korisnikom - Dodaj novi korisnik:
Lozinka mora biti najmanje 8 znakova!
Sigurnosni atributi su impresivni, ali nećemo ih dirati:
Korisnik je uspješno stvoren. Napuštamo sesiju i postajemo ravno u korijenski račun, gdje nas gomila grešaka pozdravlja:
Od ovog računa odlazimo pritiskom na Ctrl + D, prijavite se od strane novog korisnika i pokrenite Startx. Ikers je započeo, ali miš se kreće i kombinacije tastature ne reagiraju. Ponovo pokrenuti virtualna mašina Nije pomoglo, šupljine na ovom računu također ne rade. Pa, morat ćete raditi iz korijena, što je sigurnosni poremećaj.
Rezolucija ekrana od američkih 800x600, pokušajte to promijeniti. Idite na "Upravljačka ploča" i odaberite ikonu "Monitor". Prozor se otvara s porukom koju nemamo Xorg.conf datoteku i da će ekran biti mrak tokom stvaranja. Stvorite ga ili ne?
Kliknite "Da"
Pogreška inicijalizacije konfiguracije:
Nakon toga otvara se prozor sa postavkama monitora. Trudimo se da nešto promijenimo, ali bez reakcije. Značajno je da ovaj prozor prikazuje primjer zaslona Windows 95. A kad pritisnete tipke "Da" i "Otkaži", prozor se ne zatvara i ništa se ne događa. Zatvorite prozor može se pritisnuti samo na križ.
U izborniku "Sistem" postoji predmet "Dozvole za prebacivanje ekrana". Mi biramo ga i nudimo program u trećem sa samo dva točka: 800x600 i 640x480 i frekvenciji 60Hz. Ali u slobode OS-u, mogao bih to staviti i čak promijeniti frekvenciju. Otuda zaključak da je u ISWS-ovim softverskim rasporedom gore nego u DOS-u!
Gledamo informacije o opremi:
Nakon što kliknete na "OK", ovaj se prozor otvori:
MSVS 5.0 programa
Zanimljivo je da, kada prevedemo pokazivač miša iz EDE programa u KDE, miševa pokazivača se mijenja.To je zato što je HSS radna površina mješavina EDE-a i KDE radne površine.
Neto. Ukupno deset programa u ovoj kategoriji, uključujući ELK posmatrač, IRC, Wireshark, GFTP, e-mailing monitor, mrežni monitor i upravljanje PPP-om i upravljanje mrežnim uređajima i upravljanju mrežnim uređajima.
Upravljanje mrežnim uređajima
Klijent pošte ne pokreće:
Preglednik pretraživača ELK je tačna kopija pregledača Aurora. Vidite, preimenovali su ga u Elk, ali zaboravili su promijeniti logotip:
ELK Browser:
Komunalne usluge
U komunalnim uslugama, kao i 4 terminala: elk-terminal, x-terminal, konzola i terminal u režimu supersera. Znate li zašto ih ima toliko njih? Budući da je WSA Desktop Ede smjesa sa KDE. Čak su nastanili da uklone nepotrebne komunalije, sve što je zadano bilo tako da su otišli.
Iz tog razloga postoji mnogo programa sa dvije različite radne površine, ali s istim karakteristikama. To se posebno odnosi na gledanje slika, dokumenata (PDF, DJVU itd.) I tekstualnih urednika.
Tekst Emacs uređivač teksta u msvs:
Naučni. U naučnom, samo KDE kalkulator, koji je objavljen 2005. godine:
Grafika. U ovom su odjeljku svi programi iz XDE + Xsane 2007 izdanje.
Igre. U igrama, skup igara iz KDE-a, među kojima su vojne igre sačni i padobrani:
Multimedija. Jednostavan medijski uređaj, audio uređaj, K3B (CD / DVD unos), regulator zvuka i programi za snimanje zvuka.
Da biste provjerili zvuk, morate preuzeti neki film u virtualni sistem .. Zvuk i video uopće ne rade. Stavio sam postavke VirtualBox Alsa, OSS, SoundBlaster16 - ništa ne radi. Pokušao sam OGV, OGG, MP4 - u nekim slučajevima zahtijeva da instaliraju kodeke, u drugima - prikazuje grešku:
Pokušajmo instalirati FFMPEG:
OTVORENO Start - ELK Control Panel - Manager programa
prije početka nekoliko sekundi provjeravaju se popisi paketa.
pokušajmo pronaći FFMPEG.
Ovo je takav ruski jezik u ruskoj vojsci!
fFMPEG je bio na popisu instaliranih paketa. A potraga za OSS i Alsa (zvučni sustavi) uopće nisu dali nikakve rezultate. Zahtevi za ured i Firefox takođe nisu dali nikakve rezultate.
k3b Pri pokretanju daje grešku da ne nađe mime tipa. Morate pritisnuti 10 puta ok, a zatim započinje:
Isključivanje sistema:
Izlaz ...
1. Na modernu opremu, ISWS ne radi
2. Sistemsko jezgro kao cijeli softver objavljen prije 11 godina, respektivno moderna oprema Nije podržan
3. Rezolucija ekrana postavljena je na 800x600 i ne mijenja se
4. Video sistem radi samo u emulatoru, ali pokazuje greške nakon završetka posla.
5. Zvuk uopće ne radi
6. Grafika djeluje samo korijenski korisnik, što je sigurnosni poremećaj
7. Zadane naredbe za isključivanje i ponovno pokretanje dostupne su samo putem konzole i rade samo u emulatoru.
Opći zaključci.
MSVS5.0 - RedHat Enterces Linux5.0 (2007) Kopiran u 2011. (2007), radi pogrešno na računaru izdatih u 2011. godini. Da, u ruskoj vojnoj, primjerice je uobičajeno za duboko stari antikni, na primjer, Aviance Cruiser "Admiral Kuznetsov" sa svojim odskočnim brodom umjesto katapulta, zbog kojih se zrakoplov prisiljeni da lete s nepotpunom municijom, a ponekad i Padajte u vodu kada se spustite za zrakoplove i instalacijom za gorivo, potrebno je za punjenje goriva tokom pohoda ...
Sigurno su barem neki naši čitatelji razmišljali o tome koji se operativni sistem koristi u našim oružanim snagama. Uostalom, svi razumijemo da ne može biti na nekom raketnom kompleksu koji je na borbenoj dužnosti, stand Windows. Danas minimiziramo zavjesu misterije i kažemo o ISA OS-u. Ovo je takozvani Mobilni sistem Opseg primjene govori svoje ime, ali o tome kako se to općenito, reći, reći ćemo.
Preduslovi za stvaranje
Prvi put su formulirani sigurnosni kriteriji za računarske sisteme u kasnim 60-ima prošlog veka. Sredinom 1980-ih, u SAD-u, svi su ta kretanja prikupljena u jednom dokumentu. Dakle, rođena je "narančasta knjiga" Ministarstva obrane - prvi standard sigurnosti računarskih sistema. Slijedeći takve dokumente pojavili su se u evropskim zemljama i Kanadi. 2005. godine pripremljen je na osnovu toga, međunarodni sigurnosni standard ISO / IEC 15408 "Opći kriteriji za zaštitu".
U Rusiji su slične studije provedene u 22. centralnom istraživačkom institutu Ministarstva odbrane. Konačni rezultat razvoja bio je potvrda 2002. ISS OS-a u oružanim snagama Ruske Federacije. Verzija državnog standarda na osnovu ISO / IEC zahtjeva usvojena je 2008. godine.
Zašto vojni oficir
Operativni sistemi koje koristimo svakodnevno nisu prikladni za upotrebu u državnim prostorijama za pohranu. GostekomSsia pod predsjednikom Ruske Federacije formulirao ih je kako slijedi:
- Informacije moraju biti zaštićene od neovlaštenog pristupa, kako iznutra i izvana.
- Sistem ne bi trebao sadržavati nedokumentirane mogućnosti, drugim riječima, u OS kodu ne bi trebalo biti "uskršnje jaja".
Uz to, zaštićeni operativni sistem mora imati hijerarhijsku pristupu višeslona i imaju odvojene funkcije administracije.
Dakle, zadatak stvaranja specijaliziranog zatvorenog OS-a nije tako jednostavan kao što se čini na prvi pogled. Odsustvo nedokumentiranih sposobnosti pretpostavlja da će izvorni kod i tehnički opis svih radnih postupaka temeljito proučavati u certifikacijskom centru. A ovo je područje komercijalnih tajna vlastitih korporacija ili intelektualno vlasništvo Programeri. Takav paradoks čini da izvučete oči prema otvorenom OS-u, jer je gotovo nemoguće dobiti potpunu tehničku dokumentaciju za vlasnički softver.
Zahtjevi Gost R.
FSTEC, kao uslugu odgovoran za sigurnost informacija na skali zemlje, uspostavlja se odvajanje OS-a prema stupnju zaštite obrađenih informacija. Za praktičnost svi se podaci svode na jednu tablicu.
Iz tablice se može vidjeti da se, za brojne zahtjeve, tri grupe i devet sigurnosnih klasa uspostavljene iz neovlaštenog pristupa, a na njima je daljnje razdvajanje da priznaju različite vrste povjerljivih podataka.
U srcu Linuxa
Šta je tako zgodno za Linux, šta će rado služiti u državnom aparatu? Uostalom, većim dijelom se jednostavni korisnici plaše njega, poput karakteristika Ladana. Hajde da to shvatimo. Za početak obratite pažnju na licencu pod kojim se distribuira "Linux". Ovo je takozvana GPL2 - univerzalna javnost ili besplatna, licenca. Svatko može dobiti izvorni kod i na osnovu njega za stvaranje vlastitog proizvoda. Drugim riječima, niko ne smeta da preuzme najbolje Linux distribucije i ne koristi ih u razvoju vlastitih zaštićenih OS-a.
Svetsko radno iskustvo javne institucije Pokazuje da prelazak na besplatni softver nastaje svuda, ideja je u potražnji i prilično opravdava. Vodeće zemlje svijeta, poput Sjedinjenih Država, Njemačke, Japana i brzo pristupanje Kini i Indiji, aktivno koriste Linux u gosfere i obrazovanju.
ISWS i njegov sadržaj
Mobile System verzija 3.0 Radio je u trupama od deset godina, savršeniji proizvod dolazi na to da ga zamijenimo i mi možemo mirno pogledati "kapuljač". Dakle, ovo je mrežni operativni sistem koji radi u multiplayeru koristeći grafičko korisničko sučelje. Podržava hardverske platforme:
- Intel.
- IBM sistem / 390.
Spapc / "Elbrus".
Temelji se na najboljim raspoloživim distribucijama Linuxa. Mnogi sistemski moduli posuđeni su iz Redhat Linuxa i prekompolirane uzimajući u obzir zahtjeve Ministarstva obrane. Drugim riječima, mobilni sustav oružanog sile je RPM distributivni Linux sa svim povezanim aplikacijama i razvojnim alatima.
Podrška datotečnom sistemu na početku je razine vijeka, ali budući da je tada najčešće postojalo, ovaj pokazatelj nije kritičan.
Verzije MSV-a
Uprkos činjenici da je ovo mrežni OS, nema softversko spremište poznato u bilo kojem linuudnoidnom. Sav softver se isporučuje kompletan na instalacijskim CD-ovima. Bilo koji program koji se koristi u ovom sistemu unaprijed je certificiran u Ministarstvu odbrane. A budući da je ovaj postupak daleko od brze, za sve i pol desetak godina rada, ograničen broj verzija i promjena im je izdato.
Programer ISMS-a je all-ruski istraživački institut za automatizaciju menadžmenta u spletu sa nezemljem. Na njegovoj službenoj stranici možete pronaći podatke o verzijama MSV-a, koji su trenutno podržani i imaju potrebne sigurnosne potvrde Ministarstva odbrane.
Mobilni sistem oružanih snaga za 2017. predstavljen je dva podržana skupština:
- OS MSVS 3.0 FLIR 80001-12 (Promjena br. 6).
OS MSVS 3.0 FLIR 80001-12 (Promjena br. 4).
Verzija 5.0, koja se nalazi na web stranici Vniina, ima sigurnosnu potvrdu o MO, ali službeno za opskrbu trupama nije prihvaćeno.
Premier MSVS
Sljedeći zaštićeni OS, koji je predstavljen kao zamjena desetogodišnjih msvs, bio je Astra Linux. Za razliku od prethodnika, sigurnosno potvrda samo iz Ministarstva odbrane, ASTRA je dobila sve moguće potvrde u Rusiji, a to su dokumenti iz MO, FSB i FSTEC. Zbog toga se može koristiti u svim vladinim agencijama, a prisustvo nekoliko verzija prilagođenih različitim hardverskim platformama još više proširuje opseg njegove upotrebe. Kao rezultat toga, može kombinirati sve uređaje pod njenom kontrolom - od mobilnog na stacionarnu opremu poslužitelja.
Astra Linux je moderna distribucija Linuxa zasnovana na Deb paketima, koristi svježu verziju kernela i trenutnog softvera. Popis podržanih procesora i njihovih arhitekture također se proširuju i uključuje moderne uzorke. Lista zvanično objavljenih verzija omogućava vam nadu u uspjehu ovoga. softverski proizvod Barem u gosfere i odbrani.
Konačno
U ovom smo materijalu razgovarali o ICA sistemu - glavni operativni sistem oružanih snaga Ruske Federacije, vjerno je služio "u rangu" od 15 godina i još uvijek na "borbi". Pored toga, nakratko je okarakterizirano sukcesija. Možda će neko iz naših čitalaca gurnuti da vidi koji je Linux i izvrši nepristrano mišljenje o proizvodu.
Kako utvrditi je li operativni sistem podržan opremom ovog računara?
Koje opcije instalacije pruža dupe 3,0 OS?
Koji mrežni protokoli podržavaju instalacijski program?
U kojim je slučajevima potrebno za stvaranje disketa za pokretanje?
Navedite glavne korake instalacije?
Koji se bootloader koristi za učitavanje OS kernela?
Navedite glavne faze utovara kernela?
Šta je lilo i lilo.conf?
Kako ukloniti LILO i vratiti izvorni utovarivač?
Koji je mehanizam kernel modula?
U kojim se slučajevima dužni koristiti RAM disk?
Kako konfigurirati upotrebu RAM diska prilikom učitavanja?
Koje variraju diskete za pokretanje, bootnet i upravljački programi? Kako ih stvoriti? Kako ih provjeriti?
Šta je softverski paket, zavisnosti paketa?
Koje su mogućnosti menadžera paketa?
Koji se menadžer paketa koristi za upravljanje softverom?
Kako instalirati paket sa CD-a na mreži?
Instalacija OS MSVS 3.0
Glavne faze instalacije
Instalacija sa CD-a uključuje sljedeće korake:
poziv na ugradnju i podsjetnik na dokumentaciju;
izbor manipulatora miša;
particioniranje diska prema odjeljcima;
utovarivač;
mrežna konfiguracija;
instaliranje naziva računara;
izbor vremenske zone;
izbor kompleksa za ugradnju;
ugradnja paketa;
instaliranje lozinke za korijen korisnika;
izrada disketa za pokretanje;
postavljanje video kartice i monitora;
Prilikom instaliranja mreže pomoću poslužitelja morate proizvesti nekoliko dodatnih unaprijed postavljenih postavki:
proizvodnja skupa disketa za preuzimanje računara i organizovanja mrežnog pristupa poslužitelju;
odabir opcije mrežne instalacije;
mrežni podešavanje i pristup mreži poslužitelju.
Instalacija sa CD-a
Prije pokretanja instalacije, morate konfigurirati BIOS računara tako da je prvi na listi uređaja za utovar CD i umetnite CD sa ISWS 3.0 pokretanjem modula u CD-ROM uređaj.
Ako BIOS ne podržava dizanje s CD-a, morate dodatno umetnuti disketu za pokretanje i konfiguriranje BIOS-a računara tako da je prva na listi uređaja za utovar disketa. Moderni računari imaju tendenciju da podrže čizmu sa CD-a, tako da se potreba za disketom za pokretanje može pojaviti samo prilikom instaliranja ISP 3.0 na "staro" računar.
Tada biste trebali ponovo pokrenuti računar. Na ekranu monitora pojavit će se poziv:
U formatu ovog poziva moguće je prenijeti dodatne postavke za instalacijski program. Na primjer, tim:
Čizma: MCBC MEM \u003d 128m
izvještava instalacijski program da iznos rama ovog računara iznosi 128 Mb.
Da biste započeli učitavanje instalatora, morate pritisnuti tipku. Učitavanje MSA 3.0 kernela, nakon čega slijede dijagnostičke poruke, zatim započinje instalacijski program, koji automatski učitava upravljačke programe CD pogona i upravljačke programe tvrdog diska predstavljaju u računaru i podržavaju magarcu 3.0.
Ako je inicijalizacija završila pogreškom, to znači da za ovu vrstu CD pogona ili tvrdi disk Morate prenijeti dodatni upravljački program. Instalacijski program će ponuditi popis upravljačkih programa u kojima želite odabrati odgovarajući upravljački program i kliknite gumb "Da".
Ako je preuzimanje napravljeno sa diskete za pokretanje, nakon pokretanja instalacijskog programa pojavit će se dijaloški okvir Driver Disc ukazuje na disketu upravljačkog programa sa upravljačkim programima za pokretanje. Istovremeno, disketu za pokretanje mora biti uklonjena i zalijepljena disketa za vozače.
Nakon preuzimanja potrebnih upravljačkih programa, pozivnica se pojavljuje na ekranu monitora (Sl. 9-1).
1.1.41. Manipulator miša
Sledeće nakon poziva OS 3.0 pojavit će se dijaloški okvir "Odabir miša" (Sl. 9-2).Odaberite vrstu "miša", na primjer, "Normalni miš PS / 2" i, ako "miš" ima dva dugmeta, možete koristiti emulaciju režima s tri gumba. Da biste to učinili, morate omogućiti emulaciju trećeg gumba i kliknite gumb "Da".
1.1.42. Prekid čvrstog diska na odjeljke
Pojavi se dijaloški okvir "odluka" (Sl. 9-3) i odabiru se odabir uslužnog programa particije tvrdog diska: "Automatsko razdvajanje", druid diska ili fdiska.U većini slučajeva, cijepanje tvrdih diskova, diskovnih nizova, LVM volumena događa se u društvu diska. Štaviše, režim "Automatska particija" je poseban slučaj rada sa diskovnim druidom sa automatskim izračunom proporcija prostora na disku u skladu sa stvarnim instalirana oprema. Ako je potrebno, radovi na niskom razini s tvrdom diskom trebaju koristiti uslužni program FDISK.
Odaberite DRUID diskova i pritisnite tipku.
Pojavi se dijaloški okvir "Breaking" (Sl. 9-4) pojavit će se popis dostupnih diskova i postojećih dijelova.
Također u ovom prozoru nalaze se gumbi za rad sa odjeljcima: "Novo", "Edit", "Izbriši", "RAID", "Da", "" nazad ".
U donjem retku, savjeti za korištenje hotkeysa dati su: "F1-HELP, F2-NOVO, F3-Edit, F4-Delete, F5 resetiranje, F12-YES."
U općem slučaju MSVS 3.0 je instaliran na računaru čistom tvrdom disku. U ovom slučaju možete se nositi sa ili pomoću programa DRUID DRUID ili odabirom automatske particije.
Za uspješnu instalaciju ASS 3.0, dovoljno je stvoriti dvije particije: korijenski dio "/" i presjek zamijene (zamjena). Veličina korijenskog dijela trebala bi biti najmanje 1.200 MB.
Katalozi / pokretač, / Home, / Var, / TMP i drugi mogu se odbaciti na zasebnim presjecima. To vam omogućuje izoliranje, na primjer, kućni korisnički direktorij iz sustava korijenskog datoteka.
Pažnja. U magarci 3.0, ne možete biti postavljeni na poseban direktorij sektora / USR!
Da biste direktorij napravili u poseban odjeljak, morate kreirati odjeljak sa "Ext3" datotečnom sustavom i dodijelite ga montičnom točkom koja odgovara nazivu kataloga.
Da biste kreirali odjeljak, odaberite Novo dugme i pritisnite tipku. U dijaloškom okviru "Dodaj odjeljak" koji se pojavljuje (uredi novi odjeljak) (Sl. 9-5):
odaberite vrstu datotečnog sustava (za odjeljak za zamjenu - "Zamjena", u drugim slučajevima - "Ext3").
veličina sekcije u megabajtu (ako je potrebno, možete "ispružiti" particiju na cijeli disk);
montažna točka, za korijenski dio - ovo je "/", za swap odjeljak, točka postavljanja nije potrebna.
Po završetku radova na stvaranju particija, u prozoru "Break", kliknite gumb "Da".
U dijaloškom okviru Spremi promjene pojavljuje se na ekranu monitora.
Pritisnite tipku "Da".
Sljedeći korak je formatiranje kreiranih odjeljaka. Dijaloški okvir sa naslovom "Pažnja!" Pojavit će se na ekranu MNIT-a. i popis particija koje će se formatirati kada pritisnete tipku "Da" (Sl. 9-6).
1.1.43. Mogućnost bootloader-a
Dijaloški okvir za konfiguraciju "utovarivača" pojavljuje se na ekranu (Sl. 9-7). U ovom prozoru morate odabrati opciju instalacije sa ili bez utovarivača. Bootloader vam omogućuje da imate nekoliko opcija za svoj početak u sistemu ili odabire opterećeni OS (ako je više od jednog). U režimu bez utovarivača, jezgro ISP 3.0 monopulirati u ovom sistemu.
Pritisnite tipku "Da".
Zatim se na ekranu pojavljuje dijaloški okvir (slika 9-8) s prijedlogom za unos dodatnih parametara koji će se koristiti prilikom učitavanja. Prema zadanim postavkama, LBA32 režim je instaliran u ovom prozoru (koristeći 32-bitne logičke adrese blokova tvrdog diska), jer je potreban ovaj način rada u većini slučajeva za podršku velikom kontejnerskom disku.
Ako imate Writer IDE-pogon IDE, u polje za unos parametara, instalacija će staviti niz tipke "HDC \u003d IDE-SCSI" (na primjer, ako je pogon povezan u master režimu na drugi IDE ).
Ako nijedan drugi parametri ne trebaju prenositi bilo koji drugi parametri, preporučuje se da ne mijenjate parametre koje predlaže instalacijski program i kliknite gumb "Da".
Sljedeći postupak u postavci za pokretanje programa za pokretanje je zadatak lozinke promjeni u početnim parametrima sustava. Budući da ako postoji bootloader, moguće je prenijeti specijalizirane parametre kernela s tastature prilikom pokretanja sustava, a zatim osigurati potrebnu razinu sigurnosti, ova je funkcija zaštićena lozinkom. U sljedećem dijaloškom okviru koji se pojavljuje (Sl. 9-9) unesite lozinku, čija veličina ne smije biti manja od 8 znakova. Potvrdite lozinku opetovano uvod u sljedeći redak Prozor.
Pritisnite tipku "Da".
Na ekranu se pojavljuje dijaloški okvir za odabir okvira (Sl. 9-10), s prijedlogom da odredi drugi dijelovi za pokretanjekoji se može preuzeti pomoću ASWS 3.0 bootloader-a. Na primjer, ako na računaru postoji drugi OS, možete ga dodijeliti naljepnicu i prenijeti pomoću ASS 3,0 OS bootloader-a.
Unesite potrebne podatke u odgovarajuće linije i kliknite gumb Da.
U sljedećem prozoru (Sl. 9-11), lokacija pokretača pokretača postavljena je na disk. Moguće su dvije mogućnosti: glavni zapis za pokretanje (MBR) tvrdog diska (preporučeni u većini slučajeva) ili sektor za pokretanje (zapis za pokretanje) odgovarajuće particije na kojem se izrađuje instalacija.
Odaberite i pritisnite tipku "Da".
1.1.44. Mrežna mreža
U slučaju otkrivanja instalacijskog programa na jednoj mrežnoj kartici, slijed dijaloškog okvira "Mrežno podešavanje za Ethx" pojavljuje se na ekranu (Sl. 9-12), gdje je x broj sekvence u kojem su parametri konfigurirani za svaku mrežnu karticu.
Postavke automatskog podešavanja pokretanja pokreta i DHCP mrežnih postavki koriste se ako postoji poseban poslužitelj u mreži koji pruža automatsku uslugu konfiguracije na zahtjev klijentske mašine.
Ako nedostaje DHCP poslužitelj, morate izričito instalirati mrežne parametre za koji se odaberete "Aktiviraj prilikom dizanja". Nakon toga u prozoru će se istaknuti nekoliko redaka u prozoru u kojem moraju biti navedeni parametri mrežnog veza.
Mrežne adrese prikazane su u formatu u deceniji (na primjer, 192.168.1.1). Informacije o punjenju polja mora osigurati mrežni administrator.
Mrežna adresa - IP adresa računara na mreži.
Mrežna maska \u200b\u200bje parametar koji karakterizira klasu mrežnog segmenta.
Zadani gateway je čvor koji služi komunikacijama ove lokalne mreže s vanjskim segmentima mreže.
Primarni naziv poslužitelj - čvor koji podržava uslugu rezolucije naziva domene putem DNS protokola na IP adresama. U odgovarajućim poljima unesite IP adrese dodatnih servera naziva (DNS). Ako se na mreži koristi jedno ime poslužitelja, ova polja se mogu ostaviti prazna.
Pritisnite tipku "Da".
|
|
| Sl. 9-13. Instaliranje naziva računara. |
|
|
| Sl. 9-14. Odabir vremenske zone. |
Tada trebate postaviti ime računara. Na ekranu se pojavljuje dijaloški okvir "Install Computer Computer" (Sl. 9-13) u kojem bi odgovarajuće polje trebalo popuniti. Ime se mora koordinirati i sa mrežnim administratorom.
Pritisnite tipku "Da".
1.1.45. Izbor remena sata
Na ekranu se pojavljuje sledeći dijaloški okvir za odabir vremenskih zona, koji koristi sistemske postavke sistema. U dupetu 3.0, odbrojavanje se vrši u lokalnom režimu, I.E. Sustav Hardverski sat definitivno određuje svoje vrijeme bez dodatne konverzije u odnosu na različite tačke odbrojavanja UTC tipa.
U prozoru biste trebali birati najviše primjerenije lokaciji vremenskog pojasa računara, što ukazuje na razliku pojasa remena u odnosu na "nultu" kaiš - Europe / Moskvu (Sl. 9-14).
Pritisnite tipku "Da".
1.1.46. Izbor i ugradnja paketa
Dijaloški okvir "Select Complex" pojavljuje se na ekranu (Sl. 9-15).
U ovom dijaloškom okviru možete odabrati sljedeće komplekse:
Osnovna konfiguracija OS-a;
Grafički sučelje podsistem;
Razvojni alati.
Odabir grupe "osnovne konfiguracije OS", sadrži sve potrebne komponente za rad ASS 3,0 OS u osnovnoj verziji (bez dodatna sredstva).
Način instalacije "Sve (uključujući opcionalno)" znači ugradnju svih distributivnih paketa, uključujući izmjene OS kernela, nespecifične za ovaj računar i skup paketa potrebnih za proizvodnju ISWS 3.0 diska za pokretanje.
Za detaljniji izbor paketa (možda, za uštedu prostora na disku koji zauzima OS), potrebno je zabilježiti opciju "Individualni izbor paketa" i kliknite gumb "Da". Prozor "Odaberite paket" (Sl. 9-16) pojavljuje se sa popisom paketnih grupa i samih paketa.
Grupa se može savijeti / rasporediti ako na njega donesete pozadinsko osvjetljenje i pritisnite tipku. Da biste dobili informacije o paketu, morate donijeti liniju pozadinskog osvjetljenja i pritisnite tipku. Isključivanje / isključivanje paketa na popis za instalaciju vrši se pritiskom na tipku.
Nakon dovršetka izbora paketa kliknite gumb "Da".
Ako je odabrana pojedinačna lista paketa za instalaciju, može se pojaviti situacija kada će se pojaviti nezadovoljstvo nezanim. To znači da postoje paketi na odabranoj listi, za koji zahtijeva ostale pakete iz diska za pokretanje ISWS 3.0, koji nisu bili označeni. Rezolucija ovisnosti o paketima automatski će se proizvoditi instalacijskim programom.
Nakon završetka odabira paketa na ekranu se pojavljuje dijaloški okvir za pokretanje postavke. Ovaj prozor sadrži informacije o / korijenskoj datoteci, koju će instalacijski program nakon završetka radova sačuvati popis instaliranih paketa.
Stvarna particija diska i ugradnja paketa pokreće se tek nakon pritiska na tipku "Da" u prozoru "Start Instalacija". Ako je potrebno, do ove točke još uvijek možete prekinuti postupak instalacije ponovno pokretanjem računara. U ovom slučaju svi podaci o tvrdim pogonima ostat će nepromijenjeni.
Da biste započeli instaliranje paketa, kliknite gumb "Da".
Na ekranu će se pojaviti prozor "Install Paken" (Sl. 9-17).
U ovoj fazi možete promatrati postupak instalacije odabranih paketa koji se automatski proizvodi automatski. Prikazuje se kratak opis za svaki paket i statističke informacije o procesu instaliranja trenutnog paketa i svih paketa zajedno se prikazuju.
1.1.47. Instalacija lozinke superusera
Na ekranu se pojavljuje dijaloški okvir za korisnički lozinke (Sl. 9-18). Podesite lozinku u liniji "Lozinka" i potvrdite svoj unos u liniji "Potvrdi lozinku" (ograničenja u pogledu i veličini lozinke određuju se sigurnosnim zahtjevima za sustav; po zadanom je veličina lozinke najmanje osam likovi). Kada navedete lozinku sa tastature, iz sigurnosnih razloga, umesto ulaznih znakova, zvjezdice se prikazuju. Pritisnite tipku "Da".
1.1.48. Stvaranje disketa za pokretanje disketa
Na ekranu se pojavljuje sledeći dijaloški okvir "Set disketa za pokretanje sistema" (Sl. 9-19). Može biti potreban komplet za diskete za pokretanje ako oštetite zapis za pokretanje tvrdog diska.
Da biste kreirali diskete za pokretanje, pritisnite tipku "Da". Zatim slijedite upute ponuđene u dijaloškim okvirima.
Ako se ne zahtijeva stvaranje kompleta za pokretanje, kliknite gumb "Ne". U budućnosti možete kreirati disk za pokretanje pomoću grafičkog korisnog ili MKBootdisk naredbe.
1.1.49. Povećane video kartice i monitor
Na sljedećem koraku morate konfigurirati grafički sistem. Da biste to učinili, u dijaloškim okvirima, nakon uputa, unesite podatke o video kartici i monitoru.
Ako će instalacijski program automatski odrediti vrstu video kartice, pojavit će se informacije o tome (Sl. 9-20).
 |
| Sl. 9-19. Stvaranje disketa za pokretanje. |
|
|
| Sl. 9-20. Odaberite video karticu. |
Inače se pojavljuje dijaloški okvir "Odaberite mapu". Odaberite IT tip sa liste. Ako lista nema željenu video karticu, odaberite "Neodređena kartica".
U prozoru za odabir servera odaberite x server koji je sposoban za rad kao postojeća video kartica.
Nakon toga pojavljuje se dijaloški okvir za podešavanje monitora (Sl. 9-21). Ako instalacijski program ne odredi automatski tip monitora, odaberite odgovarajući monitor sa liste promjene.
Ako je potrebno, možete odrediti parametre ručnog monitora. Da biste to učinili, odaberite stavku "Ostalo" na listi i postavite radnu frekvenciju slike vertikalne i vodoravne (60 ~ 100 Hz).
Pritisnite tipku "Da".
Nakon odabira monitora, na ekranu će se pojaviti prozor "Advanced" (Sl. 9-22). Odaberite željenu dubinu boja i rezoluciju monitora u prozoru. Pored toga, u ovom prozoru možete odabrati način za prijavu na sistem "Grafički" (preporučeni) ili "Tekst". Ako odaberete grafičku prijavu u sustav, grafički sučer će započeti prema zadanim postavkama. Odaberite i pritisnite tipku "Da".
Nakon postavljanja grafičkog sistema pojavljuje se poruka "Instalacija završena" (Sl. 9-23) s porukom "Čestitamo, instaliranje ISWS 3.0 je završeno".
Pritisnite tipku "Da" za ponovno pokretanje. Računar će početi ponovo pokrenuti. Tijekom ponovnog pokreta, ladica sa CD-om automatski će napredovati. Izvadite disk iz ladice.
 |
| Sl. 9-23. Instalacija završena. |
|
|
| Sl. 9-24. Način instalacije |
