Tato kapitola popisuje následující otázky:
Uživatelé;
Rozdíly mezi privilegovanými a nepraktickými uživateli;
Přihlašovací soubory;
Soubor / etc / passwd;
Soubor / etc / stín;
Soubor / etc / gshadow;
Soubor /etc/login.defs;
Změna informací o zastarávání hesla;
Základem bezpečnosti MSAS je koncept uživatelů a skupin. Všechna rozhodnutí o tom, co je povoleno nebo není dovoleno, aby uživatel byla provedena na základě toho, kdo uživatel zadal systém z hlediska jádra operačního systému.
Obecný pohled uživatelů
MSVS je multitasking multiplayerový systém. Povinnosti operačního systému zahrnují izolaci a ochranu uživatelů. Systém monitoruje každý uživatelů a na základě toho, kdo je tento uživatel, určuje, zda je možné jej poskytnout přístup k určitému souboru nebo povolení spuštění programu nebo jiného.
Při vytváření nového uživatele je vložen do souladu s jedinečným názvem
POZNÁMKA
Systém určuje oprávnění uživatele na základě ID uživatele (UserID, UID). Na rozdíl od uživatelského jména nemusí být UID jedinečný, v takovém případě je provedeno první nalezené jméno tak, aby odpovídalo názvu uživatele, jehož uID se shoduje s údaji.
Každý nový zaznamenaný v systému je uživatel jako dodržování určitých prvků systému.
Privilegované a neprokázané uživatelé
Při přidávání nového uživatele do systému je zvýrazněno speciální číslo, zvané identifikátor uživatele (UserID, UID). V Caldera MSVA začíná přidělování identifikátorů nových uživatelů s 500 a pokračuje směrem k velkým počtům až 65.534. Čísla až 500 jsou vyhrazena pro systémové účty.
Obecně platí, že identifikátory s čísly menší než 500 nejsou odlišné od jiných identifikátorů. Program pro normální fungování často vyžaduje speciální uživatel s úplným přístupem ke všem souborům.
Číslování identifikátorů začíná 0 a pokračuje na 65 535. UID 0 je speciální UID. Jakýkoliv proces nebo uživatele s nulovým identifikátorem je privilegován. Taková osoba nebo proces má neomezenou moc nad systémem. Nic nemůže sloužit jako zákaz. Kořenový účet (účet, UID, který je 0), také nazvaný účet superuživatel, Zadává se s jeho použití, pokud ne vlastník, pak alespoň jeho správce.
UID zůstává roven 65 535. Není také od běžných. Tento UID patří nikomu (nikdo).
Někdy, jeden ze způsobů hackování systému bylo vytvořit uživatele s identifikátorem 65,536, v důsledku toho, že obdržel výsady superuživatele. Pokud si vezmete nějaké UID a přeložit odpovídající číslo do binární podobě, dostanete kombinaci šestnácti binárních výbojů, z nichž každá je buď 0 nebo 1. Organizační počet identifikátorů zahrnuje nuly i jednotky. Výjimkou je nulová superuser superuser sestávající z některých nul, a uidnobody, rovný 65535 a skládající se z 16 jednotek, tj. 111111111111111. Číslo 65 536 nelze umístit do 16 číslic - reprezentovat toto číslo v binární formě, kterou potřebujete použít 17 vypouštění. Nejstarší vypouštění se rovná jednotce (1), všechny ostatní jsou nulové (0). Co se tedy stane při vytváření uživatele s identifikátorem délky 17 binárních výbojů - 1000000000000000000? Teoreticky uživatel s nulovým identifikátorem: Vzhledem k tomu, že pouze 16 binárních výbojů je dána identifikátoru, 17 číslic není známo, a je vyřazen. Proto je ztracena jediná jednotka identifikátoru a některé nuly zůstávají a systém se zobrazí nový uživatel s identifikátorem, a tedy privilegií, superuživateli. Ale teď nejsou žádné programy v ASV, které by umožnily instalovat UID na 65 536.
POZNÁMKA
Uživatelé s identifikátory přesahující 65.536, je možné vytvořit, ale nebude použita bez substituce / bin / přihlášení.
Každý hacker se určitě snaží získat výsady superuživatele. Jakmile je obdrží, další osud systému bude plně záviset na svých záměrech. Snad, spokojený se skutečností hackingu, nebude s ní nic špatného a posílá vám dopis s popisem otvorů nalezených v bezpečnostním systému, navždy ji nechat sám a možná a ne. Pokud záměry hackovaného hackera nejsou tak čisté, pak to nejlepší, co lze doufat, je mít systém selhání.
Soubor / etc / passwd
Přál, aby se přihlášení do systému zadat uživatelské jméno a heslo, které jsou zaškrtnuto v databázi uživatele uložené v souboru / etc / passwd. V něm, mimo jiné jsou uložena hesla všech uživatelů. Při připojení k systému je zadané heslo kontrolováno s heslem, které odpovídá tomuto názvu, a pokud je uživatel povolen v systému, po kterém je spuštěn program určený pro toto uživatelské jméno v souboru hesel. Pokud se jedná o příkazový shell, uživatel získá možnost zadávat příkazy.
Zvažte seznam 1.1. Jedná se o soubor passwd ve starém stylu.
Výpis 1.1. Soubor / etc / passwd ve starém stylu
root: *: 1i dywromhmebu: 0: 0: root :: / root: / bin / bash
bIN: *: 1: 1: bin: / bin:
daemon: *: 2: 2: Daemon: / sbin:
aDM: *: 3: 4: 4: ADM: / VAR / ADM:
lP: *: 4: 7: LP: / var / Spool / LPD:
sync: *: 5: 0: SYNC: / SBIN: / BIN / SYNC
vypnutí: *: 6: 11: Vypnutí: / sbin: / sbin / vypnutí
zastavení: *: 7: 0: Halt: / sbin: / sbin / zastavení
mail: *: 8: 12: MAIL: / VAR / CIROV / MAIL:
novinky: *: 9: 13: Novinky: / var / Combol / News:
uUCP: *: 10: 14: UUCP: / var / Spool / uucp:
operátor: *: 11: 0: Operátor: / Root:
hry: *: 12: 100: Hry: / usr / hry:
gOPHER: *: 13: 30: GOPHER: / usr / 1b / gopher-data:
fTP: *: 14: 50: FTP Uživatel: / Home / FTP:
Člověk: *: 15: 15: Vlastník manuálů: /:
majordom: *: 16: 16: Majordomo: /: / BIN / FALSE
postgres: * 17: 17: Postgres Uživatel: / Home / Postgres: / Bin / Bash
mySQL: *: 18: 18: Uživatel MySQL: / usr / Local / Var: / bin / false
silvia: 1IDYWROMHMEBU: 501: 501: Silvia Bandel: / Home / Silvia: / Bin / Bash
nikdo: *: 65534: 65534: Nikdo: /: / BI n / false
david: 1IDYWROMHMEBU: 500: 500: David A. Bandel: / Home / David: / Bin / Bash
Soubor hesla má pevně zadanou strukturu. Obsah souboru je tabulka. Každý řádek souborů je položka tabulky. Každá položka se skládá z několika polí. Pole souboru passwd jsou odděleny dvojtečkou, takže kolon nelze použít v žádném z polí. Celkem existuje sedm polí: uživatelské jméno, heslo, ID uživatele, identifikátor skupiny, pole GECOS (jedná se o pole Komentář), Domovský adresář a Příkazové přihlášení shell.
Přečtěte si více o / etc / passwd
První pole označuje uživatelské jméno. Mělo by to být jedinečné - je nemožné, aby dva uživatelé systému měli stejný název. Pole Název je jediným polem, jehož hodnota by měla být jedinečná. Ve druhém poli je uloženo heslo uživatele. Aby byla zajištěna ochrana systému, je heslo uloženo v hashize formuláře. Termín "hashish" v této souvislosti znamená "šifrované". V případě hesla je heslo šifrováno podle algoritmu DES (DATEEnCryptionStandard). Délka hasového hesla v tomto poli je vždy rovnající se 13 znakům a některé znaky, jako jsou tlusté a jediné cenové citace, nejsou nikdy nalezeny mezi nimi. Jakákoliv jiná hodnota pole, liší se od správných hassportů hashize 13 znaků, znemožňuje tento uživatel zadat do systému, pro jednu mimořádně důležitou výjimku: pole hesla může být prázdná.
Ve druhém poli, nic, ani prostor, znamená to, že příslušný uživatel nepotřebuje heslo pro přihlášení do systému. Pokud změníte heslo uložené v poli přidáním znaku do ní, například jediná nabídka, bude tento účet zablokován a odpovídající uživatel nebude moci přihlásit. Skutečností je, že po přidání nelegálního symbolu na 14-znakový hash systém odmítl ověřit uživatele s takovým heslem.
V současné době je délka hesla omezena na osm znaků. Uživatel může zadat a delší hesla, ale pouze první osm znaků bude významné. První dva znaky hesla hashize jsou semínko (SŮL). (Osivo se nazývá číslo použité pro inicializaci šifrovacího algoritmu. Při každé změně hesla je osivo zvoleno náhodně.) V důsledku toho je počet všech možných permutací velký, takže je nemožné zjistit, zda jsou uživatelé zjistit V systému se stejnými hesly, jednoduché porovnání hash hesel.
POZNÁMKA
Útok Dictaryattack odkazuje na metody hacking hesla hrubou silou a předpokládá použití slovníku a známé osivo. Útok je v interakci všech slov slovníku, šifrovat je s tímto semenem a porovnání výsledku s parizacím heslem. Současně, kromě slov ze slovníku, některé úpravy jejich modifikací jsou obvykle považovány za například všechna písmena názvu, pouze první písmeno názvu a přidávání čísel (obvykle pouze 0-9) na konci všech těchto kombinací. Podobně můžete zaseknout spoustu snadných hesel.
Třetí pole označuje ID uživatele. ID uživatele není nutné být jedinečné. Zejména kromě kořenového uživatele mohou být libovolně jiní uživatelé s nulovým identifikátorem a budou mít všechny oprávnění superuživatele.
Čtvrté pole obsahuje identifikátor skupiny (Groupid, GID). Skupina uvedená v tomto poli se nazývá primární skupina uživatelů (Primární skupina). Uživatel může patřit do několika skupin, ale jeden z nich musí být primární skupinou.
Páté pole se nyní nazývá pole komentáře, ale jeho počáteční jméno je GECOS, od "GeConsolidedoperationsSystem". Při požadavku na informace o uživateli pomocí prstu nebo jiného programu je obsah tohoto pole nyní vrácen jako skutečné uživatelské jméno. Pole komentáře může být prázdné.
Šesté pole nastaví domovský adresář uživatele. Každý uživatel musí mít svůj vlastní domovský adresář. Obvykle uživatel, přihlášení do systému se ukáže, že je v domovském adresáři, ale pokud neexistuje, spadá do kořenového adresáře.
Sedmý pole nastavuje příkazový shell přihlášení. Ne každá skořápka může být uvedena v tomto poli. V závislosti na nastavení systému lze zadat pouze skořápka ze seznamu přípustných skořápek. V ASWS je seznam přípustných skořápek výchozí v souboru / etc / shells.
Soubor / atd / stín
Majitel souboru / etc / Shadow je uživatelem root a pouze má právo přečíst tento soubor. Chcete-li jej vytvořit, musíte přijmout uživatelská jména a hashá hesla z souboru passwd a umístit je do souboru stínu, nahrazení všech hash hesla v symbolech souborů passwd. Pokud se podíváte na soubor System System, můžete vidět, že jsou na webu hesla hase symboly x. Tento symbol označuje systém na skutečnost, že heslo je třeba zobrazit, ale v souboru / etc / stín. Přechod z jednoduchých hesel do stínu a zpět se provádí třemi nástroji. Chcete-li jít do stínových hesel, poprvé spustí nástroj PwCK Utility. Kontroluje soubor passwd pro všechny anomálie, díky kterému může další krok ukončit selhání nebo jednoduše vyhrát. Poté, co PWCK pracuje, je spuštěn nástroj PwConv vytvořit / etc / stín. To se obvykle provádí ruční update. Soubor / etc / passwd. Vrátit se na běžná hesla, Pwuncov spustí.
Soubor stínového hesla v mnoha ohledech je podobný souboru běžných hesel. Zejména první dvě pole těchto souborů jsou stejné. Ale kromě těchto polí v něm přirozeně existují další pole, které chybí v normálním souboru hesla. Výpis 1.2. Zobrazuje obsah typického / etc / stínového souboru.
Výpis 1.2. Soubor / etc / stín
root: 1IDYWROMHMEBU: 10792: 0 ::: 7: 7 ::
bIN: *: 10547: 0 :: 7: 7 ::
daemon: *: 10547: 0 :: 7: 7 ::
aDM: *: 10547: 0 :: 7: 7 ::
lP: *: 10547: 0 :: 7: 7 :::
sync: *: 10547: 0 :: 7: 7 ::
vypnutí: U: 10811: 0: -1: 7: 7: -1: 134531940
hALT: *: 10547: 0 :: 7: 7 ::
mail: *: 10547: 0 :: 7: 7 ::
novinky: *: 10547: 0 :: 7: 7 ::
uUCP: *: 10547: 0 :: 7: 7 ::
provozovatel: *: 10547: 0 :: 7: 7 ::
hry: *: 10547: 0: 7: 7 ::
gopher: *: 10547: 0 :: 7: 7 ::
fTP: *: 10547: 0 :: 7: 7 ::
Člověk: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mySQL: *: 10547: 0 :: 7: 7 ::
sI1VIA: 1IDYWROMHMEBU: 10792: 0: 30: 7: -L ::
nikdo: *: 10547: 0 :: 7: 7 ::
david: 1IDYWROMHMEBU: 10792: 0 :: 7: 7 :::
Detaily / atd / stín
Účel prvního pole stínového souboru je stejné jako první pole souborů passwd.
Druhé pole obsahuje hash heslo. Implementace stínových hesel v MSVS umožňuje nenáviděná hesla o délce 13 až 24 znaků, ale program šifrování hesla Crypt je schopen vyrábět pouze 13-symbol hash hesla. Znaky používané v hash jsou převzaty ze sady sestávající z 52 abecedních písmen (malá a velká písmena), čísla 0-9, bodů a nakloněných funkcí vpravo (/). Ukázalo se, že 64 znaků je přípustné v poli hashize hesla.
Semeno, tedy, které, jako dříve, je první dva znaky, lze vybrat ze 4096 možných kombinací (64x64). Pro šifrování se DES algoritmus používá s 56bitovým klíčem, to znamená, že prostor klíče tohoto algoritmu má 2 56 klíčů, což je přibližně 72,057,590,000,000,000 nebo 72 čtyřnásek. Číslo vypadá působivě, ale ve skutečnosti můžete mít ve skutečnosti velmi krátký čas, abyste přesuli všechny klíče z prostoru této velikosti.
Z třetího pole začínají informace o informacích sdílení hesla. Ukládá počet dní od 1. ledna 1970 na poslední změnu hesla.
Čtvrté pole nastavuje minimální počet dní, než můžete heslo znovu změnit. Zatímco od data poslední změny, heslo nebude projít tolik dní, jak je uvedeno v tomto poli, není možné změnit heslo.
Páté pole nastavuje maximální počet dnů, během kterých můžete použít heslo, po kterém je podléhá povinné změně. S pozitivní hodnotou tohoto pole se uživatel pokusí se přihlásit do systému po vypršení platnosti hesla bude mít za následek příkaz Heslo není jako obvykle, ale v režimu povinné změny hesla.
Hodnota ze šestého pole určuje, kolik dní před vypršením hesla by měl začít vydávat varování o tom. Po obdržení varování může uživatel začít vymyslet nové heslo.
Sedmý pole nastavuje počet dnů ode dne, kdy je heslo tvarováno, po kterém je tento účet zablokován.
Předposlední pole ukládá den blokování účtu.
Poslední pole je vyhrazeno a nepoužívá se.
Přečtěte si více o / etc / group
Každý vstup souboru / etc / group se skládá ze čtyř polí oddělených dvojtečkou. První pole nastavuje název skupiny. Jako uživatelské jméno.
Druhé pole je obvykle prázdné, protože mechanismus hesla hesla se obvykle nepoužívá, ale pokud toto pole není prázdné a obsahuje heslo, kterýkoli uživatel se může připojit ke skupině. Chcete-li to provést, musíte provést příkaz Newgrp s názvem skupiny jako parametr, po kterém zadáte správné heslo. Pokud heslo pro skupinu není zadáno, mohou se připojit pouze uživatelé uvedené v seznamu členů skupiny.
Třetí pole nastaví identifikátor skupiny (Groupid, GID). Význam je stejný jako ID uživatele.
Tenové pole je seznam uživatelských jmen patřících do skupiny. Uživatelé jsou uvedeny přes čárku bez mezer. Primární skupina uživatelů je uvedena (povinná) v souboru passwd a přiřadíte, pokud je uživatel připojen k systému na základě těchto informací. Pokud tedy změníte primární skupinu uživatelů v souboru passwd, uživatel již nebude moci připojit ke své bývalé primární skupině.
Soubor /etc/login.defs.
Můžete přidat nový uživatel do systému několika způsoby. V zadku se pro toto používají následující programy: pobřeží, Lisa, Useradd. Něco vhodného pro kterékoli z nich. Utility Coas používá svůj vlastní soubor. Programy Useradd a Lisa berou výchozí hodnoty pro pole passwd a stínových souborů z souboru /etc/login.defs. Obsah tohoto souboru ve zkrácené formě se zobrazí ve výpisu 1.4.
Výpis 1.4. Zkrácený soubor /etc/login.defs.
# Maximální počet dní, během kterých je heslo povoleno:
# (- 1 - Změna hesla není nutná) pass_max_days-1
Minimální počet dní mezi posuny hesel: pass_min_dayso
# Několik dní před datem změny hesla by mělo být vydáno varování: pass_warn_age7
# Jaký počet dní musí projít po vypršení platnosti hesla dříve, než bude účet zablokován: pass_inactive-1
# Síly vypršení platnosti hesla na zadaný den:
# (datum je identifikováno počtem dnů po 70/1/1, -1 \u003d ne nutit) pass_expire -1
# Hodnoty integrovaných polí účtu pro uživatele
# Týmový výchozí: skupina100
# Home Katalog:% s \u003d Uživatelské jméno) nome / home /% s
# Command Sheath Default: Shell / Bin / Bash
Katalog, ve kterém se nachází kostra domácího katalogu: Skel / etc / Skel
# Minimálně I. maximální hodnoty Pro automatickou výběru GID v GroupaddGID_MIN100
Obsah tohoto souboru nastaví výchozí hodnoty pro pole Passwd a Stínová souboru. Pokud je nepředpokládáte z příkazového řádku, budou použity. Jako výchozí bod jsou tyto hodnoty poměrně vhodné, nicméně implementovat heslo zastaralé, některé z nich budou muset být změněny. Hodnota rovná -1 znamená žádná omezení.
V programu COAS je distribuce CALDERA používána grafickým uživatelským rozhraním
Chcete-li změnit informace o hesle, pro jednoho nebo dva uživatele, můžete použít příkaz štěpka (změna - změna zastaralé). Urantilní uživatelé mohou spustit Chage pouze s parametry -L a jejich vlastním uživatelským jménem, \u200b\u200bto znamená, že požádat o informace o zastaralých pouze vlastním hesli. Chcete-li změnit informace o kurzech, stačí zadat uživatelské jméno, zbývající parametry budou požadovány v dialogu. Volání Chage bez parametrů poskytne stručný odkaz na použití.
Program COAS lze použít ke změně parametrů pro sdílení hesel pro každou z účtů zvlášť. V tomto případě jsou hodnoty označeny ve dnech. Rozhraní programu je zřejmé.
Poznámka -
Chcete-li získat informace o zastaralých heslech uživatele nebo vynucení tohoto procesu, můžete použít příkaz Expirace.
Systém zabezpečení RAMS.
Hlavní myšlenkou rámce je, že můžete vždy napsat nový zabezpečovací modul, který by byl adresován souboru nebo zařízení pro informace a vrátil výsledek provádění postupu autorizace: úspěch (úspěch), selhání (selhání) ) nebo ignorovat (ignorovat). A RAM, zase vrátí úspěch (úspěch) nebo selhání (selhání), které způsobilo. Nezáleží na tom, jaká hesla, stín nebo obyčejná, jsou v systému používána, pokud jsou rámy: všechny podpůrné rámce budou fungovat perfektně s těmi a dalšími.
Nyní se obrátíme na zvážení základních principů provozu RAM. Zvažte seznam 1.6. Adresář /etc/pam.d obsahuje konfigurační soubory pro jiné služby, například SU, Passwd atd., V závislosti na tom, který software je instalován v systému. Každá služba Omezení služby (omezenáService) odpovídá konfiguračnímu souboru. Pokud není nikdo, pak tato služba s omezením přístupu přejde do kategorie "Ostatní" s konfiguračním souborem DIGHT.D. (Služba pro restrikce služby se nazývá jakákoli služba nebo program, který je třeba použít, který je povinen podstoupit autorizaci. Jinými slovy, pokud za normálních podmínek, služba požaduje vaše uživatelské jméno a heslo, jedná se o službu pro omezení služby.)
Výpis 1.6. Přihlášení konfigurace souborů.
auth Povinné PAM_SECURETY.SO.
auth Povinný PAM_PWDB.SO.
auth Povinný PAM_NOLOGIN.SO.
#Auth Požadováno Pam_dialup.So.
opatření volitelného PAM_MAIL.SO.
Účet vyžaduje PAM_PWDB.SO.
zasedání vyžaduje PAM_PWDB.SO.
sekce Volitelná pam_lastlog.So.
požadováno heslo PAM_PWDB.SO.
Jak je vidět ze zápisu, konfigurační soubor se skládá ze tří sloupců. Řádky začínající symbolem mřížky (#) jsou ignorovány. Proto bude chybně vynechán modul Pam_dialup (čtvrtý řádek výpisu 1.6). Soubor má řádky se stejným třetími pole - PAM_PWD.SO a First - Auth. Použití několika řádků se stejným prvním polem se nazývá akumulace (stohování) modulů a umožňuje získat vícestupňovou autorizaci (Stack modulů), která obsahuje několik různých autorizačních postupů.
První sloupec je typ typu. Typ je určen jedním ze čtyř znakových značek: auth, účet, relace a hesla. Obsah všech sloupců je zvažován bez registrace.
Typ Auth (autentizace - autentizace) slouží k objasnění, zda je uživatel ty, kteří se dávají. To je zpravidla dosaženo porovnáním zadaných a uložených hesel, ale i jiné možnosti jsou také možné.
Typ účtu (účet) Kontroluje, zda je služba povolena používat tento uživatel, za jaké podmínky nejsou heslo a tak dále.
Typ heslo (heslo) slouží k aktualizaci autorizačních značek.
Typ relace (relace) provádí určité akce, když se uživatel přihlásí a když je uživatel výstup ze systému.
Správa vlajek
Druhým sloupcem je pole řídicího vlajky, která určuje, co má dělat po návratu z modulu, to znamená, že reakce RAM na hodnoty úspěchu (úspěch), ignorovat (ignorovat) a selhání ( Selhání). Povolené hodnoty: potřebné, požadované, dostatečné a nepovinné. Ze hodnoty v této oblasti závisí, zda budou zpracovány další řádky souborů.
Požadavná vlajka nastavuje nejtvrdičnější chování. Zpracování jakékoli řádky s požadovanou vlajkou, jehož modul, který vrátil hodnotu poruchy (selhání), bude přerušena a služba, která způsobila, bude vrácena do selhání. Nebudou zváženy žádné jiné linky. Tato vlajka je dost vzácná. Skutečnost je, že pokud je modul vyznačený tím provede první, pak moduly po něm nemusí být provedeny, včetně těch, které jsou odpovědné za protokolování, takže je obvykle použita požadovaná vlajka (povinné).
Požadovaná vlajka nepřerušuje provádění modulů. Bez ohledu na výsledek implementace modulu, který je označen: úspěch (úspěch), ignorovat (ignorovat) nebo selhání (selhání), rámečky vždy přistoupí ke zpracování dalšího modulu. To je nejčastěji používaná vlajka, protože výsledek modulu není vrácen, dokud ne všechny ostatní moduly fungují, což znamená, že moduly odpovědné za protokolování jsou definovány.
Dostatečná vlajka (dostatečná) vede k okamžitému dokončení zpracování řádků a vrácení hodnoty úspěchu (úspěch), za předpokladu, že modul označený hodnotu vrátil hodnotu úspěchu (úspěch) a dříve nesplnil modul s požadovanou vlajkou který vrátil stav selhání (selhání). Pokud se takový modul setkal, dostatečná vlajka je ignorována. Pokud modul označený s tímto přízemím vrátil hodnotu ignorovat (ignorovat) nebo selhání (selhání), pak je dostatek příznaku vidět podobně s volitelným příznakem.
Výsledek provedení modulu s volitelným vlajkou (volitelné) se bere v úvahu pouze tehdy, když je jediný modul v zásobníku, který vrátil hodnotu úspěchu (úspěch). V opačném případě je výsledek jeho provádění ignorován. Neúspěšné plnění modulu označeného, \u200b\u200bneznamená selhání celého procesu povolení.
Aby bylo zajištěno, že uživatel je schopen přístup k systému, moduly označené požadovanými a požadovanými příznaky by neměly vrátit hodnoty poruchy (selhání). Výsledek provedení modulu s volitelným vlajkou se předpokládá pouze v případě, že je to jediný modul v zásobníku, který se vrátil úspěch (úspěch).
Moduly RAM.
Třetí sloupec obsahuje celé jméno souboru modulu spojený s tímto řetězcem. Moduly mohou být v zásadě umístěny kdekoli, ale pokud jsou umístěny v předdefinovaném adresáři pro moduly, můžete zadat pouze jedno jméno, jinak je nutná cesta. V ISPS je předdefinovaný katalog / lib / zabezpečení.
Čtvrtý sloupec je navržen tak, aby vysílal další parametry modulu. Ne všechny moduly mají parametry, a pokud existuje, nemusí být použity. Přenos modulu parametrů umožňuje změnit své chování jedním nebo jiným způsobem.
Seznam 1.7 obsahuje seznam rámových modulů, které jsou součástí MSV.
Výpis 1.7. Seznam modulů rámců obsažených v MSVS
pAM_RHOSTS_AUTH.SO.
pam_securetty.So.
pAM_UNIX_ACCT.SO.
pAM_UNIX_AUTH.SO.
pAM_UNIX_PASSWD.SO.
pam_unix_session.So.
O modulech Další podrobnosti
Modul PAM_ACCECS.SO slouží k poskytnutí / zakázání přístupu na základě souboru /etc/security/access.conf. Řádky tohoto souboru mají následující formát:
práva: Uživatelé: Odkud
Práva + (Povolit) nebo - (zakazovat)
Uživatelé - všechny, uživatelské jméno nebo uživatel @ uzel, kde uzel odpovídá názvu místního počítače, jinak je záznam ignorován.
Odkud je jeden nebo více názvů svorek (bez předpony / dev /), názvy uzlu, doménová jména (Počínaje bodem), IP adresy, všechny nebo místní.
Modul PAM_CRACKLIB.SO kontroluje slovní hesla. Je navržen tak, aby ověřil nové heslo a umožňuje zabránit použití v systému snadno popraskané hesla, které jsou považovány za běžná slova, hesla obsahující opakované znaky a příliš krátká hesla. Existují volitelné parametry: ladění, typ \u003d a opakování \u003d. Parametr ladění obsahuje informace o ladění do souboru protokolu. Parametr typu, následovaný řetězcem, změny ve výchozímu pozvánku NewUnixPassword: Word UNIX pro zadaný řetězec. Parametr Opakování nastaví počet pokusů poskytnutých uživateli, aby zadali heslo, které je chyba vrácena do vyčerpání (ve výchozím nastavení jeden pokus je uveden).
Zvažte seznam 1.8. Zobrazuje obsah souboru / etc / pam.d / Other. Tento soubor obsahuje konfiguraci používanou mechanismem rámců pro služby, které nemají vlastní konfigurační soubory v adresáři /etc/pam.d. Jinými slovy, tento soubor platí pro všechny služby neznámé rámcového systému. Představuje všechny čtyři typy autorizace, auth, účet, heslo a relace, z nichž každá způsobuje modul PAM_DENY.SO označený refilovaný příznak. Provádění neznámé služby je tedy zakázáno.
Výpis 1.8. Soubor /etc/pam.d/other.
auth Povinný PAM_DENY.SO.
auth Povinné PAM_WARN.SO.
Účet vyžaduje PAM_DENY.SO.
požadováno heslo PAM_DENY.SO.
požadované heslo PAM_WARN.SO.
zasedání vyžaduje PAM_DENY.SO.
Modul PAM_DIALUP.SO kontroluje, zda chcete zadat heslo pro přístup k vzdálenému terminálu nebo terminálům, který používá soubor / etc / zabezpečení / ttys.dialup. Modul je použitelný nejen na TTYS, ale obecně na jakýkoliv terminál TTY. Když je potřeba heslo, je zkontrolována se souborem / etc / zabezpečení / passwd.dialup. Změny v souboru passwd.dialup jsou prováděny programem DPASSWD.
Modul PAM_Group.SO je kontrolován v souladu s obsahem souboru /etc/security/group.conf. Tento soubor označuje skupiny, jejichž člen může být uživatel určen v souboru při provádění určitých podmínek.
Modul PAM_LASTLOG.SO vstupuje do informací o souboru LastLog o tom, kdy a od místa, kde uživatel zadal systém. Obvykle je tento modul označen typem relace a volitelným příznakem.
Modul PAM_LIMITS.SO umožňuje uvalit různá omezení uživatelů přihlášených. Tato omezení se nevztahují na uživatele root (nebo jiného uživatele s nulovým identifikátorem). Omezení jsou nastavena na úrovni přihlášení a nejsou globální nebo trvalé, jedná pouze ve stejném vstupu.
Modul PAM_LASTFILE.SO přijímá nějaký záznam (položka), porovnává jej se seznamem v souboru a na základě výsledků srovnání, vrátí úspěch (úspěch) nebo selhání (selhání). Parametry tohoto modulu jsou následující:
Položka \u003d [Uživatel svorky | Remote_uzel | Vzdálený uživatel | Skupina | pochva]
Smysl \u003d (Status k návratu; Když je záznam nalezen v seznamu, jinak se stav přichází naproti zadaném)
soubor \u003d / full / cesta / a / file_name - onerr \u003d (jaký stav je vrácen v případě chyby)
Arr1u \u003d [User | @ group] (Určuje uživatele nebo skupinu, na které se použijí omezení. To dává smysl pouze pro zobrazení položek \u003d [Terminál | Remote_uelle | pláště], pro zobrazení položky] pro zobrazení položek \u003d [User | Remote User | Skupina] ignorován)
Modul PAM_NOLOGIN.SO se používá při autorizaci typu auth s požadovaným příznakem. Tento modul zkontroluje, zda soubor / etc / nologin existuje, a ne-li ne, pak vrátí hodnotu úspěchu (úspěch), jinak je obsah souboru zobrazen uživateli a vrátí hodnotu selhání (selhání). Tento modul se obvykle používá v případech, kdy systém ještě není plně zapsán do provozu nebo dočasně uzavřen pro údržbu, ale není odpojen od sítě.
Modul PAM_PERMIT.SO je volitelný na modul PAM_DENY.SO. Vždycky vrátí hodnotu úspěchu (úspěch). Všechny přenosné parametry modulem jsou ignorovány.
Modul PAM_PWDB.SO poskytuje rozhraní pro passwd a stínové soubory. Jsou možné následující parametry:
Debug - Nahrávání informací o ladění do souboru protokolu;
Audit - další informace ladění pro ty, kteří nejsou dostatečné informace o ladění;
Použití_first_pass - nikdy požádat o heslo pro uživatele a vezměte si jej z předchozích modulů zásobníku;
Try_first_pass - zkuste získat heslo z předchozích modulů, v případě nepožadujícího uživatele;
Použití_authtok - Vrátit hodnotu selhání (selhání) Pokud nebylo nainstalováno PAM_AUTHTOK, nepožádejte o heslo pro uživatele a vezměte si jej z předchozích modulů zásobníku (pouze pro zásobování hesel modulů);
Not_set_pass - neinstalujte heslo z tohoto modulu jako heslo pro následné moduly;
Shadow - udržovat systém stínových hesel;
UNIX - Umístěte hesla do souboru / etc / passwd;
MD5 - na další změnu hesla, použijte hesla MD5;
BigCrypt - s další změnou hesla, použijte hesla DECC2;
NODELAY - Zakázat zpoždění jednoho aoana s neúspěšným povolením.
Modul PAM_RHOSTS_AUTH.SO umožňuje / zakazuje použití souborů.Rhosts nebo hosts.Equiv. Kromě toho také umožňuje / zakazuje použití "nebezpečných" záznamů v těchto souborech. Parametry tohoto modulu jsou následující:
No_hosts_equiv - ignorovat soubor /etc/hosts.equiv;
No_Rhosts - ignorovat soubor / etc / rhosts nebo ~ / .Rhosts;
Debug - pro log informace ladění;
Nowarn - nezobrazují varování;
Potlačit - nevystavujte žádné zprávy;
Promiskuitní - umožňují použití zástupného symberu "+" v libovolném poli.
Modul PAM_ROOTOK.SO vrací hodnotu úspěchu (úspěch) pro každý uživatel s nulovým identifikátorem. Tento modul je označen s dostatečným příznakem, tento modul umožňuje přístup ke službě bez zadání hesla. Parametr v modulu je pouze jeden: ladění.
Modul PAM_SECURETTY.SO lze použít pouze pro supuupury. Tento modul pracuje s souborem / etc / Securetty, což umožňuje superuživatel přihlásit do systému pouze přes svorky uvedené v tomto souboru. Chcete-li povolit vstup superuživatele do systému přes telnet (ttyp pseudo-terminál), pak byste měli přidat řetězec do tohoto souboru pro ttyp0-255, nebo komentovat komentář na paměti PAM_SECURETTY.SO v přihlašovacím souboru.
Modul PAM_SHELLS.S.SO vrací hodnotu úspěchu, pokud je skořápka uživatele zadaná v souboru / etc / passwd je přítomen v seznamu shell z souboru / etc / shells. Pokud soubor / etc / passwd nepřijímá žádné shell, spustí / bin / sh. Pokud soubor / etc / passwd určuje shell, který chybí v seznamu / etc / shells, modul vrátí hodnotu selhání (selhání). Právo napsat do souboru / etc / mušle by měl mít pouze superuživatel.
Modul PAM_STRESS.SO se používá k řízení hesel. Má mnoho parametrů, včetně neustálého ladění, ale obecně jsou všechny parametry pouze dva zájmy:
Rootok - umožnit superuživateli změnit hesla uživatele bez zadání starého hesla;
Vypršela - S tímto parametrem je modul proveden, jako by heslo uživatele platné již vypršela.
Jiné parametry modulu umožňují zakázat některý z těchto dvou režimů, použijte heslo z jiného modulu nebo předejte heslo do jiného modulu atd. Zde nebudu zvažovat všechny parametry modulu, takže pokud máte potřebu použít Speciální funkce tohoto modulu, přečtěte si je popis v dokumentaci modulu.
Modul PAM_TALY.SO v souborech /etc/pam.d se ve výchozím nastavení nepoužívají. Tento modul vypočítá pokusy o předávání autorizace. S úspěšným průchodem povolení lze počet pokusů resetovat. Pokud počet neúspěšných pokusů o připojení překročil určitou prahovou hodnotu, může být přístup zakázán. Ve výchozím nastavení jsou informace o pokusech umístěny v souboru / var / log / faillog. Globální parametry jsou následující:
Onerr \u003d - Co dělat, pokud došlo k chybě, například nebylo možné soubor otevřít;
Soubor \u003d / Full / Cesta / a / FILE_NAME - Pokud není ne, pak se používá výchozí soubor. Následující parametr dává smysl pouze pro typ auth:
No_magic_root - zahrnuje počítání počtu pokusů o superuživatel (výchozí není provedeno). Užitečné, pokud je vstup superuživatele povolen systém přes telnet. Následující parametry mají smysl pouze pro typ účtu:
Deny \u003d n - odmítnout přístup po pokusech n. Při použití tohoto parametru se chování modulu RESET / NO_RESET liší ve výchozím nastavení s NO_RESET na resetu. To se stane pro všechny uživatele, s výjimkou uživatele root (UID 0), pokud není použit parametr NO_MAGIC_ROOT;
No_magic_root - neignorujte parametr Deny pro pokusy o uživatele root. Při použití ve spojení s parametrem DENY \u003d (viz dříve), chování resetu je nastavena ve výchozím nastavení pro uživatele root, jako pro všechny ostatní uživatele;
I_deny_root_account - umožňuje zamykání účtu superuser, pokud je parametr no_magic_root. To je vydáno varování. Pokud se parametr no_magic_root nepoužije, bez ohledu na počet neúspěšných pokusů o superuživatelský účet, na rozdíl od běžných uživatelů, nebude nikdy blokován;
Reset - resetovat čítač počtu pokusů o úspěšný vchod;
No_reset - ne resetovat počet pokusů o úspěšný vchod; Používá se ve výchozím nastavení, pokud není zadán parametr Deny \u003d.
Modul PAM_TIME.SO umožňuje omezit přístup ke službě v závislosti na čase. Všechny pokyny pro jeho konfiguraci naleznete v souboru / etc / zabezpečení / čase.conf. Nemá parametry: vše je nastaveno v konfiguračním souboru.
Modul Pam_Unix se zabývá problematikou obvyklého povolení ISWS (obvykle namísto modulu používá PAM_PWDB.SO). Fyzicky tento modul se skládá ze čtyř modulů, z nichž každý odpovídá jedné z typů rámců: PAM_UNIX_AUTH.SO, PAM_UNIX_SESION.SO, PAM_UNX_ACCT.SO a PAM_UNX_PASSWD.SO. Moduly pro typy účtů a autorských parametrů nemají. Modul pro parametr typu passwd je pouze jeden: strict \u003d false. Pokud je k dispozici, modul nekontroluje hesla pro odpor hackování, což vám umožní použít libovolné, včetně nebezpečných (snadno hádání nebo vybraných) hesel. Modul typu relace chápe dva parametry: ladění a trase. Informace o ladění parametru ladění je umístěna v souboru protokolu ladění, jak je uvedeno v syslog.conf a informace parametrů trasování jsou díky své citlivosti - v aplikaci Authpriv log.
Modul PAM_WARN.SO zaznamenává zprávu o jeho volání na syslog. Parametry nemají č.
Modul PAM_WHEEL.SO umožňuje superuživatele pouze členům skupiny kol. Skupina kol je speciální systémovou skupinou, jejíž členové mají velká výsada než obyčejní uživatelé, ale menší než superuživatel. Jeho přítomnost snižuje počet uživatelů systému s oprávněními superuživatele, což je činí členy skupiny kol a tím zvyšuje bezpečnost systému. Pokud lze superuživatel přihlásit pouze pomocí terminálu, může být tento modul použit k vytvoření nepřístupné úlohy pro uživatele prostřednictvím telnetu s oprávněními superuser, odmítá je pro přístup, pokud nepatří do skupiny WheelModuil, používá následující parametry:
Debug - Protokolování informací o ladění;
Use_uid - Definice patřící na základě aktuálního ID uživatele a ne to, co bylo přiřazeno při vstupu do systému;
Důvěra - V případě uživatelských poboček do skupiny kol vraťte hodnotu úspěchu (úspěch) a ne ignorujte (ignorovat);
Odepřít - změní význam postupu na opak (náhrada neúspěšných). V kombinaci se skupinou \u003d umožňuje odmítnout přístup k příslušníkům této skupiny.
Poznámka -
Katalog / etc / zabezpečení přímo souvisí s adresářem /etc/pam.d, protože obsahuje konfigurační soubory různých rámových modulů způsobených v souborech z /etc/pam.d.
Položky RAM v souborech protokolu
Výpis 1.9. Obsah / var / log / bezpečný
11.ledna 16:45:14 Chiriqui PAM_PWDB: (SU) Session se otevřelo pro uživatele uživatele
11.ledna 16:45:25 Chiriqui PAM_PWDB: (SU) Session Uzavřena pro uživatele uživatele
11.ledna 17:18:06 Chiriqui Login: Nepodařilo se přihlášení 1 z (NULL) pro David,
Selhání autentizace.
11.ledna 17:18:13 Chiriqui Login: Nepodařilo se přihlášení 2 od (null) pro David.
Selhání autentizace.
11.ledna 17:18:06 Chiriqui Přihlášení: Nepodařilo se přihlášení 1 od (null) pro David.
Selhání autentizace.
11. ledna 17:18:13 Chiriqui Login: Selhalo přihlášení 2 z (NULL) pro David,
Selhání autentizace.
11.ledna 17:18:17 Chiriqui PAM_PWDB: (Přihlášení) Otevřená pro uživatele David
11.ledna 17:18:17 Chiriqui - David: Přihlásit se na Ttyl David
11.ledna 17:18:20 Chiriqui PAM_PWDB: (Přihlášení) Zasedání pro uživatele David
Každý záznam začíná od data, času a názvu uzlu. Poté se název rámového modulu a identifikátor procesu uzavřený v hranatých závorkách. Poté v závorkách přichází název omezení služby. Pro výpis 1.9 je buď SU nebo přihlášení. Po názvu služby buď "SessionPened" (relace je otevřen) nebo "SessionClosed" (relace je uzavřena).
Záznam, která navazuje na záznam s "sessionopened", je zpráva o zadávání systému, ze kterého můžete zjistit, kdo a od místa, kde do systému vstoupil.
Jsou považovány za následující otázky:
Jaká je výchozí skupiny uživatelských a soukromých skupin uživatelů;
Změnit uživatele / skupinu;
Jak změnit uživatele / skupinu ovlivňuje grafické rozhraní;
Bezpečnost a uživatelé;
Bezpečnost a hesla;
Ochrana heslem;
Výběr dobrého hesla;
Hackovací hesla.
Výchozí skupina
V současné době, omezení současného uživatele patřící pouze jedné skupině již neexistuje. Každý uživatel může patřit současně několika skupinám. Na příkazu Newgrp se uživatel stane členem skupiny zadané ve skupině, zatímco tato skupina se stane pro tento uživatel. přihlašovací skupina (LogingRoup). Zároveň je uživatel i nadále členem skupin, ve kterých vstoupil před příkazem Newgrp. Přihlašovací skupina je skupina, která se stává vlastníkem skupiny uživatelských souborů.
Rozdíl mezi výchozím skupinami a skupinami soukromých uživatelů je stupeň otevřenosti těchto dvou schémat. V případě výchozího schématu může každý uživatel přečíst (a často měnit) jiné uživatelské soubory. S soukromými skupinami, čtení nebo psaní souboru vytvořeného jiným uživatelem je možné pouze tehdy, pokud jeho vlastníka výslovně poskytla práva na tyto operace ostatním uživatelům.
Pokud je nutné, aby se uživatelé mohli připojit a ponechat skupinu bez zásahu správce systému, heslo může být přiřazeno této skupině. Uživatel může použít oprávnění specifické skupiny pouze v případě, že patří. Existují dvě možnosti zde: buď patří do skupiny z okamžiku přihlášení do systému, nebo se stává členem skupiny následně poté, co začal pracovat se systémem. Aby se uživatel mohl připojit ke skupině, do které nepatří, musí být heslo přiřazeno této skupině.
Ve výchozím nastavení se skupinová hesla nejsou používána v ASWS, takže soubor Gshadow v adresáři / etc není.
Pokud neustále používáte pouze jeden z programů pro správu uživatelů, neustále používáte jeden z programů - Useradd, Lisa nebo Coas, - soubory uživatelských nastavení jsou získány konzistentnější a jednodušší doprovází.
Výhodou výchozího systému s výchozí skupinou je, že usnadňuje sdílení souborů, protože nemusíte se postarat o přístupová práva. Tento režim předpokládá otevřený přístup k systému podle principu "vše, co není zakázáno, je povoleno."
Konfigurace uživatelských parametrů ve výchozím nastavení je úloha s vysokou prioritou, která okamžitě následuje při nastavení systému.
Soukromé skupiny uživatelů
Soukromé skupiny uživatelů mají názvy, které se shodují s názvy uživatelů. Soukromá skupina je provedena v přihlašovací skupině, takže ve výchozím nastavení je, pokud je atributy adresáře předepisovat cokoliv jiného, \u200b\u200bje přiřazen jako vlastník skupiny všech souborů tohoto uživatele.
Výhodou soukromých skupin uživatele je, že uživatelé nemusí přemýšlet o omezení přístupu ke svým souborům: ve výchozím nastavení uživatelské soubory Od okamžiku jejich stvoření bude omezeno. V ISWS, při používání soukromých skupin může uživatel číst nebo změnit pouze soubory patřící. Kromě toho může vytvářet soubory pouze v domovském adresáři. Toto výchozí chování lze změnit správcem systému nebo uživatelem, a to jak na úrovni jednotlivého souboru a na úrovni adresáře.
Existuje několik příkazů, se kterým může uživatel ovládat své jméno a / nebo skupinu, do které patří, nebo podle názvu nebo skupiny, na které se program provádí. Jedním z těchto programů je Newgrp.
Příkaz Newgrp lze provádět libovolným uživatelem. To mu umožňuje připojit se ke skupině, ke které nepatřilo, ale pouze pokud je k této skupině přiřazeno heslo. Tento příkaz neumožní vstoupit do skupiny bez hesla, pokud nejste členem této skupiny.
Příkaz Newgrp lze použít ve vztahu ke skupině, jehož člena je již uživatel. V tomto případě newgrp dělá zadanou přihlašovací skupinu. Skupiny uživatelů jsou rozděleny do dvou typů: Přihlašovací skupina a všechny ostatní skupiny, na které tento uživatel patří. Uživatel může patřit do několika skupin, nicméně skupina přihlašovací skupiny v tomto uživateli bude vždy přiřazena vlastníkem skupiny uživatelských souborů.
Kromě Newgrp, Chown a CHOWP příkazy lze také použít ke správě příslušnosti souboru pro soubor nebo jiného uživatele nebo skupiny.
Příkazová oblast NewGrP v prostředí XWindow je omezena na program XTERM, ve kterém byl dokončen: v kontextu nové skupiny budou provedeny pouze programy procházející tímto terminálem, a proto uživatel nemůže změnit přihlašovací skupinu pro programy Prostřednictvím okna dispečer. Program, který je třeba, musí být vždy proveden v kontextu sekundární skupiny, může být spuštěn skrz skript nastavení požadované přihlašovací skupiny pro něj.
Systém XWindow vždy zavádí další potíže. V tento případ Tyto potíže nejsou přímo příbuzné s X a následují z pracovní logiky / etc / skupin a / etc / gshadow. Ti, kdo nepoužívají stínová hesla pro skupiny, znepokojující zejména o čem. V případě X nastavte skupinu chráněnou heslem z jednoduchého skriptu, pro sekundární skupiny uživatelů, které nevyžadují vstup hesla, změna skupiny je extrémně jednoduchá. Následuje následující scénář:
sG - GIFS-C / USR / X11R6 / BIN / XV &
V důsledku toho začátku tohoto skriptu bude program XV spuštěn, jehož primární skupina bude skupina GIFS. Co bylo nutné.
Obtížnější pro ty, kteří používají hesla skupiny stínů, protože v tomto případě při provádění tohoto skriptu se na obrazovce zobrazí chybová zpráva. Když jsou uživatelé uvedeny v souboru / etc / Skupiny, některý z nich se automaticky považuje za člen ihned po přihlášení do systému. V případě stínového hesla je však seznam uživatelů skupiny přesunut do souboru / etc / gshadow, takže uživatel přihlášený do systému není připočítán strojem svým členům, ale může se k němu připojit příkaz Newgrp nebo provádět libovolný program ze svého názvu s příkazem pomocí příkazu SG. Problém je v tom, že z hlediska X, tento uživatel (který není nutně uživatel, iniciovaný pracovním relací X), nemá právo nainstalovat připojení. Proto pro nechráněné skupiny hesel se dříve snížený scénář změní následovně:
xhosts + Lozalhost.
sG - GIFS-C / USR / X11R6 / BIN / XV &
Přidaný řetězec umožňuje přístup k obrazovce. nová skupina (GIF). Pro většinu pracovních stanic by to nemělo vést k žádným významným problémům zabezpečení, protože tento řetězec umožňuje přístup k obrazovce do místních uživatelů uzlu (více informací o x a xhost, viz dobrý manuál správce systému Linuxu).
POZNÁMKA
Použití X Server (zejména s XDM nebo KDM) znamená řadu jeho jemností, ještě více zhoršuje grafickými aplikacemi, protože mohou být spuštěny nejen prostřednictvím příkazového řádku, ale také pomocí ikony na grafické ploše.
Změna uživatele
POZNÁMKA
Obyčejný uživatel nemůže způsobit, že systém tolik škod, protože může udělat neopatrný superuser. Důsledky vašeho typografického jako superuživatele mohou být docela fatální, až do bodu, že všechny vaše systémové soubory (a obecně všechny soubory uložené v systému lze říci, že se rozloučí. V některých společnostech, po tom, oni mohou říci "sbohem" a vy.
Transformace jednoho uživatele v jiném je příkaz su. Tým obdržel svůj název « náhradní. uživatel. » (Substituce uživatele), ale od nejčastěji se používá k tomu, aby se stal superuserem.
Příkaz Su způsobený bez argumentů požádá o heslo uživatele, po kterém (příjem správného hesla v odezvě) vám umožní uživatel root. Tento příkaz je služba restrikce služby, takže všechny aspekty jeho zabezpečení lze nakonfigurovat prostřednictvím souboru /etc/pam.d/su.
Poznámka -
Su cirkulace bez zadání uživatelského jména (s nebo bez nebo bez defisu nebo bez ní), jako indikace uživatele kořenového uživatele.
Tento příkaz sudo umožňuje uživatelům oblíbeným provádět některé programy na práva superstuser a u uživatele, kteří apelovat na tento příkaz, není požadován jako heslo superuser, ale jeho vlastní heslo. Používá sudo jako příkaz SG. Uživatel zadá sudo team_fer_mill, pak vaše heslo a pokud je to povoleno, zadaný příkaz se provádí v kontextu oprávnění superuser.
Bezpečnost a uživatele
Uživatelé se obvykle zajímají pouze o přihlášení a spuštění programů, které potřebujete. Zájem o zabezpečení se objeví pouze po ztrátě důležitých souborů. Ale trvá dlouho. Poté se dozvěděli, že opatření byla přijata, uživatelé rychle zapomněli na jakékoli prevence.
Obecně řečeno, ne jejich péče - bezpečnost. Správce systému musí zvážit, zavést a udržovat bezpečnostní politiku, která by umožnila uživatelům dělat svou práci, aniž by byli rozptýlení otázkami ochrany pro ně.
Hlavní nebezpečí pro systém, zpravidla, pochází zevnitř, a ne venku. Jeho zdroj (zejména ve velkých systémech) může být například rozzlobený uživatel. Je však nutné vyhnout se nadměrnému podezření, pokud je újma způsobená nevědomostí přijata pro zlý záměr. O tom, jak chránit uživatele před neúmyslným poškozením jejich a zahraničními soubory jsou popsány v první části knihy. Jako praxe ukazuje, průměrný uživatel není schopen poškodit systém. Je nutné se obávat těch uživatelů, kteří jsou schopni najít mezeru v ochranných mechanismech a jsou schopni způsobit cílené poškození systému. Ale tito uživatelé jsou obvykle málo a v průběhu času se stávají známými, zejména pokud víte, co věnovat pozornost. Skupina rizik zahrnuje uživatele, kteří mohou na základě své pozice nebo díky jejich vztahům přistupovat k úrovni kořenových privilegií. Jak zvládnete materiál této knihy, zjistíte, co přesně by mělo být považováno za známky hrozícího potíží.
Ve výchozím nastavení uživatelé obdrží plnou kontrolu nad jejich domácími katalogy. Pokud používáte výchozí skupinu, všichni uživatelé systému patří do stejné skupiny. Každý uživatel má právo přistupovat k domovským ředitelům jiných uživatelů a souborů umístěných v nich. Při použití schématu se soukromými skupinami uživatelů má některý z uživatelů systému přístup pouze k vlastnímu domovskému adresáři a domovské adresáře jiných uživatelů nejsou k dispozici.
Pokud jsou všichni uživatelé systému povinni poskytnout sdílený přístup k některým společné souboryPro tyto účely se doporučuje vytvořit někde obecného katalogu pro tyto účely, spustit skupinu, jejíž členové by byli všichni uživatelé (to může být skupina uživatelů nebo jiné skupiny, kterou jste vytvořili), a poskytnout tuto skupinu příslušnými přístupovými právy Tento společný katalog. Pokud chce uživatel provádět některé ze svých souborů dostupných pro ostatní uživatele, může je jednoduše zkopírovat do tohoto adresáře a zajistit, aby tyto soubory patřily do stejné skupiny, které všichni uživatelé jsou členy.
Někteří uživatelé musí být používáni nebo prostě nemohou dělat bez programů, které nejsou zahrnuty do sady ASC. Většina uživatelů nakonec získá množství vlastních souborů: dokumenty, konfigurační soubory, scénáře atd. Systém OpenLinux neposkytuje uživatelům speciální péči v organizaci svých souborů a ponechat tento úkol správci systému.
Struktura adresářů vytvořených v domovském adresáři každého nového uživatele je určena obsahem adresáře / etc / Skel. Následující adresáře jsou obvykle přítomny v typické / etc / Skel:
Tyto adresáře slouží k uložení (respektive) binární soubory, zdrojové soubory, soubory dokumentů a dalších pestrých souborů. Mnoho výchozích programů nabízí uložení souborů určitých typů v jednom z těchto podadresářů. Po obdržení vysvětlení jmenování katalogů k dispozici k dispozici, uživatelé obvykle ochotně začínají používat, protože je odstraňuje z potřeby vymyslet něco. Nezapomeňte provést adresář ~ / bin jako jeden z nejnovějších adresářů uvedených v proměnné cesty.
Bezpečnost a hesla
Říká se, že tam, kde je to v pořádku, tam a přestávky, - toto prohlášení je často pamatováno, pokud jde o význam hesel v bezpečnostním systému. Obecně řečeno, spolehlivost bezpečnostního systému je dána zejména množstvím faktorů, zejména to, co služby MSV-System poskytuje externí uživatele (ať už je používán jako webový server, pokud je možné jej zadat pomocí telnetu atd. .).). Dalším definujícím faktorem je uživatelská hesla, která nás přivádí k jinému faktoru - dodržování zásad uživatelů. Jednoduchý uživatel neví o bezpečnosti nic. Pokud respektujeme uživatele a nechcete měnit svůj postoj k bezpečnostním nucenému metodám, měli bychom provést bezpečnostní systém pohodlný a srozumitelný pro něj. Nejtěžší poskytovat pohodlí. Všechno v bezpečí je obvykle příliš pohodlné (protože pohodlí předvídatelnosti a elementality nejsou kombinovány s bezpečností), a proto vstupuje do konfliktu s obvyklým chováním lidí, kteří dávají přednost všem možným způsobem nejvhodnějším způsobem. Na konci, uživatelé pracují se systémem, aby mohli provést práci, která jim byla svěřena, a nepřidát nový. V pořádku, uživatelé úmyslně nechodili po cestě nejmenšího odporu při práci s hesly, obvykle se snažím vysvětlit, pro které hesla jsou zapotřebí a proč je důležité zachovat jejich bezpečnost. Je důležité, že není z obecných pozic, jako je "nízký bezpečnostní systém může hackovat a ukrást nebo poškodit důležité soubory" a z pozice osobních zájmů uživatele.
Většina uživatelů chápe důležitost e-mailu pro jejich práci. Nicméně neuvědomují, že jakýkoli zadaný do systému pod svým jménem získá příležitost využít svůj e-mail v jejich zastoupení proti nim. Zeptejte se uživatele, zda používá e-mail pro osobní účely. S největší pravděpodobností zodpoví ano. Pak se ho zeptejte, zda musel vyřešit důležité obchodní otázky e-mailem. Neexistují žádné méně než ti, kteří odpovídají "ne" každý den. Ale i v případě negativní reakce mohou někteří obchodní partneři zvážit transakci e-mailem jako vazba jako transakce telefonicky.
Poté, co vysvětlete uživateli, že jeho e-maily Někdy má stejný jako svůj osobní podpis. A přestože titulek elektronické zprávy lze vyměnit, ve většině případů je taková náhrada také nezákonná jako falešný podpis. Ale pokud někdo, tak či onak, se naučil hesla jiného uživatele, vstoupí do systému pod jeho jménem, \u200b\u200bpak to je, obrazně řečeno, bude moci přihlásit k podpisu jiné osoby. Každá pošta odeslaná k nim bude technicky indistencelovatelná z pošty odeslané samotným uživatelem. Praxe poskytování akcí v položce pod jiným názvem je nežádoucí a je třeba se vyhnout (výjimkou je správci systému, kteří tuto funkci používají k testování scénářů přihlašování a uživatelských parametrů, ale pro to nemusíte znát heslo tohoto uživatel). Nežádoucí jevy by měly být přičítány systému pod názvem někoho jiného (i se souhlasem jiného uživatele). Jak je to nežádoucí? Odpověď na tuto otázku je určena závažností bezpečnostní politiky podniku.
Uživatelé však musí pochopit, že existují jiné žádné nebezpečné způsoby, jak získat neoprávněný přístup k jejich účtu. Případ je nejčastější, když uživatel se obává zapomenout heslo, je jednoduché zapamatovat si, což znamená hádání, nebo zaznamenává heslo na kusu papíru, který je často připojen k monitoru. Systém zabezpečení hesel je založen na dvou věcech: neustálé uživatelské jméno a pravidelné změny hesla. Většina lidí nebude říkat kód PIN k nikomu, kdo má přístup ke svému bankovním účtu, ale jejich uživatelské heslo není zdaleka tak žárlivá. I když, na rozdíl od situace s bankovním účtem, kde je konstantní část, tj. Kreditní karta je fyzický objekt, přístup, ke kterému je stále potřebný k získání, neustálé části bezpečnostního systému hesla, to znamená, že uživatelské jméno je Všichni (alespoň všichni v rámci firem a těch, s nimiž tento uživatel provedl korespondenci e-mailem). Proto, pokud je variabilní část zaznamenána někde nebo snadno odhadnuta nebo je vybrána programem, který vlaštovuje slova ze slovníku, pak takový účet nelze považovat za dobře chráněné.
Konečně, uživatelé by si měli být vědomi existence této metody obdržení hesla jako "sociální inženýrství" (socialengineering). Většina z nás se setkala ve svém životě alespoň s jednou osobou, která může říci "kluzký jako už." Takoví lidé mají schopnost přesvědčit ostatní lidi tím, že se uchýlí k logickému argumentu, poskytnout jim informace, které potřebují. Ale to není jediný možné metodu Zjistěte heslo někoho jiného. Někdy je dost na rozlití.
Prostředky opozice vůči těmto incidentům je pravidelnými změnami hesla. Samozřejmě můžete změnit dobu hesla za deset let, ale je lepší nebere mezery mezi směny příliš dlouho, stejně jako lépe, aby je a příliš krátké, například jednou za hodinu. Neměňte heslo příliš dlouho znamená odhalit riziko hackování.
POZNÁMKA-
Proniknutí outsiderů v systému pod rouškou pravidelného uživatele může mít smutné důsledky nejen pro soubory tohoto uživatele, ale také pro celý systém jako celek, protože čím více tento outsider bude vědět o vašem systému, Je snadnější najít škrty ve své ochraně.
Vezměte prosím na vědomí, že před zahájením prací, skript provádí některé kontroly: zda je spuštěn v úrovni privilege root, zda je počáteční UID obsazeno a tak dále. Není však možné říci, že kontroluje všechno.
Hackovací hesla
Jedním ze způsobů, jak ověřit bezpečnost systému, znamená, že se na místo útočníka a pokusit se myslet a jednat jako člověk, který se snaží zlomit obranu. To znamená, že je nutné chodit mezi uživateli, zkontrolovat, zda zaznamenané heslo není připojeno k žádnému monitoru, někdo opustil nikoho na stole s kusem identifikačních údajů na něm, nebo "projít" právě v tom ráno, kdy Uživatelé vstupují do systému (možná, bude možné uvědomit, jak některý z nich vytočí heslo na klávesnici).
To také znamená, že byste měli věnovat pozornost orientaci monitoru uživatele, kteří mají přístup k citlivým informacím, abyste zjistili, zda je viditelné pro někoho jiného. Dále, když tito uživatelé odcházejí z jejich pracoviště, ať už spustí program spořiče obrazovky blokované heslem, a možná vyjít ze systému nebo dělat nic?
ale nejlepší způsob Zkontrolujte bezpečnostní heslo a uživatelské vztahy k němu - zkuste hack hesla uživatele. Pravidelné provedení programu hacking hesla může dát poměrně dobré hodnocení pevnosti systému ochrany heslem.
MSVS 3.0.- Chráněné multiplayer Multitasking OS s časovým oddělením vyvinutým na základě Linuxu. Operační systém poskytuje víceúrovňovou prioritní systém s vysídlením multitasking, organizace virtuální paměti a plnou síťovou podporu; Pracuje s multiprocesorem (SMP - symetrické multiprocessing) a konfigurace klastrů na platformách Intel, MIPS a SPARC. Vlastnosti MSVS 3.0 - Vestavěné ochrany proti neoprávněnému přístupu, který splňuje požadavky Státní rady státní technickou komisí podle předsedy Ruské federace pro 2 fondy výpočetní techniky. Mezi nářadí o ochranu patří povinný ovládání přístupu, seznamy řízení přístupu, model role a vyvinuté nástroje auditu (protokolování událostí).
Systém souborů ISWS 3.0 podporuje názvy souborů dlouhé až 256 znaků se schopností vytvářet rusky mluvící názvy souborů a adresářů, symbolické odkazy, seznamy kvót a přístupových práv. Existuje možnost montovat systémy souborů FAT a NTFS, stejně jako ISO-9660 (CDS). Mechanismus kvót umožňuje ovládat používání uživatelů místa disku, počtu spuštěných procesů a množství paměti přidělené každému procesu. Systém lze konfigurovat tak, aby vydával varování, když uživatel požadovaný uživatelem je osloven do dané kvóty.
MSVS 3.0 obsahuje grafický systém založený na X Window. Dva manažeři oken jsou dodávány do práce v grafickém prostředí: ICEWM a KDE. Většina programů v ISWS je zaměřena na práci v grafickém prostředí, která vytváří příznivé podmínky nejen pro operaci uživatelů, ale také pro jejich přechod na systém Windows OS na MSVS.
MSVS 3.0 je dodávána v konfiguraci, která kromě jádra obsahuje sadu dalších softwarových produktů. Sám operační systém Jako základní prvek organizace automatizovaných pracovišť (zbraní) a konstrukce automatizovaných systémů. Dodatečný software lze instalovat na výběr a je zaměřen na maximální automatizaci a správu domény a správu, což snižuje náklady na servis Armm a soustředit se na uživatele jejich cílového úkolu. Instalační program umožňuje instalaci operačního systému od spouštěcího disku CD nebo v síti prostřednictvím protokolu FTP. Instalační server je obvykle nainstalován a nakonfigurován z disků a instalace dalších počítačů je instalována v síti. Instalační server v pracovní doméně provádí úlohu aktualizace a obnovení softwaru na pracovištích. Nová verze je odložena pouze na serveru a dojde k automatické aktualizaci na pracovištích. Při poškození na pracovištích (například při odstraňování programového souboru nebo vzniku kontrolních součtů spustitelných nebo konfiguračních souborů), odpovídající software automaticky přehodí.
Při instalaci správce se navrhuje zvolit jeden ze standardních typů instalace nebo vlastní instalace. Standardní typy se používají při instalaci na standardních úlohách a pokrývají hlavní standardní možnosti pro pořádání úloh založených na zadaných 3,0 (obr. 1). Každý typ standardní definuje sadu instalovaných softwarových produktů, konfiguraci disku, sady systémů souborů a řadu systémových nastavení. Vlastní instalace nám umožňuje explicitně nastavit všechny uvedené vlastnosti konečného systému až do výběru jednotlivých softwarových balíčků. Když vyberete vlastní instalaci, můžete nainstalovat ASW 3.0 do počítače s již nainstalovaným jiným operačním systémem (například Windows NT).
MSV 3.0 obsahuje jednotný dokumentační systém (ECD) s informacemi o různých aspektech systému fungování. ESD se skládá z dokumentačního serveru a databázi obsahující popisy popisů, přístup, ke kterému je možné prostřednictvím prohlížečů. Při instalaci dalšího softwaru v databázi ECD jsou nastaveny příslušné referenční sekce. ESD lze umístit lokálně na každém pracovišti nebo ve speciálním dokumentačním serveru může být přidělen v doméně MSVS. Tato možnost je užitečná pro použití velkého rozměru v doménách ISWS pro uložení celkového místa na disku, zjednodušit proces správy a aktualizaci dokumentace. Přístup k dokumentaci z jiných pracovních míst je možný prostřednictvím webového prohlížeče dodaného s MSVS 3.0.
MSVS 3.0 je Russified jak v alfanumerických a grafických režimech. Virtuální terminály jsou podporovány, přepínání mezi nimi se provádí pomocí kombinace klíčů.
Klíčovým bodem z hlediska integrity systému je registrační provoz nových uživatelů ISWW, když jsou definovány atributy uživatele, včetně atributů zabezpečení, v souladu s tím, že systém řízení přístupu bude i nadále ovládat uživatele úkon. Základem mandátového modelu je informace zadané při registraci nového uživatele.
Pro implementaci diskreční řízení přístupu se používají tradiční mechanismy pro mechanismy Unixu přístupových práv a seznamů přístupových práv (ACL - Seznam řízení přístupu). Oba mechanismy jsou implementovány na úrovni souborový systém MSVS 3.0 a slouží k nastavení práv pro přístup k objektům systému souborů. Bity vám umožňují určit práva na tři kategorie uživatelů (vlastník, skupina, jiná), to však není poměrně flexibilní mechanismus a je aplikován při určování práv pro většinu souborů OS, nejpoužívanější část uživatelů se stejně používá. S pomocí ACL seznamů můžete nastavit práva na úrovni jednotlivých uživatelů a / nebo skupin uživatelů, a tím dosáhnout významného detailu v úkolu práv. Seznamy se používají při práci se soubory, pro které je nutné například nastavit různá přístupová práva pro několik konkrétních uživatelů.
Jedním ze základních nevýhod tradičních systémů UNIX, pokud jde o bezpečnost, je dostupnost superuživatele, která má nejširší možné síly. Funkce MSVS 3.0 - Decentralizace funkcí superuživatele. Úkolem správy systému je rozdělen do několika částí, k provedení konfigurace, správce bezpečnosti a auditu existují. Z hlediska operačního systému jsou tito správci obyčejní uživatelé, kteří mají možnost spustit speciální administrativní programy a přístup k příslušným konfiguračním souborům. Vytváření účtů správců systému dochází v instalaci 3.0 instalace 3.0.
Každý ze správců je zodpovědný za provádění pouze jejich úkolů, například správce konfigurace spravuje soubory souborů, síťová rozhraní, nastavení systémové služby atd. Správce zabezpečení je zodpovědný za bezpečnostní politiku a řídí nastavení zabezpečení týkající se zabezpečení: minimální délka hesla, počet neúspěšných pokusů o přihlášení uživatele a podobně. Zároveň jsou zaznamenány všechny události týkající se zabezpečení, včetně správců. Pro správu auditu je odpovědný správce auditu, který může například "čistý" protokoly auditu odpovědný za správu auditu.
Decentralizace funkcí superuser umožňuje realizovat princip "čtyř očí". Například registrace nového uživatele MSV 3.0 se provádí ve dvou fázích. Za prvé, správce konfigurace vytvoří účet pro nového uživatele, a pak správce zabezpečení registruje nového uživatele v databázi systému ochrany. Teprve poté je možné zadat nový uživatel v systému.
Chcete-li provést administrativní úlohy k distribuci, balíček "Administration Tools" obsahuje programy pro správu uživatelů, souborů, zabezpečení, auditu, nastavení systému a sítě.
První úkol, který má být proveden po instalaci ISW3.0, je vytvořit správce zásad zabezpečení implementovaný v této organizaci. Jedním ze složek tohoto úkolu je konfigurovat mechanismus závazného řízení přístupu. Na Obr. 2 ukazuje formu povinného programu pro správu mechanismů, který umožňuje konfigurovat sadu atributů mandátu objektů a objektů MSVS 3.0. V horní části okna programu jsou konfigurovány úrovně zabezpečení, jejichž možné hodnoty mohou být například "ne důvěrné" a "důvěrně". Spodní část vytváří soubor kategorií popisujících oblast předmětu, na kterou informace zahrnují: "Zaměstnanci" "technické prostředky" atd. Je možné vytvořit superty kategorií (například "kategorie_1_2"), včetně několika samostatných kategorií a jiných Verts. Práce s úrovněmi je nejvhodnější při jejich prezentaci v desetinné podobě, protože úrovně mají hierarchickou organizaci. Při práci s kategoriemi je vhodné reprezentovat je v binární podobě, protože kategorie nejsou hierarchickou sadou.
Na Obr. 3 je pohled na jeden z Windows Management Program. Spuštění tohoto programu je možné pouze správci konfigurace a zabezpečení. V tomto případě může každá z nich stanovit nebo změnit pouze ty atributy uživatele, které jsou zahrnuty ve své kompetenci.
Na Obr. 4 Zobrazuje příklad okna programu správy souborů, které umožňuje zobrazit a změnit hodnoty atributu souborů. Vizualizace stromové struktury systému souborů na levé straně okna usnadňuje navigaci na něj a vyberte požadovaný soubor. Atributy vybraného souboru seskupené podle jeho funkčního účelu jsou zobrazeny na pravé straně. Pro každou skupinu přidělili samostatnou kartu. Záložka "Základní" uvádí takové tradiční atributy souborů, jako je typ, velikost, počet pevných referencí, diskreční atributy a časové tagy. Funkce souborů ISWS 3.0 je přítomnost povinných atributů a rozšiřování diskrečních atributů na seznam přístupových práv. Atributy mandátu jsou uvedeny v záložce "Mandát Tag". Chcete-li spravovat soubor ACL zvýrazněn záložku "Přístupová práva". Kromě toho, když vyberete adresáře, pro které je možné výchozí ACL je možné aktivovat záložku "Výchozí přístupová práva". Na Obr. 5 zobrazuje okno Zobrazit souboru ACL. Můžete přidat jednu položku pro uživatele nebo skupinu a mnoho záznamů se stejnými přístupovými právy. Stejně jako v případě předchozího programu je spuštění programu pro správu souborů možné pouze konfigurační a bezpečnostní správce. Každý z nich může změnit pouze atributy souborů, které jsou řízeny jeho kompetencí.
Služby MSVS 3.0.
ASA, stejně jako jakýkoli jiný operační systém, se používá k vytváření optimálních podmínek pro provádění služeb a aplikací, které poskytují automatizaci a zlepšují efektivitu uživatelů.
Jedním z hlavních služeb jakéhokoliv OS je tisková služba. MSV 3.0 obsahuje tiskový systém, který umožňuje tisk dokumentů v souladu s požadavky na chráněné systémy. Mezi vlastnostmi tiskového systému MSVS 3.0, který odlišuje z podobných systémů, podporuje mechanismus řízení přístupu, který umožňuje definovat úroveň ochrany soukromí dokumentu a automaticky nasměrovat úlohu na určitou tiskárnu v souladu s přijatou pravidly tisku v této organizaci. Každý tištěný list je automaticky označen atributy účtování dokumentů, včetně jména uživatele, vytištěného dokumentu a název počítače, ze kterého je úkol odeslán. Jednou z výhod tisku je jeho invariance ve vztahu k aplikacím, které se obrací k tiskové službě. To znamená, že není vázán na stávající aplikace a nezmění se, když se zobrazí nové aplikace. Výsledkem je, že aplikace, které jsou zobrazeny, by měly zohlednit označení listů a ponechat volný prostor pro to. Skutečnost tisku je zaznamenána ve zvláštním deníku pro sběr tiskovin. Pro práci s tímto časopisem se používá speciální program, který umožňuje zobrazit, upravovat některé pole záznamů a tisknout je (obr. 6).
Důležitým prvkem ochranného systému ISWS 3.0 je identifikační / ověřovací systém. Pro úspěšné ověření musí uživatel zadat správné heslo. Samozřejmě, kvalita vybraných hesel definuje odpor systému pro proniknutí vetřelců. Pro generování uživatelských hesel v MSA 3.0 je zahrnut speciální program (obr. 7).
Pro monitorování počítačů domény se použije funkční systém (CF), skládající se ze serveru a speciálních agentů. Agenti jsou instalováni na počítačích domény a zprávy o serveru jejich stavu. Systém CF umožňuje přijímat informace o různých aspektech funkcí počítače (stav procesů, podsystémů disku, podsystémů jádra) a sledovat výkonnost síťových služeb (FTP, SSH atd.). Informace zadané server je akumulován ve speciálních časopisech, což vám umožní pozorovat nejen aktuální stav domény, ale také studovat jeho podmínku po celou dobu fungování systému.
Domain MSVS.
MSV 3.0 se používá k vytváření domén založených na chráněných automatizovaných systémech. Fyzicky doména je implementována jako lokální síť počítačů, z nichž většina slouží k uspořádání uživatelských úloh. Některé z nich jsou zapotřebí organizovat veřejné zdroje, jako je souborový server, databázový server, tiskový server, poštovní server. Logicky je doména MSVS řadu počítačů, které implementují jednu bezpečnostní politiku a tvoří jeden prostor pro správu. Jedna bezpečnostní politika předpokládá, že všechny počítače jsou podporovány jednotlivými sadami objektů a objektů přístupu, atributy zabezpečení a existují jednotlivá pravidla pro diskreční a povinné řízení přístupu. V tomto smyslu je doména MSVS také bezpečnostní doménou.
Unified Administration Space implikuje jednotnou správu informačních zdrojů (počítače) domény MSVS. Jeho založením je jednotný prostor uživatelů domény MSVS.
- Pro každý uživatel domény je podporován účet, který obsahuje potřebné informace o uživateli (logický název, heslo, celé jméno a atributy zabezpečení uživatele). Tato informace Slouží k provádění postupů identifikace uživatele / autentizace na svém vstupu do domény MSVS.
- V každé počítačové doméně se společnými zdroji (server), na kterých může tento uživatel pracovat, je pro něj přesně stejný účet jako na pracovišti.
- Na pracovišti správce zabezpečení je podporována databáze s informacemi o všech uživatelech domény, která obsahuje jejich účet, rozšířené informace (například pozice, číslo názvu / oddělení), stejně jako název počítače a všechny servery který má přístup.
Účet je tedy jeden pro daný uživatel jako součást domény MSVS a je přes něj, že uživatelský přístup je řízen zdroji informací o doméně.
Heterogenní domény
Na tento moment Při vývoji chráněného automatizovaného systému jsou stávající místní sítě považovány za základ, ve kterém jsou servery a pracovní místa dominují windows databáze Nt. Nemožnost okamžitého přechodu organizace na platformě MSVS generuje problém jeho integrace s Windows. Zde můžete přidělit dva aspekty: volba optimální strategie pro přechod na ISWW a technické potíže, které doprovázejí tento přechod.
V důsledku analýzy informačních toků v bezpečném automatizovaném systému jsou z hlediska bezpečnosti nejdůležitější oblasti. Za prvé, tyto oblasti zahrnují import / exportní informace toky, protože je prostřednictvím těchto toků, že důvěrné informace (jak z vnější strany a generované uvnitř) spadají do vnějšího světa: tiskové servery a exportní informace na disky a pásky. Druhé nejdůležitější oblasti úložiště informací jsou: souborové servery a pracovní stanice uživatele.
V procesu soustružení sítě Windows do chráněného automatizovaného systému musí být tyto oblasti sítě upraveny především, které jsou nejdůležitější z hlediska bezpečnosti. Prvním krokem je minimalizovat a monitorovat výstupní informační toky. Jak již bylo zmíněno, ISWS 3.0 má vyvinutý systém účetnictví a ovládání tisku dokumentů a umožňuje, aby se síť postavena na základě provedení požadavků na vydávání tištěných dokumentů na pevnou kopii.
Druhým krokem je přenos souborových serverů z platformy Windows. V MSVS 3.0 je k informačním zdrojům obsluhy operačního systému poskytován rozvinutý systém řízení přístupu uživatelů, což vám umožní organizovat ochranu uživatelských dat na správné úrovni.
Při integraci ISWU a oken se objevuje řada technických problémů, z nichž nejdůležitější jsou problémy s problémy s kompatibilitou / schémat ověřování uživatelů, principy ovládacích prvků přístupu uživatelů používaných v těchto cyrilických kódovacích systémech.
První dvě problémy jsou, že v prostředí Windows NT je přihlašovací okruh uživatele podporován v doméně NT na základě jedné databáze uložené na speciálním ovládacím serveru - řadič domény. Toto schéma je zásadně odlišný od schématu používaného v MSVS. Kromě toho, v architektuře Windows NT neexistuje žádná podpora pro ovládání přístupu k mandátu a není možné zobrazit sadu atributů zabezpečení operačního systému ASW. Systémy systému Windows používají kódování CP1251, zatímco koi8-R se používá v MSV 3.0, nicméně, akumulovaná data (pracovat, s nimiž je vyžadováno prostředí Windows), je obvykle uložena v CP1251. V tomto případě se prezentace těchto uživatelů, jejich vstup a editace dochází v prostředí MSVS, proto je nutné překódovat "za mouchu". Kromě toho, aby bylo možné řešit úkoly správy dat (například úlohy třídění dat) CP1251 kódování je přijatelnější než koi8-r.
Chcete-li vytvořit bezpečný automatizovaný systém založený na MSV 3.0 s možností dočasnou kompatibilitou s NT, byl vyvinut systém přístupu terminálu (obr. 8). Tento systém Umožňuje organizovat operace s aplikacemi systému Windows následovně: Soubor a tiskové servery, stejně jako klientská místa jsou postaveny na základě MSVS 3.0 a pracovat s aplikacemi systému Windows, který se nachází aplikační server založený na Edition Server NT, přístup k který se provádí zvláštním způsobem.. Jedním z výhod této možnosti je flexibilita při organizování uživatelských prací, které ve skutečnosti dostane příležitost pracovat současně ve dvou provozních prostředích a používat aplikace z každého z nich. Nevýhodou je potřeba vytvořit aplikační server se zvláštním přístupem, který vede ke vzniku omezení bezpečnostních zásad. V důsledku toho je úkol integrace MSV a Windows NT vyřešen vytvořením domény MSVS s aplikačním aplikačním serverem založeným na NT a pomocí systému přístupu k terminálu.
Považujeme nyní, jak uživatel pracuje v heterogenní doméně MSVS. Uživatel zadá doménu přes paži. Pro přístup k aplikačnímu serveru Windows NT, uživatel odkazuje na klienta pro přístup k terminálům. Ve speciální databázi uložené na aplikačním serveru existuje korespondence mezi uživatelským jménem a názvem počítače, který se používá při připojování síťových jednotek pro tohoto uživatele. Výsledkem je, že pracuje v relaci NT, uživatel jako síťový disk na svém pracovišti vidí pouze obsah svého domovského adresáře, stejně jako sdílené zdroje domény (souborové servery a tiskárny). To může spustit aplikace Windows, ale bude pracovat pouze s omezeným množstvím souborů (jeho obecných) uložených v počítačích s MSVS 3.0.
Chcete-li uspořádat tisk důvěrných dokumentů v doméně, je přidělen tiskový server na základě MSV, který je zodpovědný za implementaci a údržbu tisku, který zabraňuje neobslušné reprodukci výstupních důvěrných dokumentů. Chcete-li tisknout žádné důvěrné informace, připojením lokálních tiskáren k rameno. Uživatel, práce s aplikací Windows nebo ASW, odešle tiskový dokument a nezáleží na tom, kde je dokument umístěn v místním počítači nebo na souborovém serveru. S pomocí fondů ISWW se analyzuje důvěrnost dokumentu. Pokud je dokument důvěrný, úkol je přesměrován na tiskový server, pokud ne, dokument je vytištěn lokálně.
Navrhované možnosti vám umožní organizovat postupný přechod informační infrastruktura Na základě systému Windows NT pro zajištění automatizovaných systémů zpracování informací založených na MSVS 3.0.
Literatura
1. Gostekomisi Ruska. Dokument řízení. Počítačové vybavení. Ochrana proti neoprávněnému přístupu k informacím. Ochranné ukazatele před neoprávněným přístupem k informacím. Moskva, 1992.
2. D.v. Efanov. Dokumentový tiskový systém // ACS a regulátory. 2001, №1.
Andrei Trewin. - Zaměstnanec Ministerstva obrany Ruské federace. Igor Zhukov., Dmitrij Efanov. ([Chráněný emailem]) - Zaměstnanci ALL-Ruský výzkumný ústav kancelářské automatizace v imutograciační jaro (Moskva).
V této recenzi se pokusím vytvořit kopii RedHAT Enterprice Linux pro potřeby RF MO, aby zjistil, jak funguje na moderním hardwaru. Poslední vydání ISWS byl již v roce 2011, ale stále je to "užitečné" v armádě Ruské federace:
Instalace
Nainstalujeme na notebook Fujitsu Lifebook N532, který pracuje stabilně v Linuxu a v systému Windows. Tento notebook byl vydán v roce 2012, jen o rok později než MSVS 5.0.
Booting Window - Cut-up Copy RedHat Enterprice Linux:
Dokonce líná, aby se normální načítání okna, změnil pozadí / logo, odstranil zbytečná tlačítka a to je.
Chcete-li pokračovat v instalaci, stiskněte klávesu ENTER:
Instalační program byl naložen do retro stylu MS-DOS, ale před vydáním ISWS 5 měly téměř všechny distribuce grafický instalační program. V Debianu je také textový instalační program, ale je mnohem jednodušší a jasnější než tohle. Ptají se nás, zkontrolujte instalaci DVD nebo ne. Zkontrolujme jen v případě:
Disk je zaznamenán normálně, žádné chyby. Dále jsme požádáni, abychom zkontrolovali další média, ale nemám je nemám.
Nástroj pro označení disku s vybranou možností vymazání pro všechny sekce. Co když důstojník, doufající v mysli domácí IT průmysl jednoduše stiskněte klávesu Enter?
Nyní pokračujte na značku disku. Na tomto počítači nainstaloval dva další OS a já jsem si vybral "Vytvořit vlastní oddíl"
Máme 30 GB nevyužitého neformátovaného prostoru, zvolte "Použít volné místo a vytvořit výchozí oddíl" a získat chybu přerušení: není možné distribuovat požadované sekce
Klikněte na "Ano" a získejte chybu automatického oddílu:
Klikněte na "Ano" a zvolte "Vytvořit si vlastní oddíl"
Vzhledem k tomu, že tento "dosovsky fdisk" neuvádí, jak moc zaneprázdněný a svobodný, takže jsem omylem smazat cokoliv, rozhodl jsem se zobrazit sekce v jiném operačním systému a stisknuto restartování (alt + ctrl + del si pamatuji z MSSO).
Počítač je prostě zavěšen na těchto slovech, ale reaguje na kapsloku. Čekáme na dalších 15 minut a stačí kliknout na tlačítko Obnovit. Vložíme další operační systém, jsme přesvědčeni o správnosti volby volného oddílu, pokračujeme v instalaci a reagujeme na krok značení disku. Výběr souborových systémů zde není bohatý, pouze Ext2, EXT3 a VFAT (který není namontován na obrazovce).
Nechme všechno ve výchozím nastavení, to znamená, že budeme používat grub:
Stačí stisknout ENTER.
Dále jsme požádáni o vytvoření hesla změnit parametry načítání grub
musel jsem zadat dlouhé heslo
Nyní pokračujte na instalaci zavaděče. Nainstalován na notebooku nejnovější verze Debiana a Ubunti, ale instalační program je nenašel. Výsledkem je, že po instalaci MSVA, nabídka pro výběr operačního systému zmizí a budete muset obnovit grub přes livecd.
Posuvník seznamu operačních systémů na samém dně, jako by to řekl, že něco jiného je. Snažil jsem se ho přesunout stisknutím klávesy Ctrl, Ctrl + Tab a dalších klíčových kombinací. Ale posuvník v jaké pozici bylo v tomto a zůstal:
Klepněte na tlačítko Ano a pokračujte v instalaci:
Vyberte, kam nainstalovat zavaděč. Nastavil jsem downloader do hlavního spouštěcího záznamu MBR, to je, On / Dev / SDA, ale pro nedávné uživatele systému Windows je to obtížná otázka. Nebo všechny vojenské Rusové vědí Unixes?
Další je nastavení sítě.
Nemáme žádné síťové připojení, zvolte "Ne" a klepněte na tlačítko Enter
otevřené okno s požadavkem na zadání doplňkové možnosti Nastavení sítě:
Jak vidíte, tlačítka "Zrušit" a "Ne" nejsou nutná, ne. Existuje pouze "ano" a "Zpět". Bylo by logické, pokud jsme systém instalovali přes síť, ale máme DVD s kompletní sadou programů. Klepněte na tlačítko Enter.
Opustili jste prázdné pole "Gateway". V závislosti na síťovém prostředí mohou být v budoucnu problémy
klepnutím pokračujte a znovu požádejte nás, abyste zadali další parametry sítě. Obecně se vrátíme do prvního okna nastavení sítě a určete, že musíte konfigurovat síťové rozhraníI když to nemáme.
Žádají, aby zadali název sítě. Vyberte "ručně" a vymyslete název sítě
Vyberte časové pásmo:
Vyberte uživatelské heslo uživatele root (ne méně než šest znaků):
Vyberte seznam balíčků pro instalaci. Vybral jsem si všechno
Další závislost je zapnutá, po které okno otevřelo adresu instalace:
Proces instalace:
Nerozumím, jsou tyto problémy s fonty nebo s kódováním?
Instalace přichází až 100% a instalační program je šťastně vítá o dokončení instalace, požádá o vypnutí vyměnitelné média a stiskněte tlačítko ENTER pro restartování. Stiskněte ENTER a počítač jednoduše visí jako naposledy.
Stiskněte tlačítko napájení, počkejte několik minut a oh, hrůza, všechno je v angličtině. Nebo je to takový ruský jazyk v ruské armádě?
Kde jsou naše Debian a Ubunta? Existuje pouze jeden MSV. Ale nic strašného, \u200b\u200bmůže být opraveno přeinstalacím grub nakladače přes livecd.
Stačí stisknout klávesu Enter ke stažení
Systém je hloupý 15 sekund a ukazuje chyby: paměť pro havárium jádra (0x0 až 0x0), která není přípustná; Nelze dotazovat akaptický hardware (nemohu rozhovor s touchpadem)
a i nadále stahuje, otevře se menu nastavení během procesu stahování.
Stačí zvolit "výstup" a klepněte na tlačítko Enter. Po 10 sekundách se tato obrazovka otevře, kde na plánu není jediný náznak. Zadáme přihlašovací jméno a heslo a systém je připraven k práci:
Mimochodem, věnujte pozornost, jádro je instalováno 2.6.18. Toto jádro vyšel, pět let dříve než MSVS 5.0. Ano, za pět let bylo možné vybudovat celá průmyslová odvětví, stejně jako ve Stalin pětiletých talířech, ale téměř 10 let uplynulo! V té vzdáleném času jsem se začal mít zájem o Linux. I když mohou pět let strávit bezpečnostní audit kodexu.
Dobře, zkuste použít to, co je.
Snažíme se spustit grafiku. V Nixes Chcete-li spustit grafiku, obvykle musíte zadat startX, zadejte startX:
#startx.
a získat chyby:
Zde jsem speciálně otevřel chybový protokol /var/log/xorg.0.log tak, aby bylo jasné, co se děje: Systém nemůže stáhnout standard FBDEV a VESA ovladače.
Musíme pouze restartovat systém a vrátit se do pracovního operačního operačního systému, zadejte restart a znovu se zmrazíte při restartování:
Snažíme se instalovat přes virtualbox:
Zadáváme také přihlašovací kořen, heslo a startX
VNIINS z bezpečnostních důvodů samozřejmě nedoporučuje spouštět dutin správce. A proč se pak po prvním spuštění nebo v samotném montáži nebylo navrženo pro bezpečnostní účely vytvořit jednoduché uživatele, stejně jako v mnoha dalších distribucích?
O_O, ukazuje se, že funguje.
Pracovní stůl MSVS 5.0
Takže, to vidíme - krásná lehká desktop, simulace stará okna a kd. Ale je to jen zdobený dezertní desktop
Správce souborů, vydaný před 11 lety, je velmi podobný oříznutému Konquerror
V systému TRE, indikátor času s kalendářem, spínačem rozložení klávesnice a indikátor úrovně dostupnosti (ale to je spíše z vývojářů MSVS).
Nastavení MSVS 5.0.
V Linuxu nejsou některé programy (například Chromium) spuštěny od uživatele root, na toto nejprve vytvoříme nový uživatel a přejdeme do systému přes něj:Start - Nastavení - ELK Ovládací panel, Správa uživatelů - Přidat nový uživatel:
Heslo musí mít nejméně 8 znaků!
Atributy bezpečnosti jsou působivé, ale nedotýkáme se jich:
Uživatel byl úspěšně vytvořen. Necháme relaci a dostaneme přímo do kořenového účtu, kde nás banda chyby vítá:
Z tohoto účtu opustíme stisknutím kláves Ctrl + D, přihlaste se novým uživatelem a spusťte StartX. Ikers začal, ale myši se pohybuje a kombinace klávesnice nereagují. Restart virtuální stroj To nepomohlo, dutiny na tomto účtu také nefungují. Budete muset pracovat z kořene, což je bezpečnostní porucha.
Rozlišení obrazovky od US 800x600, zkuste to změnit. Přejděte na "Ovládací panely" a vyberte ikonu "Monitor". Okno se otevře se zprávou, že nemáme soubor xorg.conf a že obrazovka bude tmavá během jeho vytvoření. Vytvořit to nebo ne?
Klikněte na "Ano"
Chyba inicializace konfigurace:
Poté se otevře okno s nastavením monitoru. Snažíme se něco změnit, ale žádná reakce. Je pozoruhodné, že toto okno zobrazuje příklad obrazovky systému Windows 95. A když stisknete tlačítka "Ano" a "Zrušit" a "Zrušit" tlačítka, okno se nezavírá a nic se nestane. Zavřít okno lze stisknout pouze na kříž.
V menu "Systém" je položka "Oprávnění spínání". Vybereme si to a nabízíme program v TRE s pouze dvěma body: 800x600 a 640x480 a frekvence 60Hz. Ale ve svobodném operačním systému bych to mohl dát nahoru a dokonce změnit frekvenci. Proto závěr, který v softwaru ISWS plánuje horší než v DOS!
Díváme se na informace o vybavení:
Po kliknutí na tlačítko "OK" se toto okno otevře:
MSVS 5.0 Programy
Je zajímavé, že když přeložíme ukazatel myši z programů EDE v KDE, změní se barva ukazatele myši.Je to proto, že Desktop HSS je směsí stolních počítačů EDE a KDE.
Síť. Celkem deset programů v této kategorii, včetně ELK pozorovatele, IRC, Wireshark, GFTP, poštovní monitor, síťový monitor a správu PPP Setup a Správa síťového zařízení.
Správa síťových zařízení
Poštovní klient nespustí:
Prohlížeč bloku prohlížeče ELK je přesná kopie prohlížeče Aurora. Vidíte, přejmenovali si to, aby Elk, ale zapomněli změnit logo:
Prohlížeč ELK:
Utility
V nástroji, stejně jako 4 terminál: Elk-terminál, X-terminál, konzole a terminál v režimu superuser. Víte, proč je z nich tolik? Protože Desktop WSA je směs EDE s KDE. Dokonce obývají, aby odstranili zbytečné nástroje, vše, co selhalo, takže odešli.
Z tohoto důvodu existuje mnoho programů ze dvou různých desktopů, ale se stejnými funkcemi. To platí zejména pro zobrazení obrázků, dokumentů (PDF, DJVU atd.) A textových editorů.
Text Emacs textový editor v MSVS:
Vědecký. V Scientific, pouze kalkulačka KDE, která byla vydána v roce 2005:
Grafika. V této sekci všechny programy z verze KDE + XSANE 2007.
Hry. Ve hrách, soubor her z KDE, mezi kterou jsou vojenské hry SAPPER a padáky:
Multimédia. Jednoduchý mediální přehrávač, audio přehrávač, K3B (položka CD / DVD), regulátor zvuku a záznam zvuku.
Chcete-li zkontrolovat zvuk, musíte si stáhnout nějaký film do virtuálního systému. Zvuk a video nefungují vůbec. Dal jsem nastavení virtualBoxu alsa, OSS, SoundBlaster16 - nic nefunguje. Snažil jsem se OGV, OGG, MP4 - v některých případech vyžaduje instalaci kodeků, v jiných - zobrazuje chybu:
Zkusme nainstalovat ffmpeg:
Otevřít Start - Elk Ovládací panel - Správce programů
před zahájením několika sekund se kontrolují seznamy paketů.
pokusme se najít FFMPEG.
To je takový ruský jazyk v ruské armádě!
fFMPEG byl v seznamu instalovaných balíčků. A hledání OSS a ALSA (zvukové systémy) nedalo vůbec žádné výsledky. Žádosti o kancelář a Firefox také nedávaly žádné výsledky.
k3B při spuštění dává chybu, že selže nenajde typu MIME. Musíte stisknout 10krát OK a pak se spustí:
Vypnutí systému:
Výstup ...
1. Na moderním vybavení nepracuje ISWS
2. Jádro systému jako celý software vydaný před 11 lety, resp moderní vybavení Není podporováno
3. Rozlišení obrazovky je nastaveno na 800x600 a nemění se
4. Video systém pracuje pouze v emulátoru, ale zobrazuje chyby po dokončení práce.
5. Zvuk nefunguje vůbec
6. Grafika funguje pouze uživatelem kořene, což je bezpečnostní porucha
7. Výchozí příkazy vypnutí a restartování jsou k dispozici pouze prostřednictvím konzoly a pracují pouze v emulátoru.
Obecné závěry.
MSVS5.0 - RedHAT Enterprice Linux5.0 (2007) Zkopírováno v roce 2011 (2007), funguje nesprávně na počítačích vydaných v roce 2011. Ano, v ruské armádě, je obecně patrné pro hluboké staré starožitné, například, křižník "Admiral Kuznetsov" s jeho odrazovým vzorem místo katapultu, protože je letadlo nuceno létat s neúplnou municí a někdy Padejte do vody, když sejdou pro letadla a instalaci palivového oleje, potřebuje tankování během túra ...
Jistě alespoň některé z našich čtenářů přemýšleli o tom, který operační systém se používá v našich ozbrojených silách. Koneckonců, všichni chápeme, že to nemůže být na nějakém raketovém komplexu, který je v bojové povinnosti, stojan Windows. Dnes minimalizujeme zácň tajemství a řekněte o OS ISA. To je tzv. Mobilní systém Rozsah aplikace mluví svým názvem, ale o tom, jak to je obecně, řekneme.
Prerekvizity pro tvorbu
Poprvé byla bezpečnostní kritéria pro počítačové systémy formulovány v pozdních 60. letech minulého století. V polovině 80. let, v USA byly všechny tyto vývoj shromážděny v jednom dokumentu. Takže "oranžová kniha" Ministerstva obrany se narodil - první standard bezpečnosti počítačových systémů. Následující tyto dokumenty se objevily v evropských zemích a Kanadě. V roce 2005 byla připravena mezinárodní bezpečnostní norma ISO / IEC 15408 "Obecná ochranná kritéria".
V Rusku byly podobné studie prováděny ve 22. centrálním výzkumném ústavu Ministerstva obrany. Konečný výsledek vývoje byl příjem v roce 2002 OS ISA v ozbrojených silách Ruské federace. Verze státní normy založené na požadavcích ISO / IEC byla přijata v roce 2008.
Proč vojenský důstojník
Operační systémy, které používáme denně, nejsou vhodné pro použití ve státních skladovacích zařízeních. Gostekomissia pod prezidentem Ruské federace je formuloval následovně:
- Informace musí být chráněny před neoprávněným přístupem, a to jak zevnitř i vně.
- Systém by neměl obsahovat nedokumentované možnosti, jinými slovy, v kódu OS by neměly být "velikonoční vajíčka".
Kromě toho musí mít chráněný operační systém mít víceúrovňovou hierarchickou přístupovou strukturu a mají oddělené administrační funkce.
Úkolem vytváření specializovaného uzavřeného OS není tak jednoduchý, jak se zdá být na první pohled. Nepřítomnost nedokumentovaných schopností předpokládá, že zdrojový kód a technický popis všech pracovních postupů bude důkladně studován na certifikačním centru. A to je oblast komerčních tajemství vlastníků nebo duševní vlastnictví vývojáři. Takový paradox vás činí očima k otevřeným operačním systému, protože je téměř nemožné získat úplnou technickou dokumentaci pro proprietární software.
Požadavky GOST R.
Společnost FSTC, jako služba odpovědná za bezpečnost informací v rozsahu země, je stanovena oddělením OS podle stupně ochrany zpracovaných informací. Pro pohodlí jsou všechna data snížena na jednu tabulku.
Z tabulky je vidět, že pro řadu požadavků jsou z neoprávněného přístupu stanoveny tři skupiny a devět bezpečnostních tříd z neoprávněného přístupu a na nich je další oddělení přiznat různé druhy důvěrných informací.
V srdci Linuxu
Co je tak výhodné pro Linux, co bude rád, že bude sloužit ve státním aparátu? Koneckonců, z větší části se z toho bojí jednoduché uživatele, stejně jako vlastnosti Ladan. Pojďme to přijít. Chcete-li začít, věnujte pozornost licenci, pod kterou "Linux" je distribuován. Jedná se o tzv. GPL2 - univerzální veřejnost nebo zdarma, licence. Každý, kdo může získat zdrojový kód a na základě něj vytvořit svůj vlastní produkt. Jinými slovy, nikdo netvrdí, aby přijali nejlepší distribuce Linuxu a používat je při vývoji vlastního chráněného OS.
Světová pracovní zkušenost veřejné instituce Ukazuje, že přechod na svobodný software se vyskytuje všude, myšlenka je v poptávce a zcela odůvodňuje. Vedoucí země světa, jako jsou Spojené státy, Německo, Japonsko a rychle se blíží Čínu a Indii, aktivně používají Linux v gosféře a vzdělávání.
ISWS a její obsah
Mobilní systém verze 3.0 pracoval v jednotkách deseti let, dokonalejší produkt ho nahradí, a my můžeme klidně podívat na "kapuce" veterán. Jedná se o síťový operační systém pracující v multiplayeru pomocí grafického uživatelského rozhraní. Podporuje hardwarové platformy:
- Intel.
- IBM System / 390.
SPAPC / "Elbrus".
Je založen na nejlepších distribucích Linuxu k dispozici v té době. Mnoho systémových modulů bylo vypůjčeno z RedHAT Linuxu a rekompilovat s přihlédnutím k požadavkům ministerstva obrany. Jinými slovy, systém mobilní ozbrojené síly je RPM-distribuce Linux se všemi souvisejícími aplikacemi a vývojovými nástroji.
Podpora souborového systému je na počátku úrovně století, ale protože nejběžnější z nich pak existoval, tento ukazatel není kritický.
Verze MSVS.
Navzdory skutečnosti, že se jedná o síťový operační systém, nemá softwarové úložiště známé jakémukoli linuxoidu. Veškerý software je dodáván na instalaci CD. Veškerý program, který je používán v tomto systému, je předurčeno na Ministerstvu obrany. A protože tento postup není zdaleka rychle, pro vše a půl tuctu let práce, byl vydán omezený počet verzí a změn v nich.
Vývojářem ISMS je celo-ruský výzkumný ústav automatizace managementu v imochementické sféře. Na jeho oficiální stránce naleznete data o verzích MSV, které jsou v současné době podporovány a mají nezbytné bezpečnostní certifikáty od Ministerstva obrany.
Mobilní systém ozbrojených sil pro rok 2017 je reprezentován dvěma podporovanými sestavami:
- OS MSVS 3.0 Flir 80001-12 (Změna č. 6).
OS MSVS 3.0 Flir 80001-12 (Změna č. 4).
Verze 5.0, která se nachází na webových stránkách VNIINS, má bezpečnostní certifikát MO, ale oficiálně pro dodávání vojáků nebyl přijat.
Premier MSVS.
Další chráněný OS, který byl prezentován jako náhrada desetiletých MSV, byl Astra Linux. Na rozdíl od předchůdce, bezpečnostní certifikát pouze od Ministerstva obrany, Astra obdrželo všechny možné certifikáty v Rusku, a to jsou dokumenty z MO, FSB a FREC. Vzhledem k tomu může být použit v jakýchkoli vládních agenturách a přítomnost několika verzí přizpůsobených různým hardwarovým platforem je ještě více rozšiřující rozsah jeho použití. V důsledku toho může kombinovat všechna zařízení pod jeho kontrolou - z mobilu do stacionárního serveru.
Astra Linux je moderní linuxová distribuce založená na paketech DEB, používá čerstvou verzi jádra a aktuální software. Seznam podporovaných procesorů a jejich architektur je také rozšířen a zahrnuje moderní vzorky. Seznam oficiálně publikovaných verzí vám umožní doufat v úspěchu tohoto úspěchu. softwarový produkt Přinejmenším v gosféře a obraně.
Konečně
V tomto materiálu jsme hovořili o systému ICA - hlavním operačním systémem ozbrojených sil Ruské federace, věrně sloužil "v hodnosti" 15 let a stále ještě na "boji". Kromě toho byla stručně charakterizována. Možná někdo z našich čtenářů bude tlačit, aby zjistil, co Linux je, a učinit nestranný názor na produkt.
Jak zjistit, zda je operační systém podporován zařízením tohoto počítače?
Jaké možnosti instalace poskytuje oss 3.0 OS?
Jaké síťové protokoly podporují instalační program?
V jakých případech je nutné vytvořit spouštěcí diskety?
Seznam hlavních kroků instalace?
Jaký bootloader se používá k naložení jádra OS?
Seznam hlavních fází zatížení jádra?
Co je lilo a lilo.conf?
Jak odstranit LILO a obnovit zdrojový nakladač?
Jaký je mechanismus modulů jádra?
V jakých případech je nutné použít disk RAM?
Jak nakonfigurovat použití disku RAM při načítání?
Jaké se liší spouštěcí diskety, bootnet a ovladače? Jak je vytvořit? Jak je zkontrolovat?
Co je softwarový balíček, závislosti paketů?
Jaké jsou možnosti manažerů balíčků?
Jaký správce balíčků slouží ke správě softwaru?
Jak nainstalovat balíček z disku CD v síti?
Instalační OS MSV 3.0
Hlavní fáze instalace
Instalace z disku CD obsahuje následující kroky:
pozvánka na instalaci a připomínku dokumentace;
výběr manipulátoru myšího;
rozdělovací disk do sekcí;
ladění;
konfigurace sítě;
instalace názvu počítače;
volba časového pásma;
výběr komplexů pro instalaci;
instalace balíčků;
instalace hesla uživatele root;
vytváření spouštěcích disket;
nastavení grafické karty a monitoru;
Při instalaci přes síť pomocí serveru musíte vytvořit několik dalších předvoleb:
výroba sady disket pro stahování počítače a organizování přístupu k síti na server;
výběr možnosti instalace sítě;
nastavení sítě a přístup k síti k serveru.
Instalace z CD
Před zahájením instalace musíte nakonfigurovat BIOS počítače tak, že první v seznamu zařízení načítání je CD, a vložte disk CD s zaváděcím modulem ISWS 3.0 do jednotky CD-ROM.
Pokud BIOS nepodporuje spouštění z disku CD, musíte navíc vložit spouštěcí disketu a nakonfigurovat BIOS počítače tak, že první v seznamu zařízení načítání je disketa. Moderní počítače mají tendenci podporovat zavádění z disku CD, takže potřeba spouštěcí diskety může dojít pouze při instalaci ISP 3.0 na "starý" počítač.
Pak byste měli restartovat počítač. Na obrazovce monitoru se zobrazí pozvání:
Ve formátu této pozvánky je možné přenášet další nastavení instalačního programu. Například tým:
bOOT: MCBC MEM \u003d 128m
zprávy o instalačním programu, že částka paměti RAM tohoto počítače je 128 MB.
Chcete-li zahájit načítání instalačního programu, musíte stisknout klávesu. Načtení jádra MSA 3.0, následované diagnostickými zprávami, pak spustí instalační program, který automaticky načte ovladače disku CD a ovladače pevného disku v počítači a podporovány pomocí ASS 3.0.
Pokud inicializace skončila chybou, znamená to, že pro tento typ jednotky CD nebo pevný disk Musíte nahrát další ovladač. Instalační program nabídne seznam ovladačů, ve kterých chcete vybrat příslušný ovladač, a klepněte na tlačítko "Ano".
Pokud bylo stahování provedeno ze spouštěcí diskety, po spuštění instalačního programu se zobrazí dialogové okno Diok Disk ovladače indikuje disketu ovladače s ovladači řídit. Současně musí být spouštěcí disketa odstraněna a vložena diskety ovladače.
Po stažení požadovaných ovladačů se na obrazovce monitoru zobrazí pozvánka (obr. 9-1).
1.1.41. Manipulátor myši
Následující po pozvání OS 3.0 se zobrazí dialogové okno "Výběr myši" (obr. 9-2).Vyberte typ "myši", například "normální myš PS / 2" a pokud má "myš" dvě tlačítka, můžete použít emulaci třínásobného režimu. Chcete-li to provést, musíte povolit emulaci třetího tlačítka a klepněte na tlačítko "Ano".
1.1.42. Odpojení pevného disku na sekce
Zobrazí se dialogové okno "Rozhodnutí" (Obr. 9-3) a bude zvolen výběr nástrojů oddílu pevného disku: "Automatické rozdělení", disk DRUID nebo FDISK.Ve většině případů se rozdělení pevných disků, diskových polí, svazky LVM dochází v programu Disk DRUID. Kromě toho je režim "automatického oddílu" zvláštním případem práce s diskem DRUID s automatickým výpočtem proporcí místa na disku podle reálného instalovaný vybavení. V případě potřeby musí pracovat s nízkou úrovní s pevným diskem používat nástroj FDISK.
Vyberte Disk DRUID a stiskněte klávesu.
V dialogovém okně "Prolomening" se zobrazí (obr. 9-4), zobrazí se seznam dostupných disků a existujících sekcí.
Také v tomto okně jsou tlačítka pro práci s sekcemi: "Nová", "Edit", "Smazat", "RAID", "Ano", "Zpět".
V dolní lince jsou uvedeny rady pro použití klávesových zkratek: "F1-Help, F2-New, F3-Edit, F4-Delete, F5-Reset, F12-Ano."
V obecném případě je MSVS 3.0 nainstalován v počítači s čistým pevným diskem. V tomto případě se můžete vypořádat s nebo pomocí programu Disk DRUID nebo výběrem automatického oddílu.
Pro úspěšnou instalaci Ass 3.0 stačí vytvořit dva oddíly: kořenová sekce "/" a odkládací sekci (swap). Velikost kořenové sekce by měla být nejméně 1200 MB.
Katalogy / boot, / Home, / Var, / TMP a další mohou být vyřazeny na samostatných sekcích. To vám umožní izolovat například domácí uživatelské adresáře z kořenového systému.
POZORNOST. V Ass 3.0 nelze umístit na samostatný seznam sekce / usr!
Chcete-li, aby adresář do samostatné sekce, musíte vytvořit sekci Systém "EXT3" a přiřadit jej montážní bod odpovídající názvu katalogu.
Chcete-li vytvořit sekci, vyberte tlačítko Nový a stiskněte klávesu. V dialogovém okně "Přidat sekci" (upravit novou část) (obr. 9-5):
vyberte typ systému souborů (pro odkládací sekci - "Swap", v jiných případech - "ext3").
velikost sekce v megabajtech (v případě potřeby můžete "protáhnout" oddíl na celý disk);
montážní bod, pro kořenovou sekci - to je "/" pro odkládací sekci, není nutný bod nastavení.
Po dokončení práce na vytvoření oddílech v okně "Break" klepněte na tlačítko "Ano".
Na obrazovce monitoru se zobrazí dialogové okno Uložit změny.
Stiskněte tlačítko "Ano".
Dalším krokem je formát vytvořené sekce. Na obrazovce MNIT se zobrazí dialogové okno s názvem "Pozor!". a seznam oddílů, které budou formátovány, když je stisknuto tlačítko "Ano" (obr. 9-6).
1.1.43. Možnost zavaděče
Na obrazovce se zobrazí dialogové okno Konfigurace "loader" (obr. 9-7). V tomto okně musíte vybrat možnost instalace pomocí nebo bez zavaděče. Bootloader umožňuje mít několik možností pro jeho spuštění v systému nebo vybere načtené operační systém (je-li více než jeden). V režimu bez nakladače bude jádro ISP 3.0 monopulovaně zatížení v tomto systému.
Stiskněte tlačítko "Ano".
Dále se na obrazovce zobrazí dialogové okno (Obrázek 9-8) s návrhem pro zadání dalších parametrů, které budou použity při načítání. Ve výchozím nastavení je režim LBA32 nainstalován v tomto okně (pomocí 32bitových logických adres bloků pevného disku), protože tento režim ve většině případů je nutný pro podporu velkého kontejnerového disku.
Pokud máte v poli pro zadání parametrů IDE ide, instalační program umístí řetězec typu "HDC \u003d IDE-SCSI" (například, pokud je jednotka připojena v hlavním režimu na druhý ovladač IDE ).
Pokud žádné jiné parametry nemusí vysílat žádné další parametry, doporučuje se, aby nezměnil parametry navržené instalačním programem a klepněte na tlačítko "Ano".
Následující postup v nastavení bootloaderu je přístup k úloze hesla přístup ke změně počátečních parametrů systému. Vzhledem k tomu, že pokud existuje zavaděč, je možné při spuštění systému přenášet specializované parametry jádra z klávesnice, abyste zajistili nezbytnou úroveň zabezpečení, tato funkce je chráněna heslem. V následujícím dialogovém okně (obr. 9-9) zadejte heslo, jejichž velikost by neměla být menší než 8 znaků. Potvrďte heslo opakovaným zavedením další řádek okno.
Stiskněte tlačítko "Ano".
Na obrazovce se zobrazí dialogové okno pro výběr dialogového okna (obr. 9-10), s návrhem určete druhý boot Sekcekteré lze stáhnout pomocí bootloaderu ASWS 3.0. Pokud je například v počítači další operační systém, můžete k němu přiřadit štítek a nahrát pomocí nástroje ASS 3.0 OS Bootloader.
Zadejte potřebná data do příslušných řádků a klepněte na tlačítko Ano.
V dalším okně (obr. 9-11) je umístění zavaděče nastaveno na disk. Dvě možnosti jsou možné: hlavní spouštěcí záznam (MBR) pevného disku (doporučeno ve většině případů) nebo spouštěcí sektor (spouštěcí záznam) odpovídajícího oddílu, kde je instalace provedena.
Vyberte a stiskněte tlačítko "Ano".
1.1.44. Síťová síť
V případě detekce instalačního programu alespoň jedna síťová karta se na obrazovce zobrazí sekvence "Nastavení sítě pro Ethx" dialogového okna (obr. 9-12), kde X je číslo sekvence, ve kterém jsou parametry nakonfigurovány pro každou síťovou kartu.
Nastavení automatického nastavení nastavení sítě BOOTP a DHCP se používají, pokud existuje speciální server v síti, která poskytuje automatickou konfigurační službu na vyžádání klientského počítače.
Pokud chybí server DHCP, musíte explicitně nainstalovat parametry sítě, pro které vyberte "Aktivovat při spouštění". Po tom bude několik řádků zvýrazněno v okně, ve kterém musí být zadány parametry síťového připojení.
Síťové adresy jsou uvedeny ve formátu dekádního bodu (například 192.168.1.1). Informace o plnění pole musí být poskytnuta správcem sítě.
Síťová adresa - adresa IP počítače v síti.
Síťová maska \u200b\u200bje parametr charakterizující třídu síťového segmentu.
Výchozí brána je uzel, který slouží komunikaci této lokální síti s externími síťovými segmenty.
Primární název Server - uzel, který podporuje službu rozlišení doménové jméno prostřednictvím protokolu DNS v adresách IP. V příslušných polích zadejte adresy IP přídavných jmenných serverů (DNS). Pokud je v síti používán jeden název serveru, tato pole mohou být ponechána prázdná.
Stiskněte tlačítko "Ano".
|
|
| Obr. 9-13. Instalace názvu počítače. |
|
|
| Obr. 9-14. Volba časového pásma. |
Poté musíte nastavit název počítače. Na obrazovce se zobrazí následující dialogové okno "Instalovat název počítače" (obr. 9-13), ve kterém by mělo být vyplněno odpovídající pole. Název musí být také koordinován se správcem sítě.
Stiskněte tlačítko "Ano".
1.1.45. Výběr hodinového pásu
Na obrazovce se zobrazí následující dialogové okno pro výběr časové zóny, které používají nastavení systému. V Ass 3.0 se odpočítávání provádí v místním režimu, tj. Systémové hardwarové hodiny určitě určuje svůj čas bez přídavné konverze vzhledem k různým bodům odpočítávání typu UTC.
V okně byste měli zvolit nejvíce vhodné pro umístění časového pásu počítače, což znamená rozdíl časového pásu vzhledem k "nulový" pás - Evropa / Moskva (obr. 9-14).
Stiskněte tlačítko "Ano".
1.1.46. Výběr a instalace balíčků
Na obrazovce se zobrazí dialogové okno "Select Complex" (obr. 9-15).
V tomto dialogovém okně můžete zvolit následující komplexy:
Základní konfigurace OS;
Subsystém grafického rozhraní;
Vývojové nástroje.
Vyžaduje se výběr skupiny "Základní konfigurace OS", obsahuje všechny potřebné komponenty pro provoz ASS 3.0 OS v základní verzi (bez další prostředky).
Režim instalace "Všechny (včetně volitelných)" se rozumí instalace všech distribučních balíčků, včetně úprav jádrů OS, nespecifických pro tento počítač a sadu paketů potřebných pro výrobu spouštěcího disku ISWS 3.0.
Podrobnější výběr balíčků (možná ušetřit místo na disku obsazené OS), je nutné poznamenat možnost "Individuální výběr balíčků" a klepněte na tlačítko "Ano". Okno "Vybrat balíček" (obr. 9-16) se zobrazí se seznamem skupin balíčků a paketů.
Skupina může být složena / nasazena, pokud k němu podsvícení podsvícení a stiskněte klávesu. Chcete-li získat informace o balíčku, musíte k němu přivést linku podsvícení a stiskněte klávesu. Zapnutí / vypnutí pakety do seznamu pro instalaci se provádí stisknutím tlačítka.
Po dokončení výběru balíčků klepněte na tlačítko "Ano".
Pokud byl vybrán individuální seznam balíčků pro instalaci, může dojít k situaci, pokud se objeví závislosti na nedetice. To znamená, že ve vybraném seznamu jsou balíčky, což vyžaduje další balíčky z bootového disku ISWS 3.0, které nebyly označeny. Rozlišení závislostí paketů bude automaticky vyráběno instalačním programem.
Po dokončení výběru balíčku se na obrazovce zobrazí dialogové okno Start Setup. Toto okno bude obsahovat informace o souboru / kořenovém / protokolu, který instalační program po dokončení práce uloží seznam nainstalovaných balíčků.
Skutečný dělení disku a instalace balíčků se spustí pouze po stisknutí tlačítka "Ano" v okně "Start Instalace". Pokud je to nutné, až do tohoto bodu můžete stále přerušit proces instalace restartováním počítače. V tomto případě zůstanou všechny údaje o pevných discích beze změny.
Chcete-li zahájit instalaci balíčků, klepněte na tlačítko "Ano".
Na obrazovce se zobrazí okno "Instalovat balíček" (obr. 9-17).
V této fázi můžete dodržovat proces instalace vybraných balíčků, který se automaticky vyrábí. Stručný popis je zobrazen pro každý balíček a zobrazí se statistické informace o procesu instalace aktuálního balíčku a všech balíčků dohromady.
1.1.47. Instalace hesla superuživatele
Na obrazovce se zobrazí dialogové okno Heslo uživatele root uživatele (obr. 9-18). Nastavte heslo do řádku "Heslo" a potvrďte jeho položku v řádku "Potvrdit heslo" (omezení pro zobrazení a velikost hesla jsou určena bezpečnostními požadavky systému; Ve výchozím nastavení je velikost hesla alespoň osm postavy). Když zadáte heslo z klávesnice, z bezpečnostních důvodů, namísto vstupních znaků se zobrazí hvězdičky. Stiskněte tlačítko "Ano".
1.1.48. Tvorba spouštěcích disket
Na obrazovce se zobrazí následující dialogové okno "Sada spouštěcích disket" (obr. 9-19). Sada spouštěcí disketu může být vyžadována, pokud poškodíte spouštěcí záznam pevného disku.
Chcete-li vytvořit spouštěcí diskety, stiskněte tlačítko "Ano". Dále postupujte podle pokynů nabízených v dialogových oknech.
Pokud není nutné vytvoření spouštěcí sady, klepněte na tlačítko "Ne". V budoucnu můžete vytvořit spouštěcí disk pomocí grafického nástroje nebo příkazu Mkbootdisk.
1.1.49. Zvýšené grafické karty a monitorování
V dalším kroku musíte nakonfigurovat grafický systém. Chcete-li to provést, v dialogových oknech, podle pokynů zadejte informace o grafické kartě a monitoru.
Pokud instalační program automaticky určí typ grafické karty, zobrazí se informace o něm (obr. 9-20).
 |
| Obr. 9-19. Vytváření spouštěcí disket. |
|
|
| Obr. 9-20. Vyberte grafickou kartu. |
V opačném případě se zobrazí dialogové okno "Vybrat mapu". Vyberte IT Type ze seznamu. Pokud seznam nemá požadovanou grafickou kartu, vyberte "nespecifikovanou kartu".
V okně výběru serveru vyberte Server X, který je schopen pracovat jako existující grafická karta.
Poté se zobrazí dialogové okno Sledování monitoru (obr. 9-21). Pokud instalační program automaticky nezjistí typ monitoru, vyberte v seznamu změn příslušný monitor.
V případě potřeby můžete určit parametry ručního monitoru. Chcete-li to provést, vyberte typ "Ostatní" položka v seznamu a nastavte provozní frekvenci obrazu vertikální a horizontální (60 ~ 100 Hz).
Stiskněte tlačítko "Ano".
Po výběru monitoru se na obrazovce zobrazí okno "Advanced" (obr. 9-22). Vyberte požadovanou barevnou hloubku a rozlišení monitoru v okně. Kromě toho, v tomto okně můžete vybrat přihlašovací režim na systém "Graphic" (doporučeno) nebo "Text". Pokud vyberete grafické přihlášení do systému, bude systém grafického rozhraní spuštěn ve výchozím nastavení. Vyberte a stiskněte tlačítko "Ano".
Po nastavení grafického systému se zobrazí zpráva "Instalace dokončená" (obr. 9-23) se zprávou "Gratulujeme, instalace ISWS 3.0 je dokončeno."
Stiskněte tlačítko "Ano" pro restartování. Počítač se začne restartovat. Během restartu se zásobník s CD automaticky vrátí. Vyjměte disk ze zásobníku.
 |
| Obr. 9-23. Instalace dokončena. |
|
|
| Obr. 9-24. Metoda instalace |
