Selles peatükis käsitletakse järgmisi küsimusi:
Kasutajad;
Erinevused privilegeeritud ja hüvata kasutajate vahel;
Sisselogimisfailid;
Fail / etc / passwd;
Fail / etc / Shadow;
Fail / etc / gshadow;
Faili /etc/login.defs;
Teabe muutmine parooli vananemise kohta;
MSA ohutuse alus on kasutajate ja rühmade mõiste. Kõik otsused selle kohta, mis on lubatud või ei ole lubatud kasutada kasutajale, kes kasutavad kasutaja poolt operatsioonisüsteemi kerneli seisukohast süsteemi sisestanud.
Üldine vaade kasutajatele
MSVS on multitegumtöötlus mitme mängijaga süsteem. Operatsioonisüsteemi ülesanded hõlmavad kasutajate isoleerimist ja kaitset üksteisest. Süsteem jälgib iga kasutajat ja põhineb WHO See kasutaja, määrab kindlaks, kas see on võimalik pakkuda talle juurdepääsu konkreetsele failile või võimaldada programmi või teise käivitamist.
Uue kasutaja loomisel pannakse ta kooskõlas unikaalse nimega
MÄRGE
Süsteem määrab kasutaja privileegide alusel, mis põhinevad kasutaja ID-l (kasutajaid, UID). Erinevalt kasutajanimest ei pruugi UID-d olla unikaalsed, millisel juhul võetakse esimene leitud nimi kasutaja nime järgi, mille UID, mis langeb kokku andmetega.
Igas süsteemis salvestatud uus registreeritud kasutaja on vastavalt süsteemi teatud elementide järgimine.
Privilegeeritud ja püsija kasutajad
Uue kasutaja lisamisel süsteemile on esile kutsutud erinumber kasutaja identifikaator (UserID, UID). Caldera MSVA-s algab identifikaatorite eraldamine uutele kasutajatele 500-ga ja jätkub suurte arvu suunas kuni 65 534. Numbrid kuni 500 on reserveeritud süsteemi kontodele.
Üldiselt ei erine väiksemad kui 500 numbritega identifikaatorid teistest identifikaatoritest. Sageli nõuab tavapärase toimimise programm spetsiaalset kasutajat täieliku juurdepääsuga kõigile failidele.
Identifitseerivate numeratsioon algab 0-ga ja jätkuvalt 65 535. UID 0 on spetsiaalne UID. Iga nulli identifikaatori protsess või kasutaja on privilegeeritud. Selline isik või protsessil on süsteemi piiramatu võimsus. Miski ei saa olla keeld. Root-konto (konto, UID, mis on 0), mida nimetatakse ka kontoks superuser, Teeb sisestatud selle kasutamisega, kui mitte omanik, siis vähemalt tema usaldusisik.
UID jääb 65 535-ga. See ei ole ka tavalisest. See UID kuulub keegi (mitte keegi).
Mõnikord oli üks süsteemi häkkimise viisidest luua kasutajale 105 536 tunnus, mille tulemusena sai ta superuseri privileegid. Tõepoolest, kui te võtate mis tahes UID-d ja tõlkite vastava numbri binaarse vormi, saate kombinatsiooni kuusteist binaarse heitmete kombinatsiooni, millest igaüks on kas 0 või 1. Ülekaalukas identifikaatorid sisaldavad nii nulli kui ka üksusi. Erandiks on null Uid Superuser, mis koosneb mõnedest Zeros ja Uidnobody, mis koosneb 65535-ga ja mis koosneb 16 ühikust, st 111111111111111. Numbrit 65 536 ei saa paigutada 16-kohalisesse numbrile - esindada seda numbrit binaarses vormis, mida peate kasutama 17 heitmed. Vanim heakskiidu on võrdne üksusega (1), kõik ülejäänud on null (0). Mis juhtub siis, kui kasutaja loomisel on identifikaator 17 binaarse heitmete pikkus - 10000000000000000? Teoreetiliselt on kasutaja, kellel on nulli identifikaator: kuna identifikaatorile antakse ainult 16 binaarset heidet, ei ole teada 17-kohaline ja see on ära visatud. Seetõttu on identifikaatori ainus üksus kadunud ja mõned nullid jäävad ja süsteem ilmub uus kasutaja Identifikaator ja seega privileegid, superuser. Aga nüüd ei ole ASV-s programme, mis võimaldaksid teil paigaldada UID-le 65 536.
MÄRGE
Kasutajad, kellel on tunnused üle 65 536, on võimalik luua, kuid seda ei kasutata ilma asendamiseta / bin / sisselogimiseta.
Iga häkker püüab kindlasti saada superuseri privileege. Niipea, kui ta neid saab, sõltub süsteemi edasine saatus täielikult oma kavatsustest. Võib-olla ei ole ta rahul häkkimise faktiga, ei tee temaga midagi halba ja saatke teile kirja, milles kirjeldati teda turvasüsteemis leitud aukude kirjeldusega, jätab igavesti üksi ja võib-olla ja mitte. Kui häkkinud häkkerite kavatsused ei ole nii puhtad, siis parimad, mida saab loota, et on olemas ebaõnnestumissüsteem.
Fail / etc / passwd
Soovides sisse logida süsteemi peab sisestama kasutajanime ja parooli, mis on kontrollitud kasutaja andmebaasi salvestatud / etc / passwd faili. Selles säilitatakse muu hulgas kõigi kasutajate paroolid. Süsteemi ühendamisel sisestatud parool on kontrollitud parooliga, mis vastab sellele nimele ja kui kasutaja on lubatud süsteemis, mille järel programmi selle kasutajanime jaoks määratud programm on käivitatud paroolifailis. Kui see on käsulangus, saab kasutaja käskude sisestamise võime.
Kaaluge noteerimist 1.1. See on vana stiilis passwd-fail.
Loend 1.1. Fail / etc / passwd vana stiilis
root: *: 1i dywromhmebu: 0: 0: root :: / root: / bin / bash
bin: *: 1: 1: bin: / bin:
dAemon: *: 2: 2: DAEMON: / SBIN:
aDM: *: 3: 4: ADM: / var / ADM:
lP: *: 4: 7: LP: / var / spool / LPD:
sünkroonimine: *: 5: 0: sünkroonimine: / sbin: / bin / sünkroonimine
shutdown: *: 6: 11: seiskamine: / sbin: / sbin / seiskamine
hALT: *: 7: 0: peatus: / sbin: / sbin / peatus
mail: *: 8: 12: Mail: / var / spool / mail:
uudised: *: 9: 13: Uudised: / VAR / SPOOL / Uudised:
uUCP: *: 10: 14: UUCP: / var / spool / UUCP:
operaator: *: 11: 0: operaator: / root:
mängud: *: 12: 100: Mängud: / usr / mängud:
gopher: *: 13: 30: Gopher: / usr / 1B / gopher-andmed:
fTP: *: 14: 50: FTP Kasutaja: / Avaleht / FTP:
mees: *: 15: 15 Käsiraamatu omanik: /:
majordom: *: 16: 16: Majordomo: /: / bin / vale
postgreres: * 17: 17: Postgrers Kasutaja: / Avaleht / Postgres: / BIN / BASH
mySQL: *: 18: 18: MySQL Kasutaja: / usr / local / var: / bin / vale
silvia: 1IDYWROMHMEBU: 501: 501: Silvia Bandel: / Avaleht / Silvia: / bin / bash
keegi: *: 65534: 65534: keegi: /: / bi n / vale
david: 1IDYWORMHMEBU: 500: 500: David A. Bandel: / Avaleht / David: / bin / bash
Parooli failil on jäigalt määratud struktuur. Faili sisu on tabel. Iga failireal on tabeli kirje. Iga kirje koosneb mitmest väljast. Passwd faili väljad eraldatakse käärsoolega, nii et käärsoole ei saa kasutada mõnes valdkonnas. Kokku on seitse väljad: kasutajanimi, parool, kasutajatunnus, grupiidentifikaator, gecos väli (see on kommentaarivälja), kodukataloog ja käsk Shell Logi sisse.
Loe lähemalt / etc / passwd kohta
Esimene väli näitab kasutajanime. See peaks olema ainulaadne - see on võimatu, et kahe süsteemi kasutajal on sama nimi. Nimi väli on ainus väli, mille väärtus peaks olema ainulaadne. Teises valdkonnas salvestatakse kasutaja parool. Süsteemi kaitse tagamiseks salvestatakse parool Hashiseeritud kujul. Termin "hashish" selles kontekstis tähendab "krüpteeritud". Parooli puhul krüpteeritakse parool vastavalt des (Datancryptionstandard) algoritmile. Pikkus Hääla parool selles valdkonnas on alati võrdne 13 tähemärki ja mõned tähemärgid, nagu käärsoole ja ühe tsitaat, ei ole nende seas kunagi leitud. Mis tahes muu väli väärtus, mis erineb õiges Hashiseeritud 13-kohalist parooli, muudab sellesse kasutajale võimatuks siseneda, ühe äärmiselt olulise erandi jaoks: parooli väli võib olla tühi.
Teises valdkonnas ei tähenda midagi, isegi ruumi, see tähendab, et asjaomane kasutaja ei vaja süsteemi sisselogimiseks parooli. Kui muudate põllule salvestatud parooli, lisades sellele iseloomu, näiteks ühe tsitaadi, blokeeritakse see konto ja vastav kasutaja ei saa sisse logida. Fakt on see, et pärast ebaseadusliku sümboli lisamist 14-kohalises Hashisse keeldus süsteem sellise parooliga kasutaja autentimisest.
Praegu on parooli pikkus piiratud kaheksa tähemärgiga. Kasutaja saab sisestada ja pikemaid paroole, kuid ainult esimesed kaheksa tähemärki on märkimisväärne. Hasiseeritud parooli kaks esimest tähemärki on seeme (Sool). (Seeme nimetatakse krüpteerimisalgoritmi initsialiseerimiseks kasutatava numbri. Iga parooli muutmise korral valitakse seeme juhuslikult.) Selle tulemusena on kõigi võimalike permutatsioonide arv piisavalt suur, mistõttu kasutajad on võimatu teada saada Süsteemis sama paroolidega, Hash-paroolide lihtne võrdlus.
MÄRGE
Dictionaryattacki rünnak viitab paroolide häkkimise meetoditele jämedate jõu järgi ja tähendab sõnastikku ja tuntud seemne kasutamist. Rünnak on kõigi sõnastiku sõnade suhtlemisel, nende seemnega krüptimine ja tulemus võrdledes puhkeva parooliga. Samal ajal, lisaks sõnastiku sõnadele, peetakse mõningaid nende muudatuste muudatusi, näiteks kõik tiitli kirjad, ainult pealkirja esimene täht ja numbrite lisamine (tavaliselt ainult 0-9) kõigi nende kombinatsioonide lõppu. Samamoodi saate häkkida palju lihtsaid paroole.
Kolmas väli näitab kasutaja ID-d. Kasutaja ID ei pea olema ainulaadne. Eelkõige lisaks juurekasutajale võib olla meelevaldselt teiste kasutajate nulli identifikaatoriga ja neil kõigil on superuseri privileegid.
Neljanda väli sisaldab grupi identifikaatorit (Groupid, GID). Nimetatakse selles valdkonnas märgitud rühma esmane kasutajarühm (Esmanegroup). Kasutaja võib kuuluda mitmele rühmale, kuid üks neist peab olema peamine rühm.
Viies valdkonnas nimetatakse nüüd kommentaaride väljaks, kuid selle algne nimi on GECOS, alates "GECONSOLOSSYSSYSYSTEMist". Kui kasutajate teavet taotledes sõrme või muu programmi kaudu, tagastatakse selle välja sisu nüüd tõelise kasutajana. Kommentaaride väli võib olla tühi.
Kuues väli seab kasutaja kodukataloogi. Igal kasutajal peab olema oma kodukataloog. Tavaliselt osutub kasutajale sisselogimine süsteemi sisse logida oma kodukataloogis, kuid kui see ei ole olemas, langeb see juurekataloogi.
Seitsmendas valdkonnas seab sisselogimise käsu kesta. Mitte iga kest ei saa selles valdkonnas täpsustada. Sõltuvalt süsteemi seadetest saab määrata ainult lubatud kestade loendist. ASWSis on lubatud kestade loend vaikimisi / etc / kestade failis vaikimisi.
Fail / etc / Shadow
Faili / etc / Shadow omanik on juurkasutaja ja ainult see fail on õigus lugeda seda faili. Selle loomiseks peate Passwd-faililt kasutajanime ja hashy paroole võtma ja asetage need vari-failile, asendades kõik räsi paroolid passwd-faili sümbolites. Kui vaatate süsteemi passwd-faili, näete, et on sümbolid X saidil on Hasse paroolid. See sümbol näitab süsteemi asjaolule, et parool tuleks siin vaadata, kuid / etc / Shadow-failis. Üleminek lihtsatest paroolidest vari ja tagasi viiakse läbi kolm kommunaalteenust. Varju paroolide juurde pääsemiseks algab PWCK utiliit kõigepealt. See kontrollib mis tahes anomaalia jaoks passwd-faili, mille tõttu järgmine samm võib lõppeda ebaõnnestumise või lihtsalt võita. Pärast PWCK-i töötamist alustatakse PWCONV utiliit luua / etc / shadow. Seda tehakse tavaliselt pärast käsitsi uuendamine Fail / etc / passwd. Tavapäraste paroolide naasmiseks algab Pwuncov.
Shadow parooli fail mitmel moel on sarnane tavaliste paroolide failiga. Eelkõige on nende failide kaks esimest valdkonda sama. Kuid lisaks nendele väljadele loomulikult on tavalises paroolifailis puuduvad täiendavad väljad. Loend 1.2. Näitab tüüpilise / etc / Shadow faili sisu.
Loend 1.2. Fail / etc / Shadow
root: 1idywromhmebu: 10792: 0 ::: 7: 7 ::
bin: *: 10547: 0 :: 7: 7 ::
daemon: *: 10547: 0 :: 7: 7 ::
aDM: *: 10547: 0 :: 7: 7 ::
lP: *: 10547: 0 :: 7: 7 :::
sünkroonimine: *: 10547: 0 :: 7: 7 ::
shutdown: U: 10811: 0: -1: 7: 7: -1: 134531940
hALT: *: 10547: 0 :: 7: 7 ::
mail: *: 10547: 0 :: 7: 7 ::
uudised: *: 10547: 0 :: 7: 7 ::
uUCP: *: 10547: 0 :: 7: 7 ::
operaator: *: 10547: 0 :: 7: 7 ::
mängud: *: 10547: 0: 7: 7: 7: 7: 7: 7: 7: 7 ::
gopher: *: 10547: 0 :: 7: 7 ::
fTP: *: 10547: 0 :: 7: 7 ::
mees: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mySQL: *: 10547: 0 :: 7: 7 ::
sI1VIA: 1IDYWROMHMEBU: 10792: 0: 30: 7: -l ::
keegi: *: 10547: 0 :: 7: 7 ::
david: 1IDYWORMHMEBU: 10792: 0 :: 7: 7 :::
Detailid / etc / Shadow
Esimese vari faili välja eesmärk on sama esimene passwd-failivälja.
Teine väli sisaldab Hash-parooli. Shadow paroolide rakendamine MSVS võimaldab vihkata paroolide pikkus 13 kuni 24 tähemärki, kuid Crypt parooli krüpteerimisprogramm on võimeline toota ainult 13-sümbolid Hash paroole. Haas kasutatavad tähemärgid võetakse komplektist 52 tähestikust tähest (väiketähti ja suurtähtedest), numbritest 0-9, punktid ja kaldu funktsioone paremale (/). Tuleb välja 64 tähemärki, mis on lubatud parooli väljale lubatud.
Seemne, seega, mis nagu enne, on kaks esimest tähemärki, saab valida 4096 võimaliku kombinatsiooni hulgast (64x64). Krüpteerimiseks kasutatakse des algoritmi 56-bitise võtmega, st selle algoritmi võtmete ruumi on 2 56 võtmega, mis on ligikaudu 72,057,590,000,000,000 või 72 nelinurga. Number tundub muljetavaldav, kuid tegelikult saate tegelikult väga lühikese aja jooksul kõik võtmed selle suuruse tühistamiseks.
Kolmandast väljast algab teave parooli jagamise teabe kohta. See salvestab päevade arvu 1. jaanuarist 1970 viimasele parooli muutmisele.
Neljas väli Määrab minimaalse päeva päevade arvu enne parooli muutmist uuesti. Viimase muudatuse kuupäevast ei liigu parool nii palju päevi, nagu selles valdkonnas märgitud, on võimatu parooli muuta.
Viies väli seab maksimaalse päeva päevi, mille jooksul saate parooli kasutada, pärast mida see on kohustuslik muutus. Positiivse väärtusega selles valdkonnas püüab kasutaja sisse logida süsteemi pärast parooli aegub toob kaasa parooli käsk ei ole tavaline, vaid kohustusliku parooli muutmise režiimis.
Kuuenda välja väärtus määrab kindlaks, mitu päeva enne parooli aegumist peaks alustama selle hoiatuse väljaandmist. Pärast hoiatuse saamist saab kasutaja alustada uue parooli.
Seitsmendas valdkonnas seab päevade arv alates päevast, mil parool on vormitud, pärast seda, kui see konto blokeeritakse.
Eelviimase põllu salvestab konto blokeerimise päeva.
Viimane väli on reserveeritud ja ei kasutata.
Loe lähemalt / etc / grupi kohta
Iga faili / etc / grupi kanne koosneb neljast küljest, mis on eraldatud käärsoolega. Esimene väli seab rühma nime. Nagu kasutajanimi.
Teine väli on tavaliselt tühi, kuna parooli parooli mehhanismi tavaliselt ei kasutata, kuid kui see väli ei ole tühi ja sisaldab parooli, saab iga kasutaja grupiga liituda. Selleks peate täitma Newgri käsu grupi nimega parameetrina, pärast seda sisenete õige parooli. Kui grupi parooli ei ole määratud, võivad liituda ainult grupi liikmete nimekirjas loetletud kasutajad.
Kolmas väli seab grupi identifikaator (Groupid, GID). Selle tähendus on sama kasutaja ID-ga.
Viimane valdkond on gruppi kuuluvate kasutajanimede loend. Kasutajad on loetletud komaga ilma ruumideta. Esmane kasutajarühm on näidatud Passwd-failis (kohustuslik) ja määrab selle teabe põhjal süsteemiga süsteemi ühendatud süsteemiga. Seega, kui muudate Passwd-faili esmase kasutajarühma, ei saa kasutaja enam oma endise peamise grupiga liituda.
Faili /etc/login.defs.
Võite lisada uue kasutaja süsteemi mitmel viisil. Assis kasutatakse selle jaoks järgmisi programme: rannik, Lisa, Userddd. Midagi sobib mõnele neist. COAASi kasulikkus kasutab oma faili. Userd ja LISA programmid Vaikimisi väärtused Passwd ja Shadow File Fields alates /etc/login.defs faili. Selle faili sisu lühendatud kujul kuvatakse kirje 1.4.
Loend 1.4. Lühendatud fail /etc/login.defs.
# Maksimaalne päevade arv, mille jooksul parool on lubatud:
# (- 1 - parooli muutmine ei ole vajalik) pass_max_days-1
Minimaalne päevade arv parooli vahetuste vahel: pass_min_dayso
# Mõni päeva enne parooli muutmise kuupäeva tuleks väljastada hoiatus: pass_warn_age7
# Milline päevade arv peab mööduma pärast parooli aegumist enne, kui konto blokeeritakse: pass_inative-1
# Vägede aegumise parooli kasutamise määratud päeval:
# (kuupäev on kindlaks määratud päevade arvu pärast 70/1/1, -1 \u003d ei surusta) pass_expire -1
# Integreeritud konto väljade väärtused kasutajatele
# Team Vaikimisi: Group100
# Avaleht Kataloog:% s \u003d kasutajanimi) NOME / Avaleht /% S
# Command Sulesi vaikimisi: Shell / Bin / Bash
Kataloog, kus kodukataloogi skelett asub: Skel / etc / Skel
# Minimaalne I. maksimaalsed väärtused Automaatse GID-i valiku jaoks grupiddgid_min100
Selle faili sisu määrab passwd ja vari failide vaikeväärtused. Kui te ei peata neid käsurealt, kasutatakse neid. Lähtepunktina on need väärtused üsna sobivad siiski parooli rakendamiseks vanade rakendamiseks, mõned neist tuleb muuta. Väärtus, mis on võrdne -1 tähendab piiranguid.
CoASi programmis kasutatakse Caldera jaotust graafilise kasutajaliidese poolt
Parooli kohta teabe muutmiseks ühe või kahe kasutaja jaoks saate kasutada CHARGE-käsku (muutmine - Vananenud muutus). Ebaviisitud kasutajad saavad käivitada chage ainult -l-maaparameetrite ja oma kasutajanimega, st nõuda teavet aegunud ainult oma parooli kohta. Koefitsientide teabe muutmiseks piisab kasutajanime täpsustamiseks, ülejäänud parameetrid palutakse dialoogis. Kõne Chage ilma parameetriteta annab lühikese viide.
CoASi programmi saab kasutada iga konto jaoks eraldi parooli jagamise parameetrite muutmiseks eraldi. Sellisel juhul näidatakse väärtused päevadel. Programmi liides on ilmne.
Märge -
Et saada teavet kasutaja vananenud parooli või selle protsessi sundimise kohta, saate kasutada aegumise käsku.
Ramsi turvasüsteem
Raami peamine idee on see, et saate alati kirjutada uue turvamooduli, et see oleks adresseeritud faili või seadme jaoks ja tagastati loa andmise menetluse täitmise tulemus: edu (edu), ebaõnnestumine, ebaõnnestumine ) või ignoreerida (ignoreerida). Ja omakorda tagastavad selle põhjustatud edu (edu) või ebaõnnestumine (ebaõnnestumine). Seega ei ole oluline, milliseid paroole, vari või tavalist kasutatakse süsteemis, kui on raamid: kõik toetavad raamid töötavad ideaalselt nende ja teistega.
Nüüd pöördume tagasi RAM-i operatsiooni aluspõhimõtete kaalumisele. Kaaluge noteerimist 1.6. The /etc/pam.d kataloog sisaldab teiste teenuste konfiguratsioonifaile, nagu su, passwd jne, sõltuvalt sellest, millist tarkvara on süsteemi installitud. Iga teenusepiiranguteenus (Piiranguline teenus) vastab selle konfiguratsioonifailile. Kui keegi ei ole, siis see teenus juurdepääsupiiranguga siseneb "muu" kategooriasse koos teise konfiguratsioonifailiga. (Teenusepiiranguteenust nimetatakse iga teenuse või programmi kasutamiseks, mis on vajalikuks läbida luba. Teisisõnu, kui tavapärastes tingimustes taotleb teenus teie kasutajanime ja parooli, see on teenusepiiranguteenus.)
Kirjendamine 1.6. Faili konfiguratsiooni sisselogimine.
auth vaja PAM_SECURETTY.SO.
auth vaja PAM_PWDB.SO.
auth vaja PAM_NOLOGIN.SO.
#Auth vaja pam_dialup.So.
auth valikuline pam_mail.so.
konto on vajalik pam_pwdb.so.
seansi nõutav pam_pwdb.so.
seansi valikuline pam_lastlog.so.
parool on vajalik pam_pwdb.so.
Nagu loendist näha, koosneb konfiguratsioonifail kolmest veerust. Radsi alustades võre sümbol (#) ignoreeritakse. Seetõttu on PAM_Dialup moodul (neljas rida nimekirja 1.6) jääb vastamata. Failil on sama kolmas väli - PAM_PWD.SO ja esimene - auth. Mitmete ridade kasutamist sama esimese väljaga nimetatakse moodulite kogumiseks (virnastamiseks) ja võimaldab teil saada mitmeastmelist luba (moodulite virna), mis sisaldab mitmeid erinevaid lubade andmise menetlust.
Esimene veerg on veerg. Tüüpi määratakse ühe neljast tähemärgist: auth, konto, seanss ja parool. Kõigi veergude sisu peetakse ilma registreerimata.
Tüüp-auth (autentimine - autentimine) kasutatakse selleks, et selgitada, kas kasutaja on need, kes ennast annab. Reeglina saavutatakse see sisestatud ja salvestatud paroolide võrdlemisel, kuid ka muid võimalusi on võimalik.
Konto tüüp (konto) Kontroll, kui teenus on lubatud kasutada seda kasutajat, millistel tingimustel ei ole parool ja nii edasi.
Lubaduse markerite värskendamiseks kasutatakse parool (parool).
Seansi (seansi) tüüp täidab teatud toiminguid, kui kasutaja logib sisse ja kui kasutaja on süsteemist väljund.
Lipud
Teine veerg on juhtpulli väli, mis määrab kindlaks, mida teha pärast moodulist naasmist, st RAM-i reaktsiooni edukusele edukusele (edu), ignoreerida (ignoreerida) ja ebaõnnestumise Ebaõnnestumine). Lubatud väärtused: nõutav, vaja piisav ja valikuline. Selle valdkonna väärtusest sõltub sellest, kas teisi failiread töödeldakse.
Vajalik lipp seab kõige jäik käitumise. Mis tahes rida töötlemine nõutava lipuga, mille moodul tagastas ebaõnnestumise väärtus (ebaõnnestumine) ja selle põhjustanud teenus tagastatakse ebaõnnestumisele. Ühtegi teist rida ei arvestata. See lipp on piisavalt haruldane. Fakt on see, et kui nende poolt märgitud moodul teostatakse kõigepealt, siis ei pruugi moodulid täita, kaasa arvatud need, sealhulgas sisselogimise eest vastutavad isikud, nii et nõutav lipp (nõutav) rakendatakse tavaliselt selle asemel.
Nõutav lipp ei katkesta moodulite täitmist. Sõltumata nende märgitud mooduli rakendamise tulemusel: edu (edu), ignoreerige ignoreerida (ignoreerida) või ebaõnnestumist (ebaõnnestumine), raamid jätkavad järgmise mooduli töötlemist. See on kõige sagedamini kasutatav lipp, kuna mooduli tulemust ei tagastata seni, kuni kõik teised moodulid töötavad, mis tähendab, et metsaraie eest vastutavad moodulid on määratletud.
Piisav lipp (piisav) toob kaasa rea \u200b\u200btöötlemise viivitamatu lõpuleviimise ja tagastades edu väärtuse (edu), tingimusel et moodul märgistas väärtus tagastati edusalust (edu) ja varem ei vastanud moodulile vajaliku lipuga mis tagastas ebaõnnestumise staatuse (tõrge). Kui selline moodul on täidetud, ignoreeritakse piisavat lippu. Kui selle lipuga tähistatud moodul tagastas väärtuse ignoreerimiseks (ignoreerima) või ebaõnnestumise ebaõnnestumise (rike), siis piisava lipu nähtub sarnaselt valikulise lipuga.
Mooduli täitmise tulemus vabatahtliku lipuga (vabatahtlik) võetakse arvesse ainult siis, kui see on ainus moodul virna, mis on tagastanud edu väärtuse (edu). Vastasel juhul ignoreeritakse selle täitmise tulemust. Seega ei kaasne selle poolt märgitud mooduli ebaõnnestumine kogu loa andmise protsessi ebaõnnestumine.
Tagamaks, et kasutaja saaks süsteemi juurde pääseda, ei tohiks nõutavate ja nõutavate lippudega tähistatud moodulid tagasi tõrke väärtused (rike). Mooduli täitmise tulemus vabatahtliku lipuga eeldatakse ainult siis, kui see on ainus moodul, mis on tagastanud edu (edu).
Moodulid RAM.
Kolmas veerg sisaldab selle stringiga seotud mooduli faili täielikku nime. Põhimõtteliselt võib moodulid asuda kõikjal, kuid kui need paigutatakse moodulite eelnevalt määratud kataloogi, saate määrata ainult ühe nime, vastasel juhul on vaja teed. ISP-s on eelnevalt määratud kataloog / lib / turvalisus.
Neljas kolonn on mõeldud täiendavate parameetrite edastamiseks moodulile. Mitte kõik moodulid ei ole parameetreid ja kui on olemas, ei tohi neid kasutada. Parameetri mooduli edastamine võimaldab muuta oma käitumist ühel või teisel viisil.
Loetelu 1.7 sisaldab loetelu raami moodulid, mis on osa MSV.
Loend 1.7. MSV-s sisalduvate raamide moodulite loend
pam_rhosts_auth.so.
pam_securetty.so.
pAM_UNIX_ACCT.SO.
pam_unix_auth.so.
pam_unix_passwd.so.
pam_unix_sesion.so.
Moodulite kohta Rohkem üksikasju
Pam_access.So moodulit kasutatakse juurdepääsu / keelamise juurdepääsu põhineb /etc/security/access.conf faili. Selle faili joontel on järgmine vorm:
Õigused: kasutajad: kust
Õigused + (Luba) või - (keelata)
Kasutajad - kõik, kasutajanimi või kasutaja @ sõlme, kus sõlme vastab kohaliku masina nimele, vastasel juhul ignoreeritakse kirje.
Alates kust on üks või mitu terminali failinime (ilma eesliide / dev /), sõlmede nimed, domeeninimed (Alates punktist), IP-aadressid, kõik või kohalikud.
Pam_cracklib.So mooduli kontrolli sõnastiku paroolid. See on mõeldud uue parooli kontrollimiseks ja võimaldab teil vältida süsteemi kasutamist kergesti krakitud paroolides, mida peetakse tavalisteks sõnadeks, paroolid, mis sisaldavad korduvaid märke ja liiga lühikesi paroole. Seal on valikulised parameetrid: silumine, tüüp \u003d ja reprery \u003d. Silumisparameeter hõlmab logifaili silumisteavet. Tüüp parameeter, millele järgneb string, muutused vaikimisi NewunixPassword kutse: Unix sõna määratud string. Uuestiparameeter määrab kasutajatele paroolisse sisenemiseks kasutatava katsete arvu, mis viga tagastatakse ammendumisele (üks katse antakse vaikimisi).
Kaaluge noteerimist 1.8. See näitab faili sisu / etc / pamp.d / muu sisu. See fail sisaldab konfiguratsiooni, mida kasutab teenuste raamistiku mehhanismil, millel ei ole oma konfiguratsioonifaili /etc/pam.d kataloogi. Teisisõnu kehtib see fail kõikide raami süsteemi jaoks teadmata teenuste suhtes. See esitab kõik neli liiki loa, auth, konto, parooli ja istungit, millest igaüks põhjustab PAM_DENY.SO mooduli tähistava täisajaga lipu. Seega on tundmatu teenuse täitmine keelatud.
Loend 1.8. Faili /etc/pam.d/other.
auth vaja pam_deny.so.
auth vaja PAM_WARN.SO.
konto vajab pam_deny.so.
parool on vajalik pam_deny.so.
parool on vajalik pam_warn.so.
seansi vaja pam_deny.so.
PAM_DIALUP.SO mooduli kontrollib, kas määrata parool, et pääseda juurde kaugterminalile või terminalidele, mis kasutab / etc / turvalisuse / TTYS.DIALUP-faili. Moodul on kohaldatav mitte ainult ttys, kuid üldiselt mis tahes TTY terminalile. Kui parool on vajalik, kontrollitakse seda faili / jne / turvalisuse / Passwd.Dialiga. Muutused passwd.Dialpi faili teostab DPASSWD programmi.
Pam_group.So moodulit kontrollitakse vastavalt /etc/Security/group.conf-faili sisule. See fail näitab rühmi, mille liige võib olla teatud tingimustes failis määratud kasutaja.
PAM_LASTLOG.SO moodul siseneb Listlog faili teavet selle kohta, kust kasutaja sisestanud süsteemi. Tavaliselt on see moodul märgitud seansi tüüpi ja lisavarustuse lipuga.
PAM_LIMITS.SO moodul võimaldab teil kehtestada mitmeid piiranguid kasutajatele sisse logitud. Need piirangud ei kehti juurkasutaja (või mõne muu kasutajaga nulli identifikaatoriga). Piirangud on seatud sisselogimise tasemel ja ei ole globaalsed ega püsivad, tegutsedes ainult samas sisendis.
PAM_LASTFILE.SO mooduli aktsepteerib mõningaid rekordi (toode), võrdleb seda faili nimekirjaga ja võrdluse tulemuste põhjal tagastab edu (edu) või ebaõnnestumise (ebaõnnestumise). Selle mooduli parameetrid on järgmised:
Üksus \u003d [Terminal kasutaja | Remote_uzel | Kaugkasutaja | Grupp | maastik]
Sense \u003d (tagastamise olek; Kui salvestamine on loendis, vastasel juhul tuleb staatus vastandlikule)
file \u003d / Full / Path / ja / File_name - Onrr \u003d (milline staatus on vigade korral tagastatud)
ARR1U \u003d [kasutaja | @ Group] (täpsustab kasutaja või rühma, millele piiranguid rakendatakse. See on mõttekas ainult üksuse vaatamise kohta \u003d [Terminal | Remote_uelle | SUATH], üksuse vaadete kohta ignoreeritud)
PAM_NOLOGIN.SO mooduli kasutatakse authüübi volitamisel nõutava lipuga. See moodul kontrollib, kas fail / etc / Nologin on olemas, ja kui mitte, siis tagastab edu väärtuse (edu), vastasel juhul kuvatakse kasutaja sisu kasutajale ja tagastab ebaõnnestumise väärtuse (rike). Seda moodulit kasutatakse tavaliselt juhtudel, kui süsteem ei ole veel täielikult sisse viidud või ajutiselt suletud hoolduseks, kuid mitte võrgust lahti ühendatud.
PAM_PERMIT.NO moodul on vabatahtlik pam_deny.so moodulile. See tagastab alati edu väärtuse (edu). Mooduli edastatud parameetreid ignoreeritakse.
PAM_PWDB.SO moodul annab liidese passwd ja vari faile. Järgmised parameetrid on võimalikud:
Silumine - debug-teabe salvestamine logifailile;
Audit - täiendav debug-teave neile, kes ei ole piisavalt tavalist silumisteavet;
User_first_pass - kunagi taotleda parooli kasutajale ja võtke see eelmisest virna moodulitest;
Try_first_pass - proovige saada eelmistest moodulitest parooli, kui kasutaja taotletakse;
Kasuta_Authtok - tagastab ebaõnnestumise väärtuse (tõrke) Kui PAM_AUTHTOK pole installitud, ärge paluge kasutaja parooli ja võtke see eelmistest virna moodulitest (ainult paroolimoodulite virna jaoks);
NOT_SET_PASS - Ärge paigaldage selle mooduli parooli järgnevate moodulite paroolina;
Shadow - Säilitage Shadow paroolide süsteem;
Unix - paroolide paroolid faili / etc / passwd;
MD5 - Järgmise parooli muutmise korral kasutage MD5 paroole;
Bigcrypt - järgmise parooli muutmisega kasutage decc2 paroole;
Nodelay - Keela ühe Aceani hilinemise ebaõnnestunud loaga.
PAM_RHOSTS_AUTH.SO moodul võimaldab / keelata faile.Rhosts või hosts.equi. Lisaks võimaldab see / keelata / keelata "ohtlike" kandete kasutamine nendes failidesse. Selle mooduli parameetrid on järgmised:
No_hosts_equiv - ignoreerida /etc/hosts.equi faili;
No_rhosts - ignoreerida faili / etc / Rhosts või ~ / .Rhosts;
Debug - logi silumisteabe logi;
Nowarn - ärge kuvage hoiatusi;
Suppress - ärge väljundage sõnumeid;
Propicouble - võimaldab kasutada "+" metamärkide sümbol igas valdkonnas.
Moodul PAM_ROOTOK.SO tagastab edu väärtuse (edu) iga kasutaja jaoks, kellel on nullidentifikaator. Selle mooduliga märgistatakse piisava lipuga, võimaldab juurdepääsu teenusele ilma parooli täpsustamata. Mooduli parameeter on ainult üks: debug.
PAM_SECURETTY.SO mooduli saab kasutada ainult ülekoormuste jaoks. See moodul töötab koos / etc / Securetutty faili, mis võimaldab superustaja sisse logida süsteemi ainult läbi terminalide loetletud selles faili. Kui soovite võimaldada Süsteemi superuseri sisendile Telneti kaudu (TTYP pseudo-terminal), siis peaks lisama sellele failile ttyp0-255-le stringi või kommenteerida Pam_Securetty.So helistage sisselogimisfailis.
PAM_SHELLS.SO mooduli tagastab edusammu väärtuse, kui kasutaja kest määratud / etc / passwd-failis on olemas kest nimekirjast / etc / kestade faili. Kui / etc / passwd-fail ei anna ühtegi kest, käivitub see / bin / sh. Kui / etc / passwd-fail täpsustab Shelli, mis puudub / etc / kestade loendis puudub, tagastab mooduli rikke väärtus (tõrge). Õigus kirjutada failile / etc / kestadele peaks olema ainult superuser.
Pam_stress.So moodulit kasutatakse paroolide juhtimiseks. Tal on palju parameetreid, sealhulgas konstantset silumist, kuid üldiselt on kõik parameetrid vaid kaks huvist:
Rootsok - lubage superaatoril kasutada kasutaja paroole ilma vana parooli sisestamata;
Aegunud - selle parameetriga täidetakse mooduli nii, nagu oleks kasutaja parool kehtiv juba aegunud.
Muud mooduli parameetrid võimaldavad teil keelata mõni neist kahest režiimist, kasutage teise mooduli parooli või läbida parooli teisele moodulile jne. Siin ma ei loe kõiki mooduli parameetreid, nii et kui teil on vaja kasutada Selle mooduli eripärad loevad neid mooduli dokumentatsioonis.
Vaikimisi ei kasutata PAM_TAL-i moodulit /etc/pam.D-faile. See moodul arvutab lubade läbimise katsed. Eduka loa läbimisega saab katsete arv lähtestada. Kui ebaõnnestunud ühenduse katsete arv ületas mõnda künnist, võib juurdepääs keelata. Vaikimisi paigutatakse teave katsete kohta / var / logi / faillogifaili. Ülemaailmsed parameetrid on järgmised:
ONERR \u003d - Mida teha, kui ilmnes viga, näiteks ei olnud võimalik faili avada;
File \u003d / Full / Path / ja / File_name - kui ei ole, siis kasutatakse vaikimisi faili. Järgnev parameeter on mõttekas ainult authüübi jaoks:
NO_MAGIC_ROOT - Sisaldab ülekande katsete arvu loendamist (vaikimisi ei tehta). Kasulik, kui superuseri sisend on süsteemile Telneti kaudu lubatud. Järgmised parameetrid on mõttekas ainult konto tüüp:
Deeny \u003d n - keelduge pärast n üritamist. Selle parameetri kasutamisel varieerub lähtestamise / no_reseti mooduli käitumine vaikimisi nullideta nullimisega. See juhtub kõigi kasutajate puhul, välja arvatud juurkasutaja (UID 0), välja arvatud juhul, kui No_magic_root parameetrit ei kasutata;
No_magic_root - ärge ignoreerige juurekasutaja katsete eitamine parameeter. Kui seda kasutatakse koos Deny \u003d parameetriga (vt varem), määratakse lähtestamise käitumine juurkasutaja jaoks vaikimisi, nagu kõigi teiste kasutajate puhul;
Idelus_deny_root_accoumpount - võimaldab superuseri konto lukustamist, kui parameeter on no_magic_root. See on välja antud hoiatuse. Kui PO_Magic_root parameetrit ei kasutata, siis olenemata ebaõnnestunud katsete arvust superuserkontost ei blokeeri vastupidiselt tavalistele kasutajatele;
Lähtesta - lähtestage eduka sissepääsu katsete arvu loendur;
No_reset - mitte taastada eduka sissepääsu katsete arvu; Kasutatakse vaikimisi, kui Deeny parameeter on määratud \u003d.
Pam_time.So moodul võimaldab teil piirata juurdepääsu teenuse sõltuvalt ajast. Kõik juhised selle konfiguratsioonile võib leida / etc / turvalisuse / aja / time.conf faili. Sellel ei ole parameetreid: kõik on seadistatud konfiguratsioonifailis.
Pam_unix moodul tegeleb küsimustes tavalise luba ISWS (tavaliselt asemel mooduli kasutab PAM_PWDB.SO). Füüsiliselt see moodul koosneb neljast moodulist, millest igaüks vastab ühele raamitüüpidele: PAM_UNIX_AUTH.SO, PAM_UNIX_SESSION.SO, PAM_UNIX_ACCT.SO ja PAM_UNIX_PASSWD.SO. Arvel olevate moodulid ja auth parameetrite moodulid ei ole. Passwd tüüpi parameetri moodul on ainult üks: range \u003d vale. Kui see on olemas, ei kontrolli moodul häkkimise vastupanu paroole, mis võimaldab teil kasutada meelevaldseid, sealhulgas ohtlikke (kergesti aegumist või valitud) paroole. Seansi tüüpi moodul mõistab kaks parameetrit: debug ja jälgi. Silumisparameetri debug-teave paigutatakse silumisteabe logifaili, nagu on näidatud syslog.confis ja jälje parameetri teave on tingitud selle tundlikkusest - authpriv logis.
PAM_WARN.SO mooduli salvestab sõnumi selle üle kõne Syslog. Parameetrid ei ole.
Pam_wheel.So moodul võimaldab superustaja ainult rattarühma liikmetele. Rattagrupp on spetsiaalne süsteemigrupp, mille liikmetel on suured privileegid kui tavalised kasutajad, kuid väiksemad kui superuser. Selle olemasolu vähendab süsteemi kasutajate arvu superuseri privileegidega, muutes need rattagrupi liikmeks ja suurendades seeläbi süsteemi turvalisust. Kui superuser saab sisse logida ainult terminali abil, saab seda moodulit kasutada kasutajate jaoks ligipääsmatu töö tegemiseks Telneti kaudu superuseri privileegidega, keeldudes neile juurdepääsu, kui nad ei kuulu rattamoduil gruppi, kasutab järgmisi parameetreid:
Silumine - debug-teabe logimine;
User_uid - praeguse kasutaja ID-ga kuuluvate kuulumise määratlus ja mitte süsteemi sisenemisel sellele määratud;
Usaldus - kasutaja tütarettevõtete puhul rattarühmale tagastab edu väärtus (edu) ja mitte ignoreerida (ignoreerida);
Keen - muudab protseduuri tähendust vastupidise vastupidise (tagasimakse ebaõnnestunud). Kombinatsioonis grupiga \u003d saate keelata selle grupi liikmetele juurdepääsu.
Märge -
Kataloog / etc / turvalisus on otseselt seotud /etc/pam.d kataloogiga, kuna sisaldab erinevate kaadri moodulite konfiguratsioonifaile, mis on põhjustatud /etc/pam.d faile põhjustatud.
RAM-kirjed Logi failides
Kirjendamine 1.9. Sisu / VAR / logi / turvaline
11. jaanuar 16:45:14 Chiriqui PAM_PWDB: (SU) Avatud seanss kasutaja juur
11. jaanuar 16:45:25 Chiriqui PAM_PWDB: (SU) Sessioon suletud kasutaja juur
17. jaanuar 17:18:06 Chiriqui sisselogimine: ebaõnnestunud sisselogimine 1 (null) Taavetile,
Autentimise ebaõnnestumine.
17. jaanuar 17:18:13 Chiriqui sisselogimine: ebaõnnestus sisselogimine 2 (null) Taaveti jaoks.
Autentimise ebaõnnestumine.
17. jaanuar 17:18:06 Chiriqui sisselogimine: ebaõnnestus sisselogimine 1 Taaveti jaoks (null).
Autentimise ebaõnnestumine.
17. jaanuar 17:18:13 chiriqui sisselogimine: ebaõnnestus sisselogimine 2 (null) Taaveti jaoks,
Autentimise ebaõnnestumine.
17. jaanuar 17:18:17 Chiriqui Pam_pwdb: (sisselogimine) seanss avatud kasutajale David
17. jaanuar 17:18:17 Chiriqui - David: DAVID-i TTYL-i sisse logige
11. jaanuar 17:18:20 Chiriqui PAM_PWDB: (sisselogimine) istungil suletud kasutaja Taaveti jaoks
Iga salvestus algab kuupäevast, kellaajal ja sõlme nimest. Pärast seda nime raami mooduli ja protsessi identifikaatori lisatud ruudu sulgudes. Siis sulgudes on teenusepiirangu nimi. Loendina 1.9 on kas su või sisselogimine. Pärast teeninduse nime kas "sentsioone" (seanss on avatud) või "SessionCloseeritud" (seanss on suletud).
Kirje, mis järgib salvestust "Sestusopetega" on sõnum sisenemise süsteemi, millest saate teada, kes ja kust see sisenesid süsteemi.
Kaalutakse järgmisi küsimusi:
Mis on vaikimisi kasutajarühma ja privaatne kasutajarühmad;
Muuda kasutaja / rühma;
Kasutaja / grupi muutmine mõjutab graafilist liidest;
Turvalisus ja kasutajad;
Turvalisus ja paroolid;
Parooli kaitse;
Hea parooli valimine;
Paroolide häkkimine.
Vaikimisi rühm
Praegu ei eksisteeri enam ainult ühe rühma samaaegse kasutaja piiranguid. Iga kasutaja saab kuuluda samaaegselt mitme rühmaga. Newgrp käskis saab kasutaja grupis määratletud rühma liikmeks, samas kui see rühm saab selle kasutaja jaoks. logi sissegrupp (Logingrupp). Samal ajal on kasutaja jätkuvalt gruppide liige, kus ta sisestas Newgrp-käsku. Login Group on grupp, mis muutub kasutajafailide grupi omanikuks.
Vaikerühma ja erasektori kasutajarühmade vahe on nende kahe skeemi avatuse aste. Vaikimisi skeemi puhul saab iga kasutaja lugeda (ja sageli muuta) teisi kasutajafaile. Privaatsete rühmade puhul on teise kasutaja loodud faili lugemine või kirjutamine võimalik ainult siis, kui selle omanik esitas nendele tegevustele selgesõnaliselt teistele kasutajatele õigusi.
Kui on vaja, et kasutajad saavad liituda ja lahkuda rühma ilma süsteemi administraatori sekkumiseta, saab parooli määrata sellele grupile. Kasutaja saab kasutada konkreetse grupi privileege ainult siis, kui see kuulub sellele. Siin on kaks võimalust: kas see kuulub gruppi süsteemi sisselogimise hetkest või muutub hiljem grupi liikmeks pärast süsteemiga töötamist. Nii et kasutaja saab liituda rühmaga, kellele see ei kuulu, tuleb parool selle grupi määrata.
Vaikimisi Grupi paroolid ei kasutata ASWSis, nii et GSHAdow faili / etc kataloogi ei ole.
Kui kasutate pidevalt ainult ühte programme kasutajate haldamiseks, kasutate pidevalt ühte programme - Userddd, Lisa või Coas, - Kasutaja seadete faile saadakse järjepidevamaks ja lihtsamaks.
Vaikimisi rühma vaikimisi kava eelis on see, et see hõlbustab failide jagamist, kuna see ei pea hoolitsema juurdepääsuõiguste eest. See skeem tähendab süsteemi avatud lähenemisviisi vastavalt põhimõttele "Kõik, mis ei ole keelatud."
Kasutajaparameetrite seadistamine vaikimisi on kõrge prioriteedi ülesanne, mis vahetult järgneb süsteemi seadistamisel.
Privaatsed kasutajate rühmad
Private kasutajagruppidel on nimed, mis langevad kokku kasutajanimedega. Private Group on tehtud sisselogimisgrupis, nii vaikimisi, see tähendab, et kui kataloogi atribuudid ei näe midagi muud, määratakse see selle kasutaja kõigi failide omanikuna.
Kasutaja eragruppide eelis on see, et kasutajad ei pea mõtlema oma failidele juurdepääsu piiramisele: vaikimisi juurdepääs kasutajafailid Alates nende loomise hetkest on piiratud. ISWSis, privaatsete rühmade kasutamisel saab kasutaja lugeda või muuta ainult sellesse kuuluvaid faile. Lisaks saab see luua ainult teie kodukataloogi faile. Seda vaikimisi käitumist saab muuta süsteemi administraator või kasutaja ja mõlemad individuaalse faili tasemel ja kataloogi tasandil.
On mitmeid käske, millega kasutaja saab kontrollida oma nime ja / või rühma, kuhu see kuulub või nime või grupiga, isikule, kellele programm toimub. Üks neist programmidest on Newgrp.
Newgri käsku saab teha iga kasutaja poolt. See võimaldab tal liituda rühmaga, kellele see ei kuulunud, vaid ainult siis, kui sellele grupile määratud parool. See käsk ei võimalda teil grupiga liituda ilma parooliga, kui te ei ole selle grupi liige.
Newgri käsku saab kasutada grupi suhtes, mille liige on juba kasutaja. Sellisel juhul teeb NewgRP nimetatud sisselogimise grupi. Kasutajagrupid on jagatud kahte tüüpi: sisselogimisgrupp ja kõik teised rühmad, kuhu see kasutaja kuulub. Kasutaja võib kuuluda mitmesse rühma, kuid selle kasutaja sisselogimise grupi grupp määratakse alati kasutajapõhiste failide grupi omanikule.
Lisaks Newgrpile Chown ja CHGRP käske saab kasutada ka faili või teise kasutaja või grupi faili kuuluva faili kuuluvuse haldamiseks.
Newgrp käsk piirkond XWindow keskkonnas piirdub Xterm programmi, kus see on lõpule viidud: kontekstis uue grupi, ainult programmid, mis töötavad selle terminali kaudu, ja seetõttu ei saa kasutaja ei saa muuta programmide sisselogimisrühma Käivita läbi akna dispetšer. Programmi, mis tuleb alati teha kontekstis sekundaarse grupi kontekstis saab läbi skripti, milles on vaja nõutud sisselogimisrühma.
XWindow süsteem tutvustab alati täiendavaid raskusi. Sisse sel juhul Need raskused ei ole otseselt seotud X-ga ja järgima töö loogika / jne / jne / jne / jne / gshadow. Need, kes ei kasuta gruppidele vari paroole, murettekitame eriti selle pärast. X puhul seadke parooliga kaitstud rühm lihtsast skriptist, aga sekundaarse kasutajarühmade puhul, mis ei vaja parooli sisendit, on grupi muutus äärmiselt lihtne. Järgnevalt on järgmine stsenaarium:
sG - GIF-C / USR / X11R6 / BIN / XV &
Selle skripti alguse tulemusena käivitatakse XV programm, mille peamine rühm on GIF-grupp. Mida pidi saama.
Shadow grupi paroolide kasutavate inimeste jaoks raskem, sest sel juhul selle skripti täitmisel ilmub ekraanile veateade. Kui kasutajad on loetletud / etc / gruppide failis loetletud, loetakse mõni neist automaatselt pärast süsteemi sisselogimist vahetult pärast seda. Shadow parooli puhul liigutatakse grupi kasutajate nimekiri failile / etc / ghadow'ile, nii et masinaga sisse loginud kasutaja ei krediteerita masin oma liikmetele, kuid saab sellega liituda Newgrp käsk või mis tahes programmi oma nimest käsu abil käsu abil SG-ga. Probleem on selles, et X-vaatenurgast ei ole see kasutaja (mis ei ole tingimata kasutaja, kes algatas tööseansi poolt X), ei ole õigust ühenduse installida. Seetõttu muudab kaitsmata paroolrühmade puhul eelnevalt vähendatud stsenaariumi järgmiselt:
xhosts + Lozalhost.
sG - GIF-C / USR / X11R6 / BIN / XV &
Lisatud string võimaldab teil ekraani pääseda. uus rühm (GIF). Enamiku tööjaamade puhul ei tohiks see kaasa tuua olulisi julgeolekuküsimusi, kuna see string võimaldab teil juurdepääsu kohaliku sõlme kasutajatele (lisateabe saamiseks x ja xhosti kohta leiate Linuxi süsteemi administraatori kasutusjuhendist).
MÄRGE
Kasutades X-serverit (eriti eriti XDM-i või KDM-ga), toob kaasa mitmeid oma nüansse, isegi rohkem süvendavad graafilised rakendused, kuna neid saab käivitada mitte ainult käsurea kaudu, vaid ka graafilise töölaua ikooni abil.
Kasutaja muutmine
MÄRGE
Tavaline kasutaja ei saa põhjustada süsteemi nii palju kahju kui hooletu superkasutaja saab teha. Teie tüpograafilise superaatori tagajärjed võivad olla üsna surmavad, kuni punktini, mida kõik teie süsteemi failid (ja üldiselt kõikidesse süsteemi salvestatud faile võib öelda hüvasti jätta. Mõnes ettevõttes võivad nad pärast seda öelda "hüvasti" ja sina.
Ühe kasutaja teise ümberkujundamine teises on su käsk. Meeskond sai oma nime « asendaja. kasutaja. » (Kasutaja asendamine), kuid kuna enamasti kasutatakse seda superuseriks.
Su käsi põhjustatud ilma argumentideta küsib kasutaja parooli, mille järel (õige parooli vastusena) teeb teid juurkasutaja. See käsk on teenusepiiranguteenus, nii et kõik oma turvalisuse aspektid saab konfigureerida /etc/pam.d/su faili kaudu konfigureerida.
Märge -
SU ringlusse ei täpsustanud kasutajanime (koos või ilma defis või ilma ilmata ilma või ilma), märkides teile juurkasutaja.
See sudo käsk võimaldab kasutajatele lemmikuid täita mõningaid programme superstaasi õigustes ja kasutaja, kes seda käsku pöörduvad, ei taotle superuseri parooli, vaid oma parooli. Kasutatud Sudo nagu SG käsk. Kasutaja sisestab Sudo Team_Fer_Mill, siis parooli ja kui see on lubatud see, määratud käsk toimub kontekstis administraatori kätt.
Turvalisus ja kasutajad
Kasutajad on tavaliselt huvitatud ainult selleks, et sisse logida ja käivitada vajalikke programme. Turvalisuse huvid ilmuvad neilt alles pärast oluliste failide kaotamist. Aga ta kestab kaua. Olles teadnud, et meetmed võeti vastu, unustavad kasutajad kiiresti ettevaatusabinõude.
Üldiselt ei ole nende hooldus - turvalisus. Süsteemi administraator peab kaaluma, rakendama ja säilitama julgeolekupoliitikat, mis võimaldaks kasutajatel teha oma tööd ilma nende kaitse küsimustega häirida.
Peamine oht süsteemile, reeglina pärineb sees ja mitte väljaspool. Selle allikas (eriti suurtes süsteemides) võib olla näiteks vihane kasutaja. Siiski on vaja vältida liigset kahtlust, kui teadmatusest põhjustatud kahju võetakse kurja tahtluse jaoks. Umbes kuidas kaitsta kasutajaid tahtmatu kahju nende ja välismaiste failide kirjeldatud esimeses osas raamat. Nagu praktika näitab, keskmine kasutaja ei suuda süsteemi kahjustada. On vaja ainult muretseda nende kasutajate pärast, kes suudavad leida kaitsemehhanismides lünka ja on tõesti võimalik süsteemile suunatud kahju tekitada. Kuid sellised kasutajad on tavaliselt vähe ja aja jooksul teada, eriti kui sa tead, mida pöörata tähelepanu. Riskirühm hõlmab kasutajaid, kes oma positsiooni tõttu või tänu nende suhetele pääseb juurde juurdusalade tasandil. Nagu te kapten selle raamatu materjali, siis saate teada, mida täpselt tuleks pidada märkide eelseisva probleemidena.
Vaikimisi saavad kasutajad täieliku kontrolli oma kodukataloogide üle. Kui kasutate vaikimisi gruppi, kuuluvad kõik süsteemi kasutajad samasse gruppi. Igal kasutajal on õigus tutvuda teiste kasutajate kodumaiste ja nendega failide juurde. Kui kasutate skeemi kasutajate rühmadega, on ükskõik millise süsteemi kasutajal juurdepääs ainult oma kodukataloogile ja teiste kasutajate kodukataloogidele ei ole sellele kättesaadavad.
Kui kõik süsteemi kasutajad on vaja jagatud juurdepääsu mõnedele ühised failidOn soovitatav luua mõnda üldist kataloogi konkreetselt nendel eesmärkidel, et alustada rühma, kelle liikmed oleksid kõik kasutajad (see võib olla kasutajagrupp või mis tahes muu grupp olete loonud), ning annab sellele grupile asjaomaste juurdepääsuõigustega See ühine kataloog. Kui kasutaja soovib mõningaid selle faile teistele kasutajatele kättesaadavaks teha, võib see lihtsalt kopeerida need sellesse kataloogi ja tagada, et need failid kuuluvad samasse rühma, et kõik kasutajad on liikmed.
Mõned kasutajad tuleb kasutada või lihtsalt ei saa ilma programmideta, mis ei kuulu ASC komplektis. Enamik kasutajaid omandab lõpuks palju oma faile: dokumendid, konfiguratsioonifailid, stsenaariumid jne. OpenLinuxi süsteem ei paku kasutajatele spetsiaalset hooldust oma failide korraldamisel, jättes selle ülesande süsteemi administraatorile.
Iga uue kasutaja kodukataloogis loodud kataloogide struktuur määrab sisu / etc / skelda kataloogi sisu. Järgmised kataloogid on tavaliselt tüüpiline / etc / Skelis:
Neid katalooge kasutatakse binaarfailide, lähtefailide, dokumentide failide ja muude mitmekesiste failide salvestamiseks. Paljud vaikimisi programmid pakuvad teatud tüüpi failide salvestamiseks ühes neist alamkataloogidest. Olles saanud selgituse nende käsutuses olevate kataloogide ametisse nimetamise selgituse, hakkavad kasutajad tavaliselt kasutama neid, kuna see kõrvaldab neil vajadusest midagi leiutada. Ära unusta teha ~ / bin kataloogi üheks viimaste kataloogide loetletud tee kasutaja muutuja.
Turvalisus ja paroolid
On öeldud, et kui see on hea, seal ja puruneb, - see avaldus mäletatakse sageli, kui tegemist on turvasüsteemis paroolide tähtsusega. Üldiselt määrab turvasüsteemi usaldusväärsus paljude tegurite arvu järgi, eelkõige Mis MSV-süsteemi teenused muudavad välistele kasutajatele kättesaadavaks (kas seda kasutatakse veebiserverina, kui see on võimalik sisestada Telneti abil jne .).). Teine määratlemise tegur on kasutaja paroolid, mis toob meid teise teguriga - vastavus kasutajapoliitikale. Lihtne kasutaja teab turvalisusest midagi. Kui me kasutame kasutajat ja ei taha muuta oma suhtumist julgeoleku sunnitud meetodeid, peaksime tegema turvasüsteemi mugavaks ja arusaadavaks. Kõige raskem mugavust. Kõik ohutu ei ole tavaliselt mitte liiga mugav (kuna prognoositavuse ja elementaalsuse mugavus ei ole ohutusega kombineeritud) ja seetõttu siseneb konflikti inimeste tavapärase käitumisega inimeste tavapärase käitumisega, kes eelistavad kõiki võimalusi kõige mugavam viis. Lõpuks kasutajad töötavad süsteemiga, et täita neile usaldatud töö ja mitte lisada uut. Selleks, et kasutajad tahtlikult ei läinud paroolidega töötamisel kõige vähem vastupanu, püüan tavaliselt neile selgitada, mille jaoks on vaja paroole ja miks on oluline nende ohutuse säilitamine. Oluline ei ole üldistest positsioonidest nagu "madal turvasüsteem võib häkkida ja varastada või kahjustada olulisi faile" ja kasutaja isiklike huvide positsiooni.
Enamik kasutajaid mõistavad e-posti tähtsust nende töö jaoks. Sellegipoolest ei mõista nad, et igasse süsteemi sisestatud nende nime all on võimalus kasutada nende nimel nende e-posti nende vastu. Küsige kasutajalt, kas ta kasutab e-posti isiklikuks otstarbeks. Tõenäoliselt vastab ta sellele jahile. Siis küsi temalt, kas ta pidi e-posti teel olulisi äriküsimusi lahendama. Ei ole vähem kui need, kes vastavad iga päev "ei". Kuid isegi negatiivse vastuse korral võivad mõned äripartnerid teha tehingut hästi e-posti teel, mis on seotud tehinguna telefoni teel.
Pärast seda selgitab kasutajale, et tema e-kirjad Mõnikord on see sama, mis selle isiklik allkiri. Ja kuigi elektroonilise sõnumi pealkirja saab asendada, enamikul juhtudel on selline asendamine ka võltsitud allkirjana ebaseaduslik. Aga kui keegi, ühel või teisel viisil, siseneb teise kasutaja parool, siseneb süsteemi oma nime all, siis on see kujukalt öelnud, saab tellida teise isiku allkirja. Kõik neile saadetud kiri on tehniliselt eristamatu kasutaja poolt ise saadetud posti teel. Praktika pakkudes kellegi sisenemisvõimet teise nime all on ebasoovitav ja seda tuleks vältida (erand on süsteemi administraatorid, kes kasutavad seda funktsiooni, et testida sisselogimissenaariumide ja kasutajaparameetrite testimist, kuid selle jaoks ei pea nad selle parooli tundma kasutaja). Soovimatuid nähtusi tuleks seostada süsteemi all kellegi teise nime all (isegi teise kasutaja loal). Kuidas ebasoovitav see on? Vastus sellele küsimusele määratakse kindlaks ettevõtte julgeolekupoliitika tõsidusega.
Kuid kasutajad peavad siiski mõistma, et seal on ka teisi ohtlikke viise, kuidas saada volitamata juurdepääsu oma kontole. Juhtum on kõige levinum, kui kasutaja, kes kardab parooli unustada, muudab selle lihtsaks, mis tähendab arvata või salvestab parooli parooli paroolile, mis on sageli monitori külge kinnitatud. Parooli turvasüsteem põhineb kahel asjal: pidev kasutajanimi ja perioodiliselt muutuv parool. Enamik inimesi ei ütle PIN-koodi kellelegi juurdepääsu oma pangakontole, kuid nende kasutaja parool ei ole kaugeltki nii armukade. Kuigi erinevalt olukorrast pangakontoga, kus pidev osa, see tähendab, et krediitkaart on füüsiline objekt, juurdepääs sellele, mis on ikka veel vaja, et saada parooli turvasüsteemi pidev osa, st kasutajanimi tuntud kõigile (vähemalt kõik ettevõtted ja need, kellega see kasutaja kirjutas kirjavahetust e-posti teel). Seega, kui muutuja osa salvestatakse kusagil või kergesti arvata või on valitud programmi poolt, mis sõnastikus sõnastiku sõnastikku sõidab, ei saa sellist kontot pidada hästi kaitstud.
Lõpuks peaksid kasutajad teadma selle meetodi olemasolust parooli vastuvõtmise "sotsiaalse insenerina" (Sociaalengineering). Enamik meist on kohtunud nende elus vähemalt ühe isikuga, kes võib öelda "libedaks juba". Sellistel inimestel on võime veenda teisi inimesi, kasutades loogilist argumenti, et anda neile vajalikud andmed. Aga see ei ole ainus võimalik meetod Uurige kellegi teise parooli. Mõnikord on piisav.
Sellistele juhtumitele vastulause vahend on tavaline parooli muutmine. Loomulikult saate muuta parooli aega kümne aasta jooksul, kuid see on parem mitte võtta lüngad vahel nihked liiga pikk, samuti parem mitte teha neid ja liiga lühike, näiteks kord tund aega. Ärge muutke parooli liiga pikka aega tähendab ennast häkkimise riski.
MÄRGE-
Regulaarse kasutaja varjusõlme all oleva autsiderite tungimine võib olla kurb tagajärjed mitte ainult selle kasutaja failide jaoks, vaid ka kogu süsteemi jaoks tervikuna, kuna rohkem see autsaider teab teie süsteemist, Lihtsam see on leida kärped oma kaitse.
Pange tähele, et enne töö alustamist teostab skript mõningaid kontrolle: kas see töötab juureõigusel, kas algne UID on hõivatud ja nii edasi. Siiski on võimatu öelda, et ta kontrollib kõike.
Paroolide häkkimine
Üks võimalus kontrollida süsteemi turvalisust tähendab, et panna ennast ründaja kohale ja proovige mõelda ja tegutseda isikut, kes üritab kaitset rikkuda. See tähendab, et kasutajate seas on vaja kõndida, kas salvestatud parool ei ole ühegi monitoriga seotud, kas keegi jätas keegi tabelis tabelis identifitseerimisandmetega või "pass" just sel hommikul, kui Kasutajad sisestavad süsteemi (võib-olla, on võimalik märgata, kuidas mõni neist valitakse klaviatuuri parooli).
See tähendab ka seda, et peate pöörama tähelepanu kasutaja monitori orientatsioonile, millel on juurdepääs tundlikule teabele, et teada saada, kas see on nähtav kellelegi teisele nähtav. Järgmisena, kui need kasutajad lahkuvad oma töökohast, kas nad käivitavad parooliga blokeeritud ekraanisäästja programmi ja võib-olla tulevad süsteemist välja või ei tee midagi?
aga parim viis Kontrollige tugevuse parooli turvalisuse ja kasutajate suhteid - proovige kasutaja paroole häkkida. Parooli häkkimise programmi korrapärane täitmine võib anda oma paroolikaitsesüsteemi kindluse üsna hea hinnangu.
Msvs 3.0- kaitstud multiplayer multitegumtööstus OS ajal eraldamine välja töötatud põhjal Linux. Operatsioonisüsteem pakub mitmetasandilise prioriteediga süsteemi, millel on ümberasustav multitegumtöötlus, virtuaalne mälu organisatsioon ja täielik võrgu tugi; Töötab multiprocessor (SMP - sümmeetriline multiprocesing) ja klastri konfiguratsioonid Intel, MIPS ja SPARC platvormidel. MSV-de omadused 3.0 - sisseehitatud kaitsevahendid volitamata juurdepääsu eest, mis vastavad Riigikomisjoni riikliku tehnilise komisjoni nõuete nõuetele Venemaa Föderatsiooni presidendi raames 2 andmetöötlustehnoloogiat. Kaitsevahendid hõlmavad kohustuslikku juurdepääsu kontrolli, juurdepääsukontrolli nimekirju, rollimudeli ja välja töötatud auditeerimisvahendeid (sündmuste logimine).
ISWS 3.0 failisüsteem toetab faili nimesid pikka aega kuni 256 tähemärki, kus on võime luua vene keelt kõnelevaid faile ja katalooge, sümboolseid linke, kvoote ja juurdepääsuõiguste nimekirju. On võime paigaldada rasva ja NTFS-failisüsteeme, samuti ISO-9660 (CDS). Kvoodimehhanism võimaldab teil kontrollida kettaruumi kasutajate kasutamist, töötavate protsesside arvu ja igale protsessile eraldatud mälumahtu. Süsteemi saab konfigureerida hoiatuste väljastamiseks, kui kasutaja poolt taotletud kasutaja läheneb antud kvoodile.
MSVS 3.0 sisaldab Graafilist süsteemi, mis põhineb X-aknil. Graafika keskkonnas töötamiseks pakutakse kahte akna juhit: IceWM ja KDE. Enamik programme ISWS on keskendunud tööle graafilises keskkonnas, mis loob soodsad tingimused mitte ainult kasutajate operatsiooni, vaid ka nende üleminek Windows operatsioonisüsteemi MSV.
MSVS 3.0 tarnitakse konfiguratsioonis, mis välja arvatud kernel sisaldab täiendavaid tarkvaratooteid. Ise operatsioonisüsteem Kasutatakse automatiseeritud töökohtade (relvade) ja automatiseeritud süsteemide ehitamise põhielemendina. Lisatarkvara saab paigaldada valikule ja keskendub maksimaalsele automatiseerimisele ja domeeni haldusele ja haldamisele, mis vähendab HARMMi teenindamise maksumust ja keskenduda nende sihtülesande kasutajatele. Paigaldusprogramm võimaldab installida operatsioonisüsteemi Boot CD-lt või võrgu kaudu FTP-protokolli kaudu. Tavaliselt paigaldatakse ja konfigureeritakse paigaldusserver ja konfigureeritakse kettaid ning seejärel paigaldatakse võrgu kaudu teiste arvutite paigaldamine. Töödomeeni paigaldusserver teostab tarkvara uuendamise ja taastamise ülesande töökohtades. Uus versioon lükatakse edasi ainult serveris ja seejärel tekib töökohtade automaatne värskendus. Kui see kahjustab töökohad (näiteks siis, kui kustutate programmifaili või käivitatavate või konfiguratsioonifailide kontrollsummate väljatöötamise), vastava tarkvara automaatselt uuesti.
Administraatori installimisel tehakse ettepanek valida kas üks standarditüüpide paigaldamise või kohandatud installi. Standarditüüpe kasutatakse standardse töökohtade paigaldamisel ja katta peamised standardvalikud töökohtade korraldamiseks, mis põhinevad perse 3.0 (joonis 1). Iga standarditüüp määratleb paigaldatud tarkvaratoodete komplekti, ketta konfiguratsiooni, failisüsteemide komplekti ja mitmeid süsteemi seadeid. Kohandatud installimine võimaldab meil selgesõnaliselt seadistada kõik lõppsüsteemi märgitud omadused kuni üksikute tarkvarapakettide valikuni. Kui valite kohandatud installi, saate installida ASW 3.0 arvutisse juba installitud teise operatsioonisüsteemi (näiteks Windows NT).
MSVS 3.0 sisaldab ühtset dokumentatsiooni süsteemi (ECD) teavet erinevate aspektide süsteemi toimimise. ESD koosneb dokumentatsiooni serverist ja andmebaasist, mis sisaldab kirjelduste kirjeldusi, juurdepääsu brauserite kaudu. Täiendava tarkvara installimisel ECD andmebaasis on asjakohased võrdlusosad. ESD-d saab igal töökohal kohapeal paigutada või MSV-de domeenis saab eraldada spetsiaalset dokumentatsiooni serverit. Viimane võimalus on kasulik kasutada suurt mõõdet ISWSi domeenides, et salvestada kogu kettaruumi, lihtsustada juhtimisprotsessi ja ajakohastada dokumentatsiooni. Juurdepääs teiste töökohtade dokumentatsioonile on võimalik MSV-dega varustatud veebibrauseri kaudu 3.0.
MSVS 3.0 on veneldatud nii tähtnumbriliste ja graafiliste režiimide puhul. Virtuaalsed terminalid toetatakse, mis vahetatakse, mis viiakse läbi võtme kombinatsiooni abil.
Süsteemi terviklikkuse seisukohast peamine punkt on IS-i uute kasutajate registreerimisoperatsioon, kui kasutaja atribuudid on määratletud, kaasa arvatud turvavõrgustikud, vastavalt kasutajale juurdepääsu kontrollisüsteemile operatsiooni. Mandaadi mudeli aluseks on uue kasutaja registreerimisel sisestatud teave.
Rakendada kaalutlusõiguse juurdepääsu kontrolli, traditsioonilisi mehhanisme kasutatakse UNIXi mehhanismide juurdepääsuõiguste ja juurdepääsuõiguste nimekirjade (ACL - juurdepääsu loetelu). Mõlemad mehhanismid rakendatakse tasandil faili süsteem MSVS 3.0 ja aitavad kehtestada failisüsteemi objektide juurdepääsuõigused. Bittid võimaldavad teil kindlaks määrata kolme kasutajate kategooria õigused (omanik, rühm, muu), aga see ei ole üsna paindlik mehhanism ja seda rakendatakse enamiku operatsioonisüsteemi failide õiguste täpsustamisel, kõige enam kasutatavatest kasutajatest kasutatakse võrdselt. ACL-i nimekirjade abil saate seada õigusi üksikute kasutajate ja / või kasutajarühmade tasandil ning seeläbi saavutada õige detail õiguste ülesandes. Nimekirju rakendatakse failidega töötamisel, mille puhul on vaja näiteks mitme konkreetse kasutaja jaoks erinevaid juurdepääsuõigusi.
Üks olulisi traditsiooniliste UNIX-süsteemide olulisi puudusi, turvalisuse seisukohast on tagatise kättesaadavus, millel on kõige laiemad võimalikud volitused. Funktsioon MSVS 3.0 - Superiseri funktsioonide detsentraliseerimine. Süsteemi haldamise ülesanne on jagatud mitmeks osaks, konfiguratsiooni, ohutuse ja auditite administraatorite teostamiseks. Operatsioonisüsteemi seisukohast on need administraatorid tavalised kasutajad, kellele antakse võimalus käivitada spetsiaalsed haldusprogrammid ja juurdepääs sobivatele konfiguratsioonifailidele. Süsteemi administraatorite kontode loomine toimub paigaldusfaasi 3.0 paigaldamisel.
Iga administraatorit vastutab ainult nende ülesannete täitmise eest, näiteks konfiguratsiooniadministraator haldab failisüsteeme, võrguliideseid, süsteemiteenuse seadeid jne. Turvalisuse administraator vastutab julgeolekupoliitika eest ja kontrollib turvalisusega seotud turvaseadeid: minimaalne parooli pikkus, kasutaja sisselogimise ebaõnnestunud katsete arv jms. Samal ajal registreeritakse kõik julgeolekuga seotud sündmused, sealhulgas administraatorid. Auditi administraator, kes võib näiteks "puhas" auditi logisid vastutavad auditi haldamise eest.
Pöörduja funktsioonide detsentraliseerimine võimaldab teil rakendada nelja silma põhimõtet. Näiteks uue kasutaja MSVS 3.0 registreerimine toimub kahes etapis. Esiteks loob konfiguratsiooni administraator konto uue kasutaja jaoks ja seejärel registreeritakse turvahaldaja uue kasutaja kaitsesüsteemi andmebaasis. Alles pärast seda saab süsteemi uuele kasutajale sisestada.
Administratsiooniülesannete täitmiseks jaotus, "haldusvahendite" pakett sisaldab programme kasutajate haldamiseks, failide, turvalisuse, auditi, süsteemi hõlmavate ja võrgu seadete haldamiseks.
Esimene ülesanne, mis tuleb teostada pärast ISW3.0 installimist, on selles organisatsioonis rakendatud turvapoliitika haldaja moodustamine. Üks selle ülesande komponendid on kohustusliku juurdepääsukontrolli mehhanismi konfigureerida. Joonisel fig. 2 näitab kohustusliku mehhanismi juhtimisprogrammi vormi, mis võimaldab teil seadistada subjektide ja msvs 3,0 objekti volituste atribuute. Programmi akna ülaosas konfigureeritakse turvatasemeid, mille võimalikud väärtused võivad olla näiteks "mitte konfidentsiaalsed" ja "konfidentsiaalselt". Alumine osa loob kategooriate kogumi, milles kirjeldatakse teemapiirkonda, millele teave sisaldab: "Töötajad" "Tehnilised vahendid" jne. On võimalik luua kategooriate supertesi (näiteks "kategooria_1_2"), sealhulgas mitmed eraldi kategooriad ja teised Verts. Tasemega töötamine on kõige mugavam, kui neid esitades kümnendvormis, kuna taset on hierarhiline organisatsioon. Omakorda, kui töötate kategooriatega, on mugav esindada neid binaarses vormis, kuna kategooriad ei ole hierarhiline komplekt.
Joonisel fig. 3 on üks Windowsi juhtimisprogrammi vaade. Selle programmi käivitamine on võimalik ainult konfiguratsiooni- ja turvahaldurite poolt. Sellisel juhul võivad igaüks neist luua või muuta ainult neid kasutaja atribuute, mis kuuluvad tema pädevusse.
Joonisel fig. 4 kujutab failihalduse programmi akna näidet, mis võimaldab teil vaadata ja muuta faili atribuudi väärtusi. Failisüsteemi puude struktuuri visualiseerimine akna vasakul küljel hõlbustab selle navigeerimist ja valige soovitud fail. Valitud faili atribuudid rühmitatud vastavalt selle funktsionaalsele otstarbele on toodud paremal. Iga rühma jaoks eraldas vahekaarti eraldi. Vahekaart "Basic" esitleb selliseid traditsioonilisi faile atribuute, nagu tüüp, suurus, jäikade arv, kaalutlusõiguslikud atribuudid ja kellaaja sildid. ISWS 3.0 failide omadus on kohustuslike atribuutide olemasolu ja laiendades kaalutlusõiguse atribuute juurdepääsuõiguste loetelule. Mandaat atribuudid esitatakse vahekaardil "mandaadi sildi". ACL-faili haldamiseks rõhutas vahekaarti "Juurdepääsuõigused". Veelgi enam, kui valite kataloogid, mille jaoks vaikimisi ACL on võimalik, aktiveeritakse vahekaart "Vaikimisi juurdepääsuõigused". Joonisel fig. 5 näitab ACL-faili vaate akenit. Kasutaja või grupi jaoks saate lisada nii ühe kande ja paljude samadele juurdepääsuõigustega kannetele. Nagu eelmise programmi puhul, on failihalduse programmi käivitamine võimalik ainult konfiguratsiooni- ja turvahaldurite poolt. Igaüks neist saab muuta ainult faili atribuute, mida kontrollitakse selle pädevusega.
MSVS 3.0 teenused
ASA, nagu iga teine \u200b\u200boperatsioonisüsteem, kasutatakse optimaalsete tingimuste loomiseks teenuste ja rakenduste tegemiseks, mis pakuvad automatiseerimist ja kasutajate tõhususe parandamist.
Üks OS-i peamisi teenuseid on prinditeenus. MSVS 3.0 sisaldab printimissüsteemi, mis võimaldab teil dokumente printida vastavalt kaitstud süsteemide nõuetele. MSVS 3.0 printimissüsteemi funktsioonide hulgas, mis eristab seda sarnastest süsteemidest, toetab juurdepääsukontrollimehhanismi, mis võimaldab teil määratleda dokumendi privaatsuse taset ja suunata ülesande automaatselt teatud printerisse vastavalt vastuvõetud trükireeglitele Selles organisatsioonis. Iga trükitud lehte tähistab automaatselt dokumendi raamatupidamise atribuudid, sealhulgas dokumendiga trükitud kasutaja nimi ja arvuti nimi, millest ülesanne on saadetud. Üks printimissüsteemi eeliseid on selle inventar, mis on seotud prinditeenuse poole pöörduvate rakenduste suhtes. See tähendab, et see ei ole seotud olemasolevate rakendustega ja ei muutu uute rakenduste ilmumisel. Selle tulemusena peaksid kuvatavad rakendused arvestama lehtede märgistamist ja jätma selle jaoks vaba ruumi. Trükkimise fakt registreeritakse eriajakirjas, et võttes arvesse trükitud dokumente. Selle ajakirjaga töötamiseks kasutatakse spetsiaalset programmi, mis võimaldab teil vaadata, muuta mõningaid dokumente ja printida neid (joonis 6).
ISWS 3.0 kaitsesüsteemi oluline element on identifitseerimis- / autentimissüsteem. Eduka autentimise jaoks peab kasutaja sisestama õige parooli. Ilmselgelt määratleb valitud parooli kvaliteet süsteemi vastupanu sissetungijate tungimiseks. MSA 3.0 kasutaja paroolide tootmiseks lisatakse erprogramm (joonis 7).
Domeeni arvutite jälgimiseks rakendatakse serverist ja spetsiaalsetest ainetest koosnev toimimissüsteem (CF). Agendid on paigaldatud domeeni arvutitesse ja aru oma seisundi serverisse. CF-süsteem võimaldab teil saada teavet arvutitoimingute erinevate aspektide kohta (protsesside seisund, ketta allsüsteem, kerneli allsüsteemide) ja jälgida võrguteenuste toimivust (FTP, SSH jne). Serverisse siseneva teabe koguneb spetsiaalsetes ajakirjades, mis võimaldab teil jälgida mitte ainult praegust olukorda, vaid uurida ka selle tingimust kogu süsteemi toimimise perioodil.
Domeeni msvs
MSVS 3.0-d kasutatakse kaitstud automatiseeritud süsteemidel põhinevate domeenide loomiseks. Füüsiliselt domeeni rakendatakse kohaliku arvutivõrguna, millest enamik on kasutaja töökohtade korraldamiseks. Mõned neist on vaja korraldada avalike ressursside, näiteks failist server, andmebaasi server, prindiserver, posti server. Loogiliselt, MSV-d domeeni on mitmesuguseid arvuteid, mis rakendavad ühtse julgeolekupoliitika ja moodustavad ühe haldusruumi. Ühtse julgeolekupoliitika tähendab, et kõiki arvuteid toetavad üksikud teemasid ja juurdepääsuobjektid, turvaomadused ning seal on üksi eeskirju kaalutlusõiguse ja kohustusliku juurdepääsukontrolli jaoks. Selles mõttes on MSV-de domeen ka turvadomeen.
Unified Administration Space tähendab msvs domeeni infovahendite ühtset manustamist. Selle sihtasutus on MSV-de domeeni kasutajate ühtne ruum.
- Iga domeeni kasutaja jaoks toetatakse kontot, mis sisaldab vajalikku kasutajaandmeid (loogiline nimi, parool, täisnimi ja kasutaja turvalisuse atribuudid). See informatsioon Kasutatakse kasutaja identifitseerimis- / autentimismenetluste tegemiseks MSV-de domeeni sissepääsu juures.
- Iga arvuti domeenil ühiste ressurssidega (server), millele see kasutaja saab töötada, on selle töökohal täpselt sama konto.
- Turvalisuse administraatori töökohal toetatakse andmebaasi kõigi domeenikasutajate teabega, mis sisaldab nende kontot, täiustatud teavet (näiteks positsiooni, nime / osakonna number), samuti selle arvuti ja kõigi serverite nime mis tal on juurdepääs.
Seega konto on üks antud kasutaja osana MSVS domeeni ja see on läbi selle, et kasutaja juurdepääsu kontrollib domeeni teaberessursse.
Heterogeensed domeenid
Kohta sel hetkel Kaitstud automatiseeritud süsteemi väljatöötamisel võetakse olemasolevad kohalikud võrgustikud aluseks, kus serverid ja töökohti domineerivad windowsi andmebaas Nt. MSVS-platvormi organisatsiooni vahetu ülemineku võimatus tekitab selle integratsiooni probleemi Windowsiga. Siin saate eraldada kahte aspekti: optimaalse strateegia valik üleminekuks on WWW-le ja tehnilistele raskustele, mis kaasnevad selle üleminekuga.
Teabevoogude analüüsi tulemusena turvalises automatiseeritud süsteemis on alad ohutuse seisukohalt kõige olulisemad. Kõigepealt hõlmavad need piirkonnad impordi / ekspordi teabevoogude, kuna see on nende ojade kaudu, et konfidentsiaalne teave (nii väljastpoolt kui ka genereeritud sees) kuulub väljapoole maailma: prindi serverid ja eksporditeave plaatide ja lintide kohta. Teise olulisema teabe säilitamise valdkonnad on: failide serverid ja kasutaja tööjaamad.
Windowsi võrgustiku keeramise protsessis kaitstud automatiseeritud süsteemile tuleb neid võrgupiirkondi muuta peamiselt ohutuse seisukohast kõige kriitilisemaks. Esimene samm on väljundinformatsioonivoogude minimeerimine ja jälgimine. Nagu mainitud, ISWS 3.0-l on välja töötatud süsteemi raamatupidamise ja kontrollimise dokumentide trükkimine ja võimaldab võrgus ehitada oma põhjal rakendada nõudeid väljastamise trükitud dokumentide tahke koopia.
Teine samm on failide serverite edastamine Windowsi platvormist. MSVS 3.0-s pakutakse välja töötatud kasutaja juurdepääsu kontrollisüsteemi operatsioonisüsteemi teaberessurssidele, mis võimaldab teil korraldada kasutajaandmete kaitse õigel tasemel.
ISWU ja Windowsi integreerimisel tekivad mitmed tehnilised probleemid, millest kõige olulisemad on ühilduvuse probleemide / kasutaja autentimisskeemide probleemid, nendes kirillitsasüsteemides kasutatavate kasutajate juurdepääsu kontrollide põhimõtted.
Kaks esimest probleemi on see, et Windows NT keskkonnas toetatakse kasutaja sisselogimiskirmust NT domeenil, mis põhineb ühel andmebaasis, mis on salvestatud spetsiaalsele juhtimisserverile - domeeni kontrollerile. See skeem erineb põhimõtteliselt MSV-s kasutatavast skeemist. Lisaks ei ole Windows NT-arhitektuuris toetust volituste juurdepääsu kontrollile ja ASW operatsioonisüsteemi turvaomaduste kogumit ei ole võimalik näidata. Windows-süsteemid kasutavad CP1251 kodeeringut, samas kui Koi8-R kasutatakse MSVS 3.0-s, aga kogunenud andmed (töötamiseks, millega Windowsi keskkond on vajalik), salvestatakse tavaliselt CP1251-s. Sellisel juhul esineb nende kasutajate esitlus, nende sisend ja redigeerimine MSV-de keskkonnas, mistõttu on vaja transcode "lendamisel". Lisaks sellele on andmete haldamise ülesannete lahendamine (näiteks andmete sorteerimisülesanne) CP1251 kodeering vastuvõetavam kui Koi8-R.
Turvalise automatiseeritud süsteemi loomiseks, mis põhineb MSV-del 3.0-ll, töötati välja ajutise ühilduvuse võimalus NT-ga, töötati välja terminali juurdepääsu süsteem (joonis 8). See süsteem Võimaldab korraldada operatsioone Windowsi rakendustega järgmiselt: failide ja print serverid, samuti kliendi kohad on ehitatud MSVS 3.0 alusel ja Windowsi rakendustega töötamiseks on rakendusserver, mis põhineb NT Terminal Server Editionil mis viiakse läbi erilisel viisil.. Üks selle võimaluse eeliseid on kasutaja töö korraldamise paindlikkus, mis tegelikult saavad võimaluse töötada samaaegselt kahes töökeskkonnas ja kasutavad iga neist rakendusi. Puuduseks on vaja luua rakendusserver spetsiaalse juurdepääsuga, mis toob kaasa turvapoliitika piirangute tekkimise. Selle tulemusena lahendatakse MSV-de ja Windows NT integreerimise ülesanne, luues MSV-d domeeni rakenduste rakendusserveriga, mis põhineb NT-l ja terminaalse juurdepääsu süsteemi abil.
Vaatame nüüd, kuidas kasutaja töötab heterogeenses MSV-de domeenis. Kasutaja sisestab domeeni läbi käe. Windows NT-rakenduste serveri avamiseks viitab kasutaja terminali juurdepääsu kliendile. Rakendusserverisse salvestatud spetsiaalses andmebaasis on vastavus selle kasutaja kasutajanime ja selle nime vahel, mida kasutatakse võrguseadmete ühendamisel selle kasutaja jaoks. Selle tulemusena töötavad NT seansi, kasutaja võrgukettana oma töökohal näeb ainult sisu oma kodukataloogi, samuti jagatud domeeni ressursse (failiserverid ja printerid). See saab käivitada Windowsi rakendusi, kuid töötab ainult piiratud hulga failide (selle või üldise) salvestatud arvutitesse MSVS 3.0.
Konfidentsiaalsete dokumentide printimise korraldamiseks domeenis eraldatakse prindiserver MSV-de põhjal, mis vastutab printimise rakendamise ja hoolduse eest, mis takistab väljundkonfidentsiaalsete dokumentide ebapiisavat reprodutseerimist. Konfidentsiaalse teabe printimiseks, kohalike printerite ühendamine käega. Kasutaja, kes töötab Windowsi või ASW rakendustega, saadab trükkimisdokumendi ja ei ole oluline, kus dokument asub kohalikus masinal või failiserveris. Isiku vahendite abil analüüsitakse dokumendi konfidentsiaalsust. Kui dokument on konfidentsiaalne, suunatakse ülesanne välja prindiserverisse, kui mitte, trükitud kohapeal.
Kavandatud võimalused võimaldavad korraldada järkjärgulist üleminekut informatsiooni infrastruktuur Põhineb Windows NT tagada automatiseeritud informeerimissüsteemide põhineb MSVS 3.0.
Kirjandus
1. Venemaa gostekom. Juhtimisdokument. Arvutitehnika. Kaitse volitamata juurdepääsu eest teabele. Kaitse näitajad volitamata juurdepääsu teabele. Moskva, 1992.
2. D.V. Efanov. Dokumendi trükkimissüsteem // ACS ja kontrollerid. 2001, №1
Andrei Trewin - Venemaa Föderatsiooni kaitseministeeriumi töötaja. Igor Zhukov, Dmitri efanov ([E-posti kaitstud]) - All-Vene Teadusinstituudi töötajate Töötajate automatiseerimise IMOCIATSION SPRING (Moskva).
Selles ülevaates püüan luua Redhati ettevõtluse Linuxi koopia RF MO vajaduste jaoks, et näha, kuidas see kaasaegse riistvara toimib. ISWide viimane küsimus oli juba 2011. aastal, kuid see on jätkuvalt Venemaa Föderatsiooni armee "kasulik":
Paigaldamise saamine
Me paigaldame sülearvuti Fujitsu LifeBook N532, mis töötab stabiilselt Linuxis ja Windowsis. See sülearvuti ilmus 2012. aastal, vaid aasta hiljem kui MSVS 5.0.
Käivitus aken - Cut-up Copy RedHat Enterprice Linux:
Nad isegi laiskad teha tavalise laadimise akna, muutis tausta / logo, eemaldatud mittevajalikud nupud ja see ongi see.
Paigaldamise jätkamiseks vajutage lihtsalt Enter:
Paigaldaja laaditi retro-stiilis MS-DOS-i, kuid enne ISWSi 5 vabastamist oli peaaegu kõigil jaotustel graafiline paigaldaja. Debianis on ka tekstivahetaja, kuid see on palju lihtsam ja selgem kui see. Nad küsivad meid, kontrollige installi DVD-d või mitte. Vaatame lihtsalt juhul:
Plaat salvestatakse tavaliselt vigadeta. Järgmisena palutakse meil kontrollida täiendavaid meediaid, kuid mul ei ole neid.
Plaadi märgistamise tööriista käivitusvalikuga valitud kustutamise võimalus kõigile sektsioonidele. Mis siis, kui ohvitser, lootes kodumaise IT-i meelt, vajutage lihtsalt enter?
Nüüd jätkake kettamärgil. Sellel arvutil paigaldati kaks teist OS ja ma valisin "Loo oma partitsiooni"
Meil on 30 GB kasutamata volitatud ruumi, valige "Kasuta vaba ruumi ja luua vaikimisi partitsiooni" ja saada katkestusviga: Taotletud sektsioonid on võimatu levitada
Klõpsake "Jah" ja saada automaatse partitsiooni viga:
Klõpsake "Jah" ja valige "Loo oma partitsioon"
Kuna see "Dosovsky Fdisk" ei näita, kui palju hõivatud ja tasuta, nii et ma kogemata kustutada midagi, ma otsustasin vaadata osad teises operatsioonisüsteemi ja vajutasid reboot (Alt + Ctrl + Del ma mäletan MSO-st).
Arvuti on nende sõnadega lihtsalt riputatud, kuid reageerib kapslockile. Ootame veel 15 minutit ja klõpsame lihtsalt nuppu Reset. Me laadime veel ühe operatsioonisüsteemi, oleme veendunud vaba partitsiooni valiku õiglusest, jätkame paigaldamist ja reageerime plaadi märgistamise sammule. Failisüsteemide valik ei ole siin rikas, ainult ext2, ext3 ja Vfat (mis ei ole ekraanile paigaldatud).
Lahkume kõik vaikimisi, see tähendab, et me kasutame grub:
Lihtsalt vajutage ENTER.
Järgmisena palutakse meil luua parool, et muuta grubi laadimise parameetreid
ma pidin sisestama pika parooli
Nüüd jätkake bootloaderi paigaldamist. Installitud sülearvuti viimased versioonid Debiana ja Ubunti, kuid paigaldaja neid ei leidnud. Selle tulemusena pärast MSVA paigaldamist kaob operatsioonisüsteemi valiku menüü ja peate Grubi taastama LiveCD kaudu.
Kasutussüsteemide loendi liugur on väga põhja, justkui öelda, et midagi muud on. Üritasin seda liigutada, vajutades vahekaarti CTRL, CTRL + vahekaarti ja muid peamisi kombinatsioone. Aga liugur, mis positsioon oli selles ja jäi:
Klõpsake nuppu Jah ja jätkata installimist:
Valige bootloaderi installimiseks. Ma määrasin allalaadija peamise käivitusrekordi MBR-i, mis on / dev / SDA, kuid viimaste Windowsi kasutajatele on see raske küsimus. Või kõik sõjalised venelased teavad UNIXESi?
Järgmine on võrgu seadistus.
Meil ei ole võrguühendusi, vali "Ei" ja klõpsake Enter
avatud aken sisenemise taotlusega lisavõimalused Võrgusätted:
Nagu näete, ei ole nupud "Tühista" ja "Ei" vajalikud, ei ole. On ainult "jah" ja "tagasi". Oleks loogiline, kui me installisime süsteemi võrgu kaudu, kuid meil on täielik programmide täielik DVD. Klõpsake nuppu Enter.
Sa lahkusid tühja välja "Gateway". Sõltuvalt teie võrgukeskkonnast võib tulevikus olla probleeme
jätkamiseks klõpsake ja paluge meil sisestada täiendavaid võrguparameetreid. Üldiselt naaseme esimese aken võrgu seadistus ja täpsustada, et teil on vaja konfigureerida võrgu liidesKuigi meil ei ole seda.
Nad paluvad võrgu nime sisestada. Valige "käsitsi" ja leiutage võrgu nimi
Valige oma ajavöönd:
Valige juurkasutaja parool (mitte vähem kui kuus tähemärki):
Valige paigaldamiseks mõeldud pakendite loend. Ma valisin kõik
Täiendav sõltuvus on sisse lülitatud, pärast seda, kui aken on paigalduslogi aadressi avanud:
Paigaldusprotsess:
Ma ei saa aru, kas need probleemid fontidega või kodeerimisega?
Paigaldamine kerkib kuni 100% ja paigaldaja tervitab teid õnnelikult meid paigaldamise lõpetamisest, palub eemaldada eemaldatavat meediat ja vajutage Enter taaskäivitamiseks. Vajutage Enter ja arvuti lihtsalt ripub nagu viimane kord.
Vajutage toitenuppu, oodake paar minutit ja oh, õudus, kõik on inglise keeles. Või kas see on selline vene keel vene armee?
Kus on meie debian ja ubunta? Seal on ainult üks MSV. Aga midagi kohutavat, seda saab parandada, paigaldades Grub laaduri uuesti installimisega LiveCD kaudu.
Lihtsalt vajutage ENTER allalaadimiseks
Süsteem on loll 15 sekundit ja näitab vigu: mälu krahhi kerneli (0x0 kuni 0x0) mittewitithin lubatav; Synaptics Riistvara ei saa päringuta (ma ei saa küsitleda puuteplaadi)
ja jätkab allalaadimist, avaneb menüü Seaded allalaadimisprotsessi ajal.
Lihtsalt vali "Väljund" ja klõpsake Enter. 10 sekundi pärast avaneb see ekraan, kus ajakava ei ole ühtegi vihjet. Sisestame sisselogimise ja parooli ning süsteem on valmis töötama:
Muide, pöörake tähelepanu, kernel on paigaldatud siin 2.6.18. See kernel tuli välja viis aastat varem kui MSVS 5.0. Jah, viie aasta jooksul oli võimalik ehitada terveid tööstusharusid, nagu Stalini viie aasta plaatidel, kuid peaaegu 10 aastat on möödunud! Selles kaugel ajal olin ma lihtsalt Linuxist huvitatud. Kuigi nad saavad viis aastat koodi turvalisuse auditi.
Okei, proovige kasutada seda, mis on.
Me püüame käivitada graafikat. Nixes graafika käivitamiseks peate tavaliselt sisestama Startxi, sisestage StartX:
#startx
ja saada vigu:
Siin ma avasin konkreetselt vea logi /var/log/xorg.0.log nii, et see oli selge, mis asi on: süsteem ei saa alla laadida Standard FBDEV ja VESA draiverid.
Me peame süsteemi taaskäivitama ja töötavatele operatsioonisüsteemile naasma, sisestage taaskäivitamine ja uuesti külmutamine, kui taaskäivitamine:
Püüame installida Virtualboxi kaudu:
Sisestame ka sisselogimisjuur, parool ja startx
Loomulikult ei soovita turvakaalutlustel VNIINS administraatoriõõnsuste käivitamist. Ja miks siis pärast esimest käivitamist või paigaldajat ise ei soovitata turva eesmärgil luua lihtsaid kasutajaid, nagu paljudes teistes jaotustes?
O_O, selgub töötama.
Töölaud MSVS 5.0
Niisiis, et me näeme - ilus kerge töölaud, simuleerib vana aknad ja KDE. Aga see on lihtsalt kaunistatud magustoidu töölaud
Failihaldur vabastatakse 11 aastat tagasi, on väga sarnane kärbitud Konquerroriga
Süsteemis Tre, ajaindikaator koos kalendriga, klaviatuuri paigutuse lüliti ja kättesaadavuse taseme indikaator (kuid see on pigem MSVS arendajatest).
Seaded MSVS 5.0.
Linuxis, mõned programmid (näiteks kromium) ei kehti juurekasutaja, see me kõigepealt luua uus kasutaja ja minna süsteemi kaudu:Start - Seaded - Elk Control Panel, Kasutaja haldamine - Lisa uus kasutaja:
Parool peab olema vähemalt 8 tähemärki!
Ohutuse atribuudid on muljetavaldavad, kuid me ei puuduta neid:
Kasutaja loodi edukalt. Jäta seansi ja saada otse juurkontole, kus hunnik vigu tervitab meid:
Me lahkume sellest kontost, vajutades Ctrl + D, logige sisse uue kasutaja poolt ja käivitage Startx. Ikers alustas, kuid hiire liigutused ja klaviatuuriühendused ei reageeri. Taaskäivita virtuaalne masin See ei aita, selle konto õõnsused ei tööta. Noh, sa pead töötama juurest, mis on turvahäire.
Ekraani eraldusvõime USA 800x600-st proovige seda muuta. Mine "Juhtpaneel" ja valige ikoon "Monitori". Aken avaneb sõnumiga, et meil ei ole Xorg.conf-faili ja et ekraan on selle loomise ajal tume. Loo selle või mitte?
Klõpsake "Jah"
Konfiguratsioon Initsialiseerimisviga:
Pärast seda avaneb akna monitori seadetega. Me püüame midagi muuta, kuid mitte reaktsiooni. Tähelepanuväärne on see, et see aken näitab Windows 95 ekraani näidet. Ja kui vajutate nuppu "Jah" ja "Tühista" nupud, ei sulgu ja midagi ei juhtu. Sulgege akent saab pressida ainult ristile.
Menüüs "System" on üksus "Switching Ekraaniõigused". Me valime selle ja pakume treenimisprogrammi ainult kahe punktiga: 800x600 ja 640x480 ja 60Hz sagedus. Aga Freedos OS, ma võiks panna see üles ja isegi muuta sagedust. Seega järeldus, et ISWSi tarkvara ajakava halvem kui Dos!
Me vaatame seadmete teavet:
Pärast klõpsamist "OK", see aken avaneb:
MSVS 5.0 programmid
Huvitav, kui me tõlkime hiirekursorit Ede programmidest KDE-s, hiirekursori värvi muutused.Seda seetõttu, et HSS töölaud on Ede ja KDE lauaarvutite segu.
Net. Kokku kümme programmi selles kategoorias, sealhulgas Elk vaatleja, IRC, WRESHARK, GFTP, postimonitor, võrgu monitor ja PPP seadistus- ja võrguseadme juhtimine.
Võrguseadmete haldamine
Posti klient ei käivitu:
Elk brauseri brauser on Aurora brauseri täpne koopia. Vaadake, nad nimetasid nad ümber Elk-le, kuid unustasid logo muuta:
Elk brauser:
Kommunaalteenused
Kommunaalteenused, samuti 4 terminal: Elk-terminal, X-terminal, konsool ja terminal superuser režiimis. Kas sa tead, miks seal on nii palju? Kuna WSA töölaud on KDE-ga endi segu. Nad asustasid isegi mittevajalike kommunaalteenuste eemaldamiseks, mida kõik vaikimisi olid nii nad lahkusid.
Sel põhjusel on palju programme kahest erinevast lauaarvutist, kuid samade funktsioonidega. Eriti kehtib see piltide vaatamise, dokumentide (PDF, DJVU jne) ja tekstiredaktorite vaatamise kohta.
Teksti EMACS tekstiredaktor MSV-s:
Teaduslik. Teaduslikus, ainult KDE kalkulaator, mis ilmus 2005. aastal:
Graafika. Selles osas kõik programmid KDE + Xsane 2007 vabastamist.
Mängud. Mängudes, KDE mängude kogum, millest sõjalised mängud on Sapper ja langevarjud:
Multimeedia. Lihtne meediapleier, helipleier, K3B (CD / DVD-kirje), heliregulaator ja helisalvestusprogramm.
Heli kontrollimiseks peate alla laadima mõne filmi virtuaalsesse süsteemi. Heli ja video ei tööta üldse. Panen Seaded Virtualbox Alsa, OSS, SOUNDBLASTER16 - Miski töötab. Üritasin OGV, OGG, MP4 - Mõnel juhul nõuab koodeksi paigaldamist teistes - näitab viga:
Proovime installida ffMpeg:
Avage Start - Elk Control Panel - programmijuht
enne mõne sekundi algust kontrollitakse pakettide nimekirju.
proovime leida FFMPEG.
See on selline vene keel vene armee!
fFMPEG oli paigaldatud pakettide loendis. Ja otsing OSS ja ALSA (helisüsteemid) ei andnud üldse tulemusi. Office ja Firefoxi taotlused ei andnud tulemusi.
k3b Alustades seda annab vea, et see ei leia tüüpi MIME. Te peate vajutama 10 korda ok ja siis see algab:
Süsteemi väljalülitamine:
Väljund ...
1. Tänapäeva seadmete puhul ei tööta ISWS
2. Süsteemi tuum nagu kogu tarkvara avaldas 11 aastat tagasi kaasaegsed seadmed Ei toetata
3. Ekraani eraldusvõime on seatud 800x600-ni ja ei muutu
4. Video süsteem töötab ainult emulaatoris, kuid näitab vigu pärast töö lõpetamist.
5. Heli ei tööta üldse
6. Graafika töötab ainult juurkasutaja poolt, mis on turvahäire
7. Vaikimisi sulgemise ja taaskäivitamise käsud on saadaval ainult konsooli kaudu ja tegutsevad ainult emulaatoris.
Üldised järeldused.
MSVS5.0 - Redhat Enterprice Linux5.0 (2007) kopeeritakse 2011. aastal (2007), töötab see 2011. aastal välja antud arvutites valesti. Jah, Vene armee puhul on see üldiselt märgatav sügavale vanale antiikile, näiteks aviance cruiser "Admiral Kuznetsov'ile oma hüppelauaga, selle asemel, et õhusõiduk on sunnitud lendama mittetäieliku laskemoona ja mõnikord Jalgge veele, kui võtta alla õhusõidukite ja kütteõli paigaldamise korral, mis vajab matkamise ajal tankimist ...
Kindlasti vähemalt mõned meie lugejad mõtlesid, mida operatsioonisüsteemi kasutatakse meie relvajõududes. Lõppude lõpuks, me kõik mõistame, et see ei saa olla mõnel raketisekompleksis, mis on vastuolus, seista aknad. Täna me minimeerime saladuse kardina ja rääkida ISA OS-st. See on nn Mobiilside Taotluse ulatus räägib oma nimest, vaid selle kohta, kuidas see üldiselt on, ütleme.
Eeltingimused loomiseks
Esmakordselt formuleeriti arvutisüsteemide ohutuse kriteeriumid eelmise sajandi 60ndate lõpus 60ndate lõpus. 1980. aastate keskel koguti USAs kõik need arengud ühes dokumendis. Nii sündis kaitseministeeriumi "oranži raamat" - arvutisüsteemide turvalisuse esimene standard. Pärast selliseid dokumente ilmusid Euroopa riikides ja Kanadas. 2005. aastal koostati 2005. aastal rahvusvahelise julgeolekustandardi ISO / IEC 15408 "üldkaitse kriteeriumid".
Venemaal viidi läbi sarnased uuringud Kaitseministeeriumi 22. Kesk-uuringute Instituudis. Arengu lõpptulemus oli ISA OS-i 2002. aasta kviitung Venemaa Föderatsiooni relvajõududes. ISO / IEC-i nõuete alusel asuva riigi standardi versioon võeti vastu 2008. aastal.
Miks sõjaväelane
Operatsioonisüsteemid, mida me iga päev kasutame, ei sobi kasutamiseks riigihoidlates. Gostekomissia Vene Föderatsiooni presidendi raames sõnastas need järgmiselt:
- Teave peab olema kaitstud volitamata juurdepääsu eest nii sees kui ka väljaspool.
- Süsteem ei tohiks sisaldada dokumenteerimata võimalusi, teisisõnu, ei tohiks OS-koodi "lihavõttemunad" ei tohiks olla.
Lisaks peab kaitstud operatsioonisüsteem olema mitmetasandilise hierarhilise juurdepääsu struktuur ja eraldatud manustamisfunktsioonid.
Seega ei ole spetsialiseerunud suletud operatsioonisüsteemi loomise ülesanne nii lihtne, kui see tundub esmapilgul. Puudumine dokumentideta võimekuse eeldab, et lähtekoodi ja tehnilise kirjelduse kõikide tööprotseduuride põhjalikult uuritud sertifitseerimiskeskuses. Ja see on omanikuettevõtete ärisaladuse valdkond või intellektuaalne omand Arendajad. Selline paradoks teeb teid silmade koostamisel avatud operatsioonisüsteemi suunas, sest see on peaaegu võimatu saada täielikku tehnilist dokumentatsiooni patenteeritud tarkvara jaoks.
Nõuded Gost R.
FSTEC, kui teenust, kes vastutab infoturbe eest riigi ulatuses, kehtestab operatsioon operatsioonisüsteemi eraldamine vastavalt töödeldud teabe kaitse tasemele. Mugavuse huvides vähendatakse kõik andmed ühele tabelile.
Tabelist on näha, et mitmete nõuete, kolme rühma ja üheksa turvaklasside puhul luuakse volitamata juurdepääsu eest ja neile on veelgi eraldamist mitmesuguste konfidentsiaalse teabe tunnistamiseks.
Linuxi südames
Mis on nii mugav Linuxile, mis on hea meel teenida riigiaparaadis? Lõppude lõpuks, enamasti lihtsate kasutajate kardavad teda, nagu omadused Ladan. Vaatame selle välja. Alustamiseks pöörake tähelepanu litsentsile, mille kohaselt "Linux" levitatakse. See on nn GPL2 - universaalne avalikkus või tasuta litsents. Igaüks saab lähtekoodi ja selle põhjal luua oma toodet. Teisisõnu, keegi häirib parimaid Linuxi jaotusi ja kasutage neid oma kaitstud operatsioonisüsteemi arendamisel.
Maailma töökogemus riigiasutused See näitab, et üleminek tasuta tarkvarale esineb kõikjal, on idee nõudmisel ja üsna õigustatult. Juhtivad maailma riigid, nagu Ameerika Ühendriigid, Saksamaa, Jaapan ja kiiresti läheneva Hiina ja India, kasutavad aktiivselt Linuxi GOSFe ja hariduses.
ISWS ja selle sisu
Mobiilsüsteem Versioon 3.0 töötas kümme aastat vägedes, täiuslikumat toodet selle asendamiseks ja saame rahulikult vaadata "Hood" veterani. Niisiis, see on võrgu operatsioonisüsteem, mis töötab multiplayeris graafilise kasutajaliidese abil. Toetab riistvara platvorme:
- Intel.
- IBM-süsteem / 390.
Spapc / "elbrus".
See põhineb sel ajal kättesaadavate parima Linuxi jaotustel. Paljud süsteemi moodulid laenatasid Redhat Linuxist ja recompilated võttes arvesse kaitseministeeriumi nõudeid. Teisisõnu, mobiilside relvajõudude süsteem on RPM-jaotus Linux koos kõigi sellega seotud rakenduste ja arendusvahenditega.
Failisüsteemi toetus on sajandi taseme alguses, kuid kuna kõige tavalisemad neist eksisteerisid, ei ole see näitaja kriitiline.
MSV-de versioonid
Hoolimata asjaolust, et see on võrgu operatsioonisüsteem, ei ole see tarkvarahoidlatele tuttav mis tahes linuxoidile. Kõik tarkvara tarnitakse täieliku paigaldamise CD-s. Kõik selles süsteemis kasutatavad programmid on kaitsmisministeeriumis eelnevalt sertifitseeritud. Ja kuna see protseduur ei ole kaugeltki kiire, kõik ja pool tosinat aastat tööd, piiratud arvu versioone ja muutused neile anti välja.
ISMSi arendaja on kõik-Vene uurimisinstituut juhtimise automatiseerimise instituut immungis valdkonnas. Tema ametlikul lehel leiate andmeid MSV-de versioonide kohta, mida praegu toetatakse ja neil on kaitseministeeriumi vajalikud turvasertifikaadid.
Süsteem relvajõudude 2017. Esindab kaks toetatud assamblee:
- OSVS 3,0 FLIR 80001-12 (muuda nr 6).
OS MSVS 3.0 FLIR 80001-12 (Muuda nr 4).
Versioon 5.0, mis asub VNIINSi veebisaidil, on Mo., kuid ametlikult vägede tarnimiseks ei aktsepteerita.
Premier MSVS
Järgmine kaitstud operatsioonisüsteem, mis esitati kümneaastase MSV-de asendamiseks, oli Astra Linux. Erinevalt eelkäija, turvasertifikaadi ainult Kaitseministeerium, Astra sai kõik võimalikud sertifikaadid Venemaal, ja need on dokumendid Mo, FSB ja FSTEC. Selle tõttu saab seda kasutada igas valitsusasutustes ning mitme erinevatesse riistvaraplatvormidele kohandatud versiooni olemasolu on veelgi laiemas selle kasutamise ulatust. Selle tulemusena saab see ühendada kõik seadmed selle juhtimise all - mobiiltelefonist statsionaarsetele serveriseadmetele.
ASTRA Linux on kaasaegne Linuxi levitamine, mis põhineb DEB-pakettidel, kasutab kerneli värske versiooni ja praegust tarkvara. Toetatud töötlejate ja nende arhitektuuride loetelu laiendatakse ka ja sisaldab kaasaegseid proove. Ametlikult avaldatud versioonide nimekiri võimaldab teil loota selle edukuse eest. tarkvaratoode Vähemalt GOSFe ja kaitses.
Lõpuks
Selles materjalis rääkisime ICA-süsteemist - Vene Föderatsiooni relvajõudude peamine operatsioonisüsteem, mis on 15-aastase auaste "ja veel" vastu võitlemisel ". Lisaks iseloomustati lühidalt pärimist. Võib-olla lükkab meie lugejatelt keegi seda, et näha, milline Linux on toote kohta erapooletu arvamus.
Kuidas teha kindlaks, kas operatsioonisüsteemi toetab selle arvuti seadmed?
Millised paigaldusvõimalused annab perse 3,0 operatsioonisüsteemi?
Millised võrguprotokollid toetavad installiprogrammi?
Millistel juhtudel on vaja luua alglaadimise disketid?
Loetlege paigaldamise peamised sammud?
Millist bootloaderit os kerneli laadimiseks kasutatakse?
Loetlege kerneli laadimise peamised etapid?
Mis on Lilo ja Lilo.conf?
Kuidas eemaldada Lilo ja taastada lähtelaadur?
Mis on kerneli moodulite mehhanism?
Millistel juhtudel on vaja RAM-ketta kasutamiseks?
Kuidas konfigureerida RAM-ketta kasutamist laadimisel?
Mis erinevad boot floppy kettad, bootnet ja draiverid? Kuidas neid luua? Kuidas neid kontrollida?
Mis on tarkvarapakett, pakettide sõltuvused?
Millised on paketihaldurite võime?
Millist paketihaldurit tarkvara haldamiseks kasutatakse?
Kuidas paigaldada pakett CD-lt võrgust?
Paigaldamine OS MSVS 3.0
Paigaldamise peamised etapid
Paigaldamine CD-l sisaldab järgmisi etappe:
kutse dokumentatsiooni käitisele ja meeldetuletusele;
hiire manipulaatori valik;
jaotus ketas sektsioonidesse;
tuuning laadur;
võrgu konfiguratsioon;
arvuti nime installimine;
ajavööndi valik;
paigaldamise komplekside valik;
pakendite paigaldamine;
root-kasutaja parooli paigaldamine;
boot disketide loomine;
videokaardi ja monitori seadistamine;
Serveri abil võrgu paigaldamisel peate tootma mitu täiendavat eelseadet:
tootmine diskettide komplekt arvuti allalaadimiseks ja võrgu juurdepääsu korraldamiseks serverisse;
võrgu paigaldusvaliku valimine;
võrgu seadistamine ja võrgu juurdepääs serverisse.
Paigaldamine CD-st
Enne installi käivitamist peate arvuti BIOS-i konfigureerima nii, et esimene laadimisseadme loendis on CD-d ja sisestage CD-ga CD-d 3,0 boot mooduliga CD-seadmesse.
Kui BIOS ei toeta CD-d käivitamist, peate lisaks alglaadimise disktte lisaks ja konfigureerima arvuti BIOS-i nii, et esimene laadimisseadme loendis on diskett. Kaasaegsed arvutid kipuvad toetama CD-d käivitamist, seega võib alglaadimise disketi vajadus ilmneda ainult ISP 3.0 paigaldamisel "Vana" arvutisse.
Siis peaks arvuti taaskäivitama. Monitori ekraanil kuvatakse kutse:
Selle kutse vormis on installiprogrammi täiendavate seadistuste ülekandmine. Näiteks meeskond:
boot: MCBC MEM \u003d 128M
aruanded paigaldusprogramm, et selle arvuti RAM-i summa on 128 MB.
Paigaldaja laadimise alustamiseks peate vajutama klahvi. MSA 3.0 Kerneli laadimine, millele järgneb diagnostikateated, käivitab seejärel installiprogrammi, mis automaatselt laaditakse arvutis viibivate CD-draiverite ja kõvaketaste juhtide automaatselt ja toetab perse 3.0.
Kui initsialiseerimine on vigade lõppenud, tähendab see seda, et seda tüüpi CD-draivi või kõvaketas Peate üles laadima täiendava draiveri. Paigaldaja pakub nimekirja juhtide nimekirja, kus soovite valida sobiv juht ja klõpsake nuppu "Jah".
Kui allalaadimine tehti alglaadimise disketilt pärast installiprogrammi käivitamist, ilmub Driver Disc dialoogiboks, mis näitab draiveri draiverite draiveriga draiveri. Samal ajal tuleb boot diskett eemaldada ja kleepida draiverid disketile.
Pärast nõutavate draiverite allalaadimist ilmub monitori ekraanile kutse (joonis 9-1).
1.1.41. Hiire manipulaator
Järgmine pärast OS 3.0 kutse ilmub dialoogiboks "Hiirivaliku" (joonis 9-2).Valige "Hiire" tüüp, näiteks "Normaalne hiire PS / 2" ja kui "hiirtel" on kaks nuppu, saate kasutada kolme nupurežiimi emulatsiooni. Selleks peate lubama kolmanda nupu emulatsiooni ja klõpsake nuppu "Jah".
1.1.42. Kõvaketta lahtiühendamine sektsioonidele
Ilmub dialoogiboks "Otsus" (joonis 9-3) ja valitakse kõvaketta partitsiooni utiliidi valik: "Automaatne jagamine", ketta druid või fdisk.Enamikul juhtudel esineb kõvakettade, ketta massiivide lõhestamine LVM-mahud ketta Druidi programmis. Veelgi enam, "automaatse partitsiooni" režiim on spetsiaalne juhtum töötamise ketta druid koos automaatse arvutamise proportsioone kettaruumi vastavalt reaalsele paigaldatud seadmed. Vajadusel peab madala taseme töö kõvakettaga kasutama FDISKi kasulikkust.
Valige DIKT DRUID ja vajutage klahvi.
Ilmub dialoogiboksis "Breakening" (joonis 9-4), kuvatakse olemasolevate kettide loend ja olemasolevad osad.
Ka selles aknas on nupud töötama osadega: "Uus", "Redigeeri", "Kustuta", "RAID", "Jah", "Tagasi".
Alumine rida, vihjed kasutamise kiirklahvid on antud: "F1-abi, F2-Uus, F3-redigeerimine, F4-Kustuta, F5-reset, F12-Jah."
Üldjuhul paigaldatakse MSVS 3.0 arvutisse puhta kõvakettaga arvutisse. Sel juhul saate tegeleda või kasutada ketta Druid programmi või valides automaatse partitsiooni.
Ass 3.0 eduka paigaldamise jaoks piisab kahe partitsi loomiseks: juureosa "/" ja vahetustehnikat (vahetus). Juursektsiooni suurus peaks olema vähemalt 1200 MB.
Kataloogid / Boot, / Avaleht, / VAR, / TMP ja teised saab ära visata eraldi sektsioonides. See võimaldab teil isoleerida näiteks kodukasutaja katalooge juurefailisüsteemist.
Tähelepanu. Ass 3.0-s ei saa te paigutada eraldi sektsioonikataloogile / usrile!
Kataloogi eraldi sektsiooni tegemiseks peate looma sektsiooni "Ext3" failisüsteemiga ja määrake selle kaitsepunkti, mis vastab kataloogi nimele.
Sektsiooni loomiseks valige uus nupp ja vajutage klahvi. Ilmuva dialoogiboksis "Lisa osa" (uue sektsiooni redigeerimine) (joonis 9-5):
valige failisüsteemi tüüp (SWAP-osa jaoks - "Swap", muudel juhtudel - "Ext3").
jaotise suurus megabaitites (vajadusel saate partitsiooni kogu kettale "venitada");
kinnituspunkt, juureosa jaoks - see on "/", vahetustehingu sektsiooni jaoks ei ole seadistuspunkt vajalik.
Lõpetamisel töö loomise vaheseinad, "Break" aknas klõpsa "Jah" nuppu.
Monitori ekraanil kuvatakse dialoogiboksis Salvesta muudatused.
Vajutage nuppu "Jah".
Järgmine samm on loodud sektsioonide vormindamine. Dialoogiboks pealkirjaga "Tähelepanu!" Ilmub MNIT ekraanile. Ja nimekiri partitsioonidest, mis vormindatakse, kui "Jah" nuppu vajutatakse (joonis 9-6).
1.1.43. Bootloaderi võimalus
Dialoogiboksis "laaduri" konfiguratsioon ilmub ekraanile (joonis 9-7). Selles aknas peate valima paigaldusvaliku koos laaduriga või ilma. Bootloader võimaldab teil süsteemi käivitamiseks mitu võimalust kasutada või valib koormatud OS (kui rohkem kui üks). Režiimis ilma laaduriteta, ISP 3.0 kernel on selles süsteemis monopuleeritud.
Vajutage nuppu "Jah".
Seejärel ilmub ekraanile dialoogiboks (joonis 9-8), mille soovitus sisestada täiendavaid parameetreid, mida kasutatakse laadimisel. Vaikimisi paigaldatakse LBA32 režiim sellesse aknasse (kasutades kõvaketta plokkide 32-bitine loogilisi aadresse), kuna see režiim enamikul juhtudel on vajalik suure konteineri ketta toetamiseks.
Kui teil on kirjanik IDE-DRIVE IDE, paaparameetri sisestusväljal asetab paigaldaja tüüpi "HDC \u003d IDE-SCSI" (näiteks kui draiv on ühendatud Master-režiimis teise IDE kontrollerile ).
Kui muud parameetreid ei pea muu parameetreid edastama, ei ole soovitatav paigaldusprogrammi pakutud parameetreid muuta ja klõpsake nuppu "Jah".
Bootloaderi seadistuses olev järgmine kord on parooli ülesande juurdepääs süsteemi algusparameetrite muutustele. Kuna siis on bootloader, on võimalik süsteemi käivitamisel klaviatuurilt spetsialiseeritud kerneli parameetrid üle kanda, siis vajaliku turvataseme tagamiseks on see funktsioon kaitstud parooliga. Järgnevas dialoogiboksis, mis ilmub (joonis 9-9), sisestage parool, mille suurus ei tohiks olla väiksem kui 8 tähemärki. Kinnitage parool korduvalt tutvustades seda järgmine rida aken.
Vajutage nuppu "Jah".
Dialoogiboksi valiku dialoogiboksis ilmub ekraanile (joonis 9-10), mille ettepanekuga täpsustatakse teine käivitusosadmida saab alla laadida kasutades ASWS 3.0 bootloader. Näiteks, kui arvutis on veel üks operatsioonisüsteem, saate selle määrata selle ja üleslaadimise, kasutades ASS 3.0 OS Bootloaderit.
Sisestage vajalikud andmed sobivatesse joontesse ja klõpsake nuppu Jah.
Järgmisel aknas (joonis 9-11) on bootloaderi asukoht kettale. Kaks võimalust on võimalik: kõvaketta peatoimetamise rekord (MBR) (enamikel juhtudel soovitatav) või vastava partitsiooni käivitamise sektoris (alglaadimisarv), kus paigaldamine on tehtud.
Valige ja vajutage nuppu "Jah".
1.1.44. Võrguvõrgustik
Installiprogrammi avastamise korral ilmub ekraanile "Network Setup for Etop Setup for Network Setup for Dialoogiboks (joonis 9-12), kus X on järjestuse number, milles parameetrid on konfigureeritud Iga võrgukaardi puhul.
Kasutatakse booti ja DHCP võrgu seadete automaatset seadistuste seadeid, kui võrgus on spetsiaalne server, mis pakub kliendimasina taotlusel automaatset konfiguratsiooniteenust.
Kui DHCP-server puudub, peate võrgu parameetrid selgesõnaliselt installima, mille jaoks valige "käivitamisel aktiveeri". Pärast seda tõstetakse välja mitu rida aknas, kus võrguühenduse parameetrid tuleb täpsustada.
Võrguadressid esitatakse kümnendi-punktivormingus (näiteks 192.168.1.1). VALDKONNA TEAVE Tuleb esitada võrguadministraator.
Võrguadress - arvuti IP-aadress võrgus.
Võrgu mask on võrgusegmendi klassi iseloomustav parameeter.
Vaikimisi lüüs on sõlme, mis teenindab selle kohaliku võrgu segmentide sidet.
Esmane nimi Server - sõlme, mis toetab domeeninime eraldusvõime teenuseid DNS-protokolli kaudu IP-aadressides. Asjakohastes väljades sisestage lisanimi serverite IP-aadressid (DNS). Kui võrgus kasutatakse ühte nimeserverit, saab need väljad tühjad.
Vajutage nuppu "Jah".
|
|
| Joonis fig. 9-13. Arvuti nime paigaldamine. |
|
|
| Joonis fig. 9-14. Ajavööndi valimine. |
Siis peate määrama arvuti nime. Ekraanile ilmub dialoogiboksis "Install Computer Nimi" (joonis 9-13), milles vastav väli tuleb täita. Nimi tuleb koordineerida ka võrguadministraatoriga.
Vajutage nuppu "Jah".
1.1.45. Kellarihma valik
Ekraanile ilmub ekraanile dialoogiboks, mis kasutab süsteemi aega seadeid. Ass 3.0-s toimub loendur kohalikus režiimis, st Süsteemi riistvarakell määrab kindlasti selle aja ilma täiendava konversioonita UTC-tüüpi erinevate loenduskohtade suhtes.
Aknas peaksite valima arvuti ajavöö asukoha kõige tihedamalt sobivaks, mis näitab vöörihma erinevust "null" vöö - Euroopa / Moskva (joonis 9-14).
Vajutage nuppu "Jah".
1.1.46. Pakendite valimine ja paigaldamine
Dialoogiboks "Vali keeruline" ilmub ekraanile (joonis 9-15).
Selles dialoogiboksis saate valida järgmised kompleksid:
Põhiline operatsioonisüsteemi konfiguratsioon;
Graafiline liidese allsüsteem;
Arenguvahendid.
Vaja on "põhikonfiguratsiooni operatsioonisüsteemi OS" valimist, see sisaldab kõiki vajalikke komponente perse 3,0 operatsiooni jaoks baasversioonis (ilma täiendavad vahendid).
Paigaldusrežiim "Kõik (kaasa arvatud valikuline)" - kõigi jaotuspakettide paigaldamine, kaasa arvatud OS-tuuma muudatused, selle arvuti mittespetsiifilisus ja pakettide kogum, mis on vajalikud ISWSi 3.0 boot ketta valmistamiseks.
Pakendite üksikasjalikuma valiku jaoks (võib-olla, et salvestada OS-i poolt hõivatud kettaruumi), on vaja märkida võimaluse "Individuaalne pakendite valik" ja klõpsake nuppu "Jah". Aken "Vali pakett" (Joonis 9-16) ilmub pakendi rühmade ja pakettide loendiga.
Grupi saab volditud / paigutada, kui toote taustvalgustuse joon ja vajutage klahvi. Teabe saamiseks paketi kohta peate ta taustvalgustusele tooma ja vajutage klahvi. Sisse- / väljapakettide sisse- / väljalülitamine paigaldamise loendisse viiakse läbi klahvi vajutamisega.
Pärast pakendite valiku lõpetamist klõpsake nuppu "Jah".
Kui individuaalse pakendite loend on paigaldamiseks valitud, võib tekkida olukord, kui Ilmuta sõltuvused ilmuvad. See tähendab, et valitud loendis on pakette, mis nõuab teisi pakendeid ISWS 3.0 boot kettalt, mida ei olnud märgitud. Pakettide sõltuvuste lahendamine toodab automaatselt paigaldusprogrammi abil.
Pärast pakendi valimist kuvatakse ekraanil Start Setup dialoogiboks. See aken sisaldab teavet / juur / logifaili kohta, mida paigaldaja pärast töö lõpetamist salvestab paigaldatud pakettide loendi.
Ketta tegelik jaotus ja pakendite paigaldamine algab aken "Start Installi" nupu vajutamisele aken "Yes" vajutamine. Vajadusel, kuni selle punkti, saate siiski katkestada installiprotsessi arvuti taaskäivitamisel. Sellisel juhul jäävad kõik kõvaketaste andmed muutumatuks.
Pakendite installimise alustamiseks klõpsake nuppu "Jah".
Ekraanile ilmub "installpakett" aken (joonis 9-17).
Selles etapis saate jälgida valitud pakendite paigaldusprotsessi, mis automaatselt toodetakse. Iga pakendi jaoks kuvatakse lühikirjeldus ja kuvatakse statistiline teave praeguse pakendi paigaldamise protsessi ja kõik paketid.
1.1.47. Paigaldamine parool superuser
Dialoogiboksis kuvatakse dialoogiboks (Joon. 9-18). Seadke parool "Parool" line ja kinnitage oma kanne "Kinnita parool" joon (paroolide vaate ja suuruse piirangud määravad süsteemi turvalisuse nõuded; vaikimisi on parooli suurus vähemalt kaheksa tähemärki). Kui määrate klaviatuurilt parooli, kuvatakse turvakaalutlustel sisendmärkide asemel tärnide asemel. Vajutage nuppu "Jah".
1.1.48. Boot Floppy ketaste loomine
Ekraanile ilmub järgmine dialoogiboks "Boot Disketide komplekt (joonis 9-19). Boot disketi komplekt võib olla vajalik, kui te kahjustate kõvaketta käivitusregistrit.
Boot disketide loomiseks vajutage nuppu "Jah". Järgmisena järgige dialoogibokside pakutavaid juhiseid.
Kui alglaadimiskomplekti loomine ei ole vajalik, klõpsa nupule "Ei". Tulevikus saate luua alglaadimisketta graafilise utiliidi või MKBootdisk käsu abil.
1.1.49. Videokaardid ja monitor
Järgmises etapis peate graafika süsteemi konfigureerima. Selleks sisestage dialoogibokside pärast juhiseid, sisestage informatsioon videokaardi ja monitori kohta.
Kui paigaldaja määrab videokaardi tüüp automaatselt, ilmub teave selle kohta (joonis 9-20).
 |
| Joonis fig. 9-19. Boot disketide loomine. |
|
|
| Joonis fig. 9-20. Valige videokaart. |
Vastasel juhul ilmub dialoogiboks dialoogiboks "Vali kaart". Valige loendist tüüp. Kui loendil ei ole soovitud videokaarti, valige "määratlemata kaart".
Serveri valiku aknas valige X-server, mis on võimeline töötama olemasoleva videokaardiga.
Seejärel ilmub ekraani setup dialoogiboks (joonis 9-21). Kui installiprogramm ei pruugi monitori tüüp automaatselt kindlaks määrata, valige Muuda loendist sobiv monitor.
Vajadusel saate määrata manuaalse monitori parameetrite. Selleks valige loendis olev tüüp "Muu" ja seadke pildi töösagedus vertikaalsed ja horisontaalsed (60 ~ 100 Hz).
Vajutage nuppu "Jah".
Pärast monitori valimist ilmub ekraanile "Advanced" aken (joonis 9-22). Valige aknas soovitud värvi sügavus ja monitori eraldusvõime. Lisaks sellele saate sellesse aknas valida sisselogimisrežiimi süsteemi "graafilisele" (soovitatavale) või "teksti". Kui valite süsteemi graafilise sisselogimise, alustatakse graafilise liidese süsteemi vaikimisi. Valige ja vajutage nuppu "Jah".
Pärast graafika süsteemi seadistamist ilmub "installimine lõpetatud" teade (joonis 9-23) sõnumiga "Õnnitlused, ISWS 3.0 paigaldamine on lõpetatud."
Taaskäivitamiseks vajutage nuppu "Jah". Arvuti alustab taaskäivitamist. Taaskäivitamise ajal avab CD-ga salv automaatselt. Eemaldage ketas salvist.
 |
| Joonis fig. 9-23. Paigaldamine lõpetatud. |
|
|
| Joonis fig. 9-24. Paigaldusmeetod |
