این فصل سوالات زیر را مورد بحث قرار می دهد:

کاربران؛

تفاوت بین کاربران ممتاز و غیر مجاز؛

فایل های ورود؛

فایل / etc / passwd؛

فایل / etc / shadow؛

فایل / etc / gshadow؛

فایل /etc/login.defs؛

اصلاح اطلاعات در مورد گذرواژه رمز عبور؛

اساس ایمنی MSA ها مفهوم کاربران و گروه ها است. تمام تصمیمات مربوط به آنچه مجاز است یا مجاز نیست که کاربر را بر اساس آن که کاربر سیستم را از نقطه نظر هسته سیستم عامل وارد کرده است، ساخته شده است.

نمای کلی از کاربران

MSVS یک سیستم چند نفره چند وظیفه ای است. وظایف سیستم عامل شامل انزوا و حفاظت از کاربران از یکدیگر است. این سیستم هر یک از کاربران را نظارت می کند و بر اساس آن کاربر این کاربر، تعیین می کند که آیا امکان دسترسی به یک فایل خاص را فراهم می کند یا اجازه می دهد راه اندازی یک برنامه یا دیگری را فراهم کند.

هنگام ایجاد یک کاربر جدید، او با نام منحصر به فرد قرار می گیرد

توجه داشته باشید

این سیستم امتیازات کاربر را بر اساس شناسه کاربر (UserID، UID) تعیین می کند. بر خلاف نام کاربری، UID ممکن است منحصر به فرد نباشد، در این صورت اولین نام یافت شده برای مطابقت با نام کاربر، UID که با داده ها همخوانی دارد.

هر جدید ثبت شده در سیستم، کاربر به عنوان انطباق با عناصر خاصی از سیستم است.

کاربران ممتاز و غیر مجاز

هنگام اضافه کردن یک کاربر جدید به سیستم، یک شماره خاص برجسته شده است، نامیده می شود شناسه کاربر (UserID، UID). در Caldera Msva، تخصیص شناسه ها به کاربران جدید با 500 شروع می شود و به سمت تعداد زیادی ادامه می یابد، تا 65،534. تعداد تا 500 برای حساب های سیستم رزرو شده است.

به طور کلی، شناسه ها با اعداد کوچکتر از 500 نفر دیگر از شناسه های دیگر متفاوت نیستند. اغلب برنامه برای عملکرد نرمال نیاز به یک کاربر خاص با دسترسی کامل به تمام فایل ها دارد.

تعداد شناسه ها با 0 شروع می شود و همچنان به 65 535 ادامه می دهد. UID 0 یک UID ویژه است. هر فرآیند یا کاربر با شناسه صفر امتیاز داده شده است. چنین فردی یا فرآیند دارای قدرت نامحدود بر روی سیستم است. هیچ چیز نمی تواند به عنوان ممنوعیت خدمت کند. حساب ریشه (حساب، UID که 0)، همچنین به عنوان حساب کاربری نامیده می شود superuser، اگر مالک نیست، حداقل وکیل خود را با استفاده از آن وارد کنید.

UID باقی می ماند برابر 65،535 است. این نیز از عادی نیست. این UID متعلق به هیچ کس نیست (هیچکس).

گاهی اوقات، یکی از راه های هک کردن سیستم، ایجاد یک کاربر با شناسه 65،536 بود، در نتیجه او امتیازات فوق العاده را دریافت کرد. در واقع، اگر شما هر گونه UID را ترجمه کنید و شماره مربوطه را به یک فرم باینری ترجمه کنید، شما ترکیبی از شانزده تخلیه دودویی را دریافت خواهید کرد، هر کدام از آنها 0 یا 1. تعداد قریب به اتفاق از شناسه ها شامل هر دو صفر و واحدها است. استثناء بیش از حد صفر UID است که شامل برخی از صفر و uidnobody، برابر با 65535 و شامل 16 واحد، یعنی 1111111111111111 است. تعداد 65 536 را نمی توان در 16 رقم قرار داد - برای نشان دادن این شماره در فرم باینری که شما باید از 17 استفاده کنید تخلیه قدیمی ترین تخلیه برابر با واحد (1)، تمام بقیه صفر (0) هستند. پس چه اتفاقی می افتد هنگام ایجاد یک کاربر با یک شناسه از طول 17 تخلیه دودویی - 10000000000000000؟ از لحاظ نظری، کاربر با شناسه صفر: از آنجا که تنها 16 تخلیه دودویی به شناسه داده می شود، 17 رقمی شناخته شده نیست، و از بین می رود. بنابراین، تنها واحد شناسه از دست رفته است، و برخی از صفر ها باقی می مانند، و سیستم به نظر می رسد کاربر جدید با شناسه، و بنابراین امتیازات، Superuser. اما در حال حاضر هیچ برنامه ای در ASV وجود ندارد که به شما امکان نصب UID را در 65،536 نفر نصب کنید.

توجه داشته باشید

کاربران با شناسه های بیش از 65،536، ممکن است ایجاد شود، اما بدون جایگزینی / bin / login استفاده نمی شود.

هر هکر قطعا سعی خواهد کرد که امتیازات Superuser را دریافت کند. به محض اینکه او آنها را دریافت می کند، سرنوشت بیشتر سیستم به طور کامل به اهدافش بستگی دارد. شاید او، با واقعیت هک راضی باشد، با او چیزی بد نخواهد کرد و نامه ای را با توضیحات سوراخ هایی که توسط او در سیستم امنیتی پیدا می شود، ارسال می کند، برای همیشه تنها آن را ترک خواهد کرد، و شاید نه. اگر قصد هکرهای هک شده خیلی تمیز نباشد، پس بهتر است، چه چیزی می تواند امیدوار باشد که یک سیستم شکست داشته باشد.

فایل / etc / passwd

میخواهید وارد سیستم شوید، باید نام کاربری و رمز عبور را وارد کنید که بر روی پایگاه داده کاربر ذخیره شده در فایل / etc / passwd ثبت شده است. در آن، در میان چیزهای دیگر، کلمه عبور همه کاربران ذخیره می شود. هنگام اتصال به سیستم، رمز عبور وارد شده با یک رمز عبور که مربوط به این نام است بررسی می شود و اگر کاربر در سیستم مجاز باشد، پس از آن برنامه مشخص شده برای این نام کاربری در فایل رمز عبور راه اندازی می شود. اگر این یک پوسته فرمان است، کاربر قادر به وارد کردن دستورات می شود.

فهرست 1.1 را در نظر بگیرید. این یک فایل passwd در سبک قدیمی است.

فهرست 1.1 فایل / etc / passwd در سبک قدیمی

ریشه: *: 1i dywromhmebu: 0: 0: root :: / root: / bin / bash

بن: *: 1: 1: بن: / بن:

daemon: *: 2: 2: daemon: / sbin:

aDM: *: 3: 4: ADM: / var / ADM:

lP: *: 4: 7: LP: / var / spool / lpd:

همگام سازی: *: 5: 0: همگام سازی: / sbin: / bin / sync

خاموش کردن: *: 6: 11: Shutdown: / SBIN: / SBIN / خاموش کردن

توقف: *: 7: 0: توقف: / sbin: / sbin / halt

ایمیل: *: 8: 12: ایمیل: / var / spool / mail:

اخبار: *: 9: 13: اخبار: / var / spool / اخبار:

uUCP: *: 10: 14: UUCP: / var / spool / UUCP:

اپراتور: *: 11: 0: اپراتور: / ریشه:

بازی ها: *: 12: 100: بازی ها: / usr / games:

gopher: *: 13: 30: Gopher: / USR / 1IB / Gopher Data:

fTP: *: 14: 50: FTP کاربر: / صفحه اصلی / FTP:

مرد: *: 15: 15: صاحب کتابچه راهنمای کاربر: /:

majordom: *: 16: 16: Majordomo: /: / bin / false

postgres: * 17: 17: Postgres کاربر: / صفحه اصلی / postgres: / bin / bash

mySQL: *: 18: 18: MySQL User: / usr / local / var: / bin / false

سیلویا: 1idywromhmebu: 501: 501: سیلویا باند: / صفحه اصلی / سیلویا: / bin / bash

هیچ کس: *: 65534: 65534: هیچ کس: /: / bi n / false

دیوید: 1idywromhmebu: 500: 500: دیوید A. Bandel: / صفحه اصلی / دیوید: / bin / bash

فایل رمز عبور دارای یک ساختار مشخص شده است. محتویات فایل یک جدول است. هر ردیف فایل یک ورودی جدول است. هر ورودی شامل چندین فیلد است. فیلدهای فایل PassWD توسط یک روده بزرگ جدا می شوند، بنابراین کولون را نمی توان در هر یک از زمینه ها استفاده کرد. در مجموع، هفت فیلد وجود دارد: نام کاربری، رمز عبور، شناسه کاربر، شناسه گروهی، میدان GECOS (این زمینه نظر است)، دایرکتوری خانه و ورود به سیستم پوسته.

بیشتر بخوانید در مورد / etc / passwd

فیلد اول نشان دهنده نام کاربری است. این باید منحصر به فرد باشد - غیرممکن است که دو کاربر از سیستم همان نام داشته باشند. فیلد نام تنها فیلد است که ارزش آن باید منحصر به فرد باشد. در قسمت دوم، رمز عبور کاربر ذخیره می شود. به منظور اطمینان از حفاظت از سیستم، رمز عبور در فرم هش شده ذخیره می شود. اصطلاح "حشیش" در این زمینه به معنای "رمزگذاری شده" است. در مورد یک رمز عبور، رمز عبور با توجه به الگوریتم DES (dataencryptionstandard) رمزگذاری شده است. طول رمز عبور Hased در این زمینه همیشه برابر با 13 کاراکتر است و برخی از شخصیت ها مانند کولون و نقل قول تک، هرگز در میان آنها یافت نمی شود. هر مقدار میدان دیگر، متفاوت از رمز عبور 13 کاراکتر Hashized Hashized، باعث می شود که این کاربر وارد سیستم شود، برای یک استثناء بسیار مهم: فیلد رمز عبور می تواند خالی باشد.

در زمینه دوم، هیچ چیز، حتی یک فضا، به این معنی است که کاربر مربوطه به رمز عبور برای ورود به سیستم نیاز ندارد. اگر رمز عبور ذخیره شده در این زمینه را با اضافه کردن یک شخصیت به آن تغییر دهید، به عنوان مثال یک نقل قول، این حساب مسدود خواهد شد، و کاربر مربوطه قادر به ورود به سیستم نیست. واقعیت این است که پس از اضافه کردن نماد غیرقانونی به هش 14 کاراکتر، این سیستم از تأیید اعتبار کاربر با چنین رمز عبور رد شد.

در حال حاضر، طول رمز عبور محدود به هشت کاراکتر است. کاربر می تواند رمزهای عبور طولانی تر را وارد کند، اما تنها هشت کاراکتر اول قابل توجه خواهد بود. دو کاراکتر اول رمز عبور هش شده هستند بذر (نمک). (بذر شماره مورد استفاده برای راه اندازی الگوریتم رمزنگاری نامیده می شود. با هر تغییر رمز عبور، بذر به صورت تصادفی انتخاب می شود.) به عنوان یک نتیجه، تعداد تمام نفوذ های احتمالی به اندازه کافی بزرگ است، بنابراین کاربران غیر ممکن است که اگر کاربران باشند، غیر ممکن است. در سیستم با همان کلمه عبور، مقایسه ساده کلمه عبور هش.

توجه داشته باشید

حمله فرهنگ لغت به روش های هک کردن کلمه عبور توسط نیروی درشت اشاره می کند و به معنای استفاده از یک فرهنگ لغت و یک بذر شناخته شده است. این حمله در تعامل تمام کلمات فرهنگ لغت است، رمزگذاری آنها را با این دانه و مقایسه نتیجه با رمز عبور wigble. در عین حال، علاوه بر کلمات از فرهنگ لغت، برخی از اصلاحات تغییرات آنها معمولا در نظر گرفته می شود، به عنوان مثال، تمام حروف عنوان، تنها اولین حرف از عنوان و اضافه کردن اعداد (معمولا فقط 0-9) به پایان تمام این ترکیبات. به طور مشابه، شما می توانید بسیاری از رمزهای عبور آسان را هک کنید.

فیلد سوم نشان دهنده شناسه کاربر است. شناسه کاربر لازم نیست منحصر به فرد باشد. به طور خاص، علاوه بر کاربر ریشه، ممکن است به صورت خودسرانه دیگر کاربران با یک شناسه صفر وجود داشته باشد، و همه آنها دارای امتیازات Superuser هستند.

فیلد چهارم شامل یک شناسه گروهی (GroupId، GID) است. گروهی که در این زمینه نشان داده شده است نامیده می شود گروه کاربر اولیه (PrimaryGroup). کاربر می تواند متعلق به چندین گروه باشد، اما یکی از آنها باید یک گروه اصلی باشد.

فیلد پنجم در حال حاضر فیلد نظرات نامیده می شود، اما نام اولیه آن GECOs است، از "Geconsolidatedoperations سیستم". هنگام درخواست اطلاعات کاربر از طریق انگشت یا برنامه دیگر، محتویات این فیلد اکنون به عنوان یک نام کاربری واقعی بازگشته است. فیلد نظرات می تواند خالی باشد

فیلد ششم دایرکتوری خانگی کاربر را تنظیم می کند. هر کاربر باید دایرکتوری خانه خود را داشته باشد. معمولا کاربر، ورود به سیستم، تبدیل به دایرکتوری خانه خود می شود، اما اگر آن وجود نداشته باشد، آن را به دایرکتوری ریشه می افتد.

فیلد هفتم پوسته فرمان ورودی را تنظیم می کند. نه هر پوسته را می توان در این زمینه مشخص کرد. بسته به تنظیمات سیستم، تنها پوسته از لیست پوسته های مجاز می تواند مشخص شود. در ASWS، لیست پوسته های مجاز به طور پیش فرض در فایل / etc / shells است.

فایل / etc / shadow

صاحب فایل / etc / shadow کاربر ریشه است و فقط آن حق خواندن این فایل را دارد. برای ایجاد آن، شما باید نام کاربری و رمزهای عبور Hashy را از فایل passwd قرار دهید و آنها را در فایل سایه قرار دهید، جایگزین تمام گذرواژه های هش در نمادهای فایل PassWD شوید. اگر به فایل passwd سیستم نگاه کنید، می توانید ببینید که نمادهای X در سایت رمزهای عبور شده وجود دارد. این نماد سیستم را به این واقعیت نشان می دهد که رمز عبور باید در اینجا مشاهده شود، اما در فایل / etc / shadow. انتقال از گذرواژه های ساده به سایه و پشتی توسط سه تأسیسات انجام می شود. برای رفتن به کلمات عبور سایه، ابزار PWCK برای اولین بار شروع می شود. این فایل PassWD را برای هر ناهنجاری بررسی می کند، به این دلیل که گام بعدی می تواند به شکست برسد یا به سادگی برنده شود. پس از کار PWCK، ابزار Pwconv شروع به ایجاد / etc / shadow می کند. این معمولا پس از آن انجام می شود به روز رسانی دستی فایل / etc / passwd. برای بازگشت به گذرواژههای معمولی، Pwuncov شروع می شود.

فایل رمز عبور سایه در بسیاری از موارد شبیه به فایل رمزهای عبور معمولی است. به طور خاص، دو فیلد اول این فایل ها یکسان هستند. اما علاوه بر این زمینه ها در آن، به طور طبیعی، زمینه های اضافی وجود دارد که در فایل رمز عبور معمولی گم شده اند. فهرست 1.2 محتویات یک فایل معمولی / etc / shadow را نشان می دهد.

فهرست 1.2 فایل / etc / shadow

ریشه: 1idywromhmebu: 10792: 0 ::: 7: 7 ::

بن: *: 10547: 0 :: 7: 7 ::

daemon: *: 10547: 0 :: 7: 7 ::

aDM: *: 10547: 0 :: 7: 7 ::

lP: *: 10547: 0 :: 7: 7 ::::

همگام سازی: *: 10547: 0 :: 7: 7 ::

خاموش: U: 10811: 0: -1: 7: 7: -1: 134531940

توقف: *: 10547: 0 :: 7: 7 ::

ایمیل: *: 10547: 0 :: 7: 7 ::

اخبار: *: 10547: 0 :: 7: 7 ::

uUCP: *: 10547: 0 :: 7: 7 ::

اپراتور: *: 10547: 0 :: 7: 7 ::

بازی ها: *: 10547: 0: 7: 7 ::

gopher: *: 10547: 0 :: 7: 7 ::

fTP: *: 10547: 0 :: 7: 7 ::

مرد: *: 10547: 0 :: 7: 7 ::

majordom: *: 10547: 0 :: 7: 7 ::

postgres: *: 10547: 0 :: 7: 7 ::

mysql: *: 10547: 0 :: 7: 7 ::

si1via: 1idywromhmebu: 10792: 0: 30: 7:--l ::

هیچ کس: *: 10547: 0 :: 7: 7 ::

داوید: 1idywromhmebu: 10792: 0 :: 7: 7 ::::

جزئیات / etc / shadow

هدف از اولین فیلد فایل سایه همانند اولین فیلد فایل PassWD است.

فیلد دوم شامل یک رمز عبور هش است. پیاده سازی گذرواژههای سایه در MSVS اجازه می دهد گذرواژه های متنفر با طول 13 تا 24 کاراکتر، اما برنامه رمزنگاری رمز عبور رمز عبور قادر به تولید تنها رمز عبور هش 13 نماد است. کاراکترهای مورد استفاده در هش از مجموعه ای از 52 حروف الفبا (حروف کوچک و حروف بزرگ)، اعداد 0-9، نقاط و ویژگی های شیب دار به سمت راست (/) گرفته شده است. به نظر می رسد 64 کاراکتر مجاز در فیلد رمز عبور هش شده است.

بذر، بنابراین، که، همانطور که قبلا، دو کاراکتر اول است، می توان از 4096 ترکیب ممکن انتخاب کرد (64x64). برای رمزگذاری، الگوریتم DES با یک کلید 56 بیتی استفاده می شود، یعنی فضای کلید های این الگوریتم دارای 2 56 کلید است که تقریبا 72،057،590،000،000،000،000 یا 72 quidrillons است. این شماره به نظر می رسد چشمگیر است، اما شما واقعا می توانید در واقع یک زمان بسیار کوتاه برای حرکت تمام کلیدها از فضای این اندازه.

از قسمت سوم، اطلاعات مربوط به اطلاعات به اشتراک گذاری رمز عبور آغاز می شود. این تعداد روزها را از 1 ژانویه 1970 تا آخرین تغییر رمز عبور ذخیره می کند.

فیلد چهارم حداقل تعداد روزها را به تصویب می رساند تا بتوانید دوباره رمز عبور را تغییر دهید. در حالی که از تاریخ آخرین تغییر، رمز عبور به عنوان بسیاری از روزها به عنوان نشان داده شده در این زمینه عبور نمی کند، غیر ممکن است تغییر رمز عبور غیر ممکن است.

فیلد پنجم حداکثر تعداد روزهایی را تنظیم می کند که می توانید از یک رمز عبور استفاده کنید، پس از آن که تغییر اجباری است. با توجه به ارزش مثبت این فیلد، کاربر تلاش می کند تا به سیستم وارد سیستم شود، پس از گذرواژه رمز عبور، دستور رمز عبور را به طور معمول به دست نخواهد آورد، بلکه در حالت تغییر رمز عبور اجباری است.

ارزش از میدان ششم تعیین می کند که چند روز قبل از انقضای رمز عبور باید شروع به صدور هشدار در مورد آن شود. پس از دریافت هشدار، کاربر می تواند یک رمز عبور جدید را ایجاد کند.

فیلد هفتم تعداد روزهایی را از روزی که رمز عبور قالب می شود، تنظیم می کند، پس از آن این حساب مسدود شده است.

فیلد آخر روز روز مسدود کردن یک حساب را ذخیره می کند.

آخرین فیلد رزرو شده و استفاده نمی شود.

درباره / etc / group بیشتر بخوانید

هر ورودی فایل / etc / group شامل چهار فیلد جدا شده توسط کولون است. فیلد اول نام گروه را تعیین می کند. مانند یک نام کاربری

فیلد دوم معمولا خالی است، زیرا مکانیزم رمز عبور رمز عبور معمولا استفاده نمی شود، اما اگر این فیلد خالی نیست و شامل یک رمز عبور است، هر کاربر می تواند به گروه بپیوندد. برای انجام این کار، شما باید فرمان NewgRP را با نام گروه به عنوان یک پارامتر اجرا کنید، پس از آن شما رمز عبور صحیح را وارد کنید. اگر رمز عبور برای گروه مشخص نشده باشد، تنها کاربران ذکر شده در لیست اعضای گروه می توانند بپیوندند.

فیلد سوم، شناسه گروه را تعیین می کند (GroupId، GID). معنای آن همانند شناسه کاربر است.

فیلد دوم لیستی از نام های کاربری متعلق به گروه است. کاربران از طریق کاما بدون فضاهای ذکر شده اند. گروه کاربر اولیه (اجباری) در فایل PassWD نشان داده شده است و زمانی که کاربر بر اساس این اطلاعات به سیستم متصل می شود، اختصاص می دهد. بر این اساس، اگر گروه کاربر اولیه را در فایل PassWD تغییر دهید، کاربر دیگر قادر به پیوستن به گروه اصلی سابق خود نخواهد بود.

فایل /etc/login.defs.

شما می توانید یک کاربر جدید را به چندین روش اضافه کنید. در الاغ، برنامه های زیر برای این استفاده می شود: Coastool، Lisa، useradd. چیزی مناسب برای هر یک از آنها. ابزار CoAs از فایل خود استفاده می کند. برنامه های کاربردی useradd و lisa مقادیر پیش فرض برای فیلدهای فایل PassWD و Shadow از فایل /etc/login.defs. محتویات این فایل در فرم اختصاری در فهرست 1.4 نشان داده شده است.

فهرست 1.4 فایل اختصاری /etc/login.defs.

# حداکثر تعداد روزهایی که در طی آن رمز عبور مجاز است:

# (- 1 - تغییر رمز عبور مورد نیاز نیست) pass_max_days-1

حداقل تعداد روزهای بین تغییرات رمز عبور: Pass_min_dayso

# برای چند روز قبل از تاریخ تغییر رمز عبور، هشدار باید صادر شود: pass_warn_age7

# چه تعداد روزها باید پس از انقضای رمز عبور منقضی شود قبل از اینکه حساب مسدود شود: Pass_inactive-1

# انقضای رمز عبور استفاده از رمز عبور را در روز مشخص شده:

# (تاریخ توسط تعداد روزها پس از 70/1/1 شناسایی شده است، -1 \u003d نه مجبور کردن) pass_expire -1

# مقادیر فیلدهای حساب یکپارچه برای useradd

# تیم پیش فرض: Group100

# صفحه اصلی کاتالوگ:٪ s \u003d نام کاربری) nome / home /٪ s

# فرمانده فرمان پیش فرض: shell / bin / bash

کاتالوگ که در آن اسکلت کاتالوگ خانه واقع شده است: Skel / etc / skel

# حداقل I. حداکثر مقادیر برای انتخاب خودکار GID در groupaddgid_min100

محتویات این فایل مقادیر پیش فرض را برای زمینه های فایل Passwd و Shadow تنظیم می کند. اگر از خط فرمان آنها را از دست ندهید، از آنها استفاده می شود. به عنوان یک نقطه شروع، این مقادیر کاملا مناسب هستند، اما برای پیاده سازی موتورهای رمز عبور، برخی از آنها باید تغییر کنند. ارزش برابر با -1 به معنای هیچ محدودیتی نیست.

در برنامه CoAs، توزیع Caldera توسط رابط کاربری گرافیکی استفاده می شود

برای تغییر اطلاعات مربوط به رمز عبور، برای یک یا دو کاربر، می توانید از فرمان Chage استفاده کنید (تغییر - تغییر تغییر کرده). کاربران غیرقانونی می توانند فقط با پارامترهای -L و نام کاربری خودشان، یعنی درخواست اطلاعات مربوط به ناسازگاری تنها رمز عبور خود را اجرا کنند. برای تغییر اطلاعات شانس، به اندازه کافی برای مشخص کردن نام کاربری، پارامترهای باقی مانده در محاوره درخواست می شود. Call Chage بدون پارامترها مرجع کوتاه برای استفاده را ارائه می دهد.

برنامه CoAs را می توان برای تغییر پارامترهای به اشتراک گذاری رمز عبور برای هر یک از حسابها جداگانه استفاده کرد. در این مورد، مقادیر در روزها نشان داده شده است. رابط برنامه واضح است.

توجه داشته باشید -

برای به دست آوردن اطلاعات در مورد رمز عبور قدیمی از کاربر یا مجبور کردن این فرآیند، می توانید از دستور انقضا استفاده کنید.

سیستم امنیتی RAMS

ایده اصلی فریم این است که شما همیشه می توانید یک ماژول امنیتی جدید بنویسید که به یک فایل یا دستگاه برای اطلاعات مربوط می شود و نتیجه اجرای پرونده مجوز را بازگرداند: موفقیت (موفقیت)، شکست (شکست) ) یا نادیده گرفتن (نادیده گرفتن). و RAM، به نوبه خود، موفقیت (موفقیت) یا شکست (شکست) را که باعث آن شد، بازگرداند. بنابراین، مهم نیست که چه کلمه عبور، سایه یا عادی، در سیستم استفاده می شود، اگر فریم وجود داشته باشد: تمام فریم های پشتیبانی شده به طور کامل با دیگران کار خواهند کرد.

ما اکنون به بررسی اصول اساسی عملیات RAM می پردازیم. فهرست 1.6 را در نظر بگیرید. دایرکتوری /etc/pam.d شامل فایل های پیکربندی برای سایر خدمات، مانند SU، PASSWD، و غیره، بسته به اینکه کدام نرم افزار در سیستم نصب شده است. هر سرویس محدودیت خدمات (RestrictService) مربوط به فایل پیکربندی آن است. اگر هیچ کس وجود نداشته باشد، این سرویس با محدودیت دسترسی به رده "دیگر" وارد می شود، با فایل پیکربندی دیگر. (سرویس محدودیت خدمات هر سرویس یا برنامه ای برای استفاده از آن مورد نیاز است که لازم است تا مجوز را اداره کند. به عبارت دیگر، اگر در شرایط عادی، سرویس درخواست نام کاربری و رمز عبور خود را درخواست کند، این سرویس محدودیت خدمات است.)

فهرست 1.6. ورود پیکربندی فایل

auth مورد نیاز PAM_SECURETTY.SO.

aUTH مورد نیاز PAM_PWDB.SO.

aUTH مورد نیاز PAM_NOLOGIN.SO.

#auth مورد نیاز pam_dialup.so.

auth اختیاری pam_mail.so.

حساب مورد نیاز PAM_PWDB.SO.

جلسه مورد نیاز PAM_PWDB.SO.

جلسه PAM_LASTLOG.SO.

رمز عبور مورد نیاز pam_pwdb.so.

همانطور که از لیست دیده می شود، فایل پیکربندی شامل سه ستون است. ردیف شروع با نماد شبکه (#) نادیده گرفته می شود. بنابراین، ماژول PAM_DIALUP (خط چهارم فهرست 1.6) از دست رفته است. این فایل دارای ردیف با همان فیلد سوم - PAM_PWD.SO، و اول - AUTH. استفاده از چندین ردیف با همان فیلد اول، انباشت (انباشت) ماژول ها نامیده می شود و به شما اجازه می دهد تا مجوز چند مرحله ای (پشته ماژول ها) را بدست آورید، که شامل چندین روش مجوز مختلف است.

ستون اول یک ستون نوع است. این نوع توسط یکی از چهار علامت شخصیت تعیین می شود: Auth، حساب، جلسه و رمز عبور. محتویات تمام ستون ها بدون ثبت نام در نظر گرفته می شود.

Type Auth (Authentication - Authentication) مورد استفاده قرار می گیرد تا روشن شود که آیا کاربر کسانی است که خود را می دهد. به عنوان یک قانون، این با مقایسه کلمه عبور وارد شده و ذخیره شده به دست می آید، اما گزینه های دیگر نیز ممکن است.

نوع حساب (حساب) چک می کند اگر سرویس مجاز به استفاده از این کاربر باشد، در چه شرایطی رمز عبور نیست و غیره.

رمز عبور را تایپ کنید (رمز عبور) برای به روز رسانی نشانگرهای مجاز استفاده می شود.

نوع جلسه (جلسه) اقدامات خاصی را انجام می دهد زمانی که کاربر وارد سیستم می شود و زمانی که کاربر از سیستم خارج می شود.

مدیریت پرچم ها

ستون دوم، زمینه پرچم کنترل است که تعیین می کند پس از بازگشت از ماژول، یعنی واکنش RAM به مقادیر موفقیت (موفقیت)، نادیده گرفتن (نادیده گرفتن) و شکست ( شکست). ارزش های مجاز: لازم، مورد نیاز، کافی و اختیاری است. از مقدار در این زمینه بستگی دارد که آیا دیگر خطوط فایل پردازش می شود.

پرچم مورد نیاز، رفتار سفت و سخت را تنظیم می کند. پردازش هر ردیف با پرچم مورد نیاز، ماژول که ارزش شکست را بازگردانده می شود (شکست) قطع خواهد شد و خدماتی که باعث شد آن را به شکست بازگرداند. هیچ خط دیگر در نظر گرفته نخواهد شد. این پرچم به اندازه کافی نادر است. واقعیت این است که اگر ماژول مشخص شده توسط آنها اولین بار انجام شود، سپس ماژول های زیر ممکن است اعدام شوند، از جمله کسانی که مسئول ورود به سیستم نیستند، بنابراین پرچم مورد نیاز (مورد نیاز) معمولا به جای آن اعمال می شود.

پرچم مورد نیاز، اجرای ماژول ها را قطع نمی کند. هر چه نتیجه اجرای ماژول مشخص شده توسط آنها: موفقیت (موفقیت)، نادیده گرفتن (نادیده گرفتن) یا شکست (شکست)، فریم ها همیشه به پردازش ماژول بعدی ادامه می دهند. این پرچم اغلب مورد استفاده قرار می گیرد، زیرا نتیجه ماژول تا زمانی که تمام ماژول های دیگر کار می کنند، به این معنی است که ماژول های مسئول ورود به سیستم تعریف شده اند.

پرچم کافی (کافی) منجر به تکمیل فوری پردازش ردیف و بازگشت ارزش موفقیت (موفقیت) می شود، در صورتی که ماژول علامت گذاری ارزش موفقیت (موفقیت) را بازگرداند و قبلا ماژول را با پرچم مورد نیاز مشاهده نکرد که وضعیت شکست را بازگرداند (شکست). اگر چنین ماژول ملاقات کرده باشد، پرچم کافی نادیده گرفته می شود. اگر ماژول علامت گذاری شده با این پرچم ارزش را به نادیده گرفتن (نادیده گرفتن) یا شکست (شکست) بازگرداند، پس پرچم کافی به طور مشابه به پرچم اختیاری دیده می شود.

نتیجه اجرای ماژول با پرچم اختیاری (اختیاری) تنها زمانی به حساب می آید که تنها ماژول در پشته است که ارزش موفقیت (موفقیت) را بازگرداند. در غیر این صورت، نتیجه اعدام آن نادیده گرفته می شود. بنابراین، تحقق ناموفق ماژول مشخص شده توسط آن، شکست کامل فرایند مجوز را شامل نمی شود.

برای اطمینان از اینکه کاربر قادر به دسترسی به سیستم است، ماژول های مشخص شده توسط پرچم های مورد نیاز و مورد نیاز، نباید ارزش های شکست (شکست) را بازگردانند. نتیجه اجرای ماژول با پرچم اختیاری تنها در صورتی فرض می شود که تنها ماژول در پشته ای است که موفقیت را بازگرداند (موفقیت).

ماژول ها رام

ستون سوم شامل نام کامل فایل ماژول مرتبط با این رشته است. در اصل، ماژول ها می توانند در هر کجا قرار بگیرند، اما اگر آنها در یک دایرکتوری از پیش تعریف شده برای ماژول قرار گیرند، می توانید فقط یک نام را مشخص کنید، در غیر این صورت مسیر مورد نیاز است. در ISPs، کاتالوگ از پیش تعریف شده / لیب / امنیت است.

ستون چهارم برای انتقال پارامترهای اضافی به ماژول طراحی شده است. نه همه ماژول ها دارای پارامترها نیستند، و اگر وجود داشته باشد، ممکن است استفاده نشود. انتقال ماژول پارامتر به شما این امکان را می دهد که رفتار خود را به یک یا چند راه تغییر دهید.

فهرست 1.7 شامل لیستی از ماژول های فریم است که بخشی از MSV ها هستند.

فهرست 1.7. لیست ماژول های فریم های موجود در MSVS

pam_rhosts_auth.so.

pam_securetty.so.

pam_unix_acct.so.

pam_unix_auth.so.

pam_unix_passwd.so.

pam_unix_session.so.

درباره ماژول جزئیات بیشتر

ماژول pam_access.so برای ارائه / ممنوعیت دسترسی بر اساس فایل /etc/security/access.conf استفاده می شود. خطوط این فایل دارای فرمت زیر هستند:

حقوق: کاربران: از کجا

حقوق + (اجازه) یا - (ممنوع)

کاربران - همه، نام کاربری یا کاربر node، جایی که گره به نام دستگاه محلی مربوط می شود، در غیر این صورت رکورد نادیده گرفته می شود.

از کجا یک یا چند نام فایل ترمینال (بدون پیشوند / dev /)، نام گره، نام دامنه (شروع از نقطه)، آدرس های IP، همه یا محلی.

ماژول PAM_CRACKLIB.SO چک رمز عبور فرهنگ لغت را بررسی می کند. این طراحی شده است تا یک رمز عبور جدید را بررسی کند و به شما امکان می دهد از استفاده در سیستم به راحتی رمزهای عبور را ترک کنید، که کلمات مشترک، کلمه عبور حاوی شخصیت های تکراری و رمزهای عبور بیش از حد کوتاه است. پارامترهای اختیاری وجود دارد: اشکال زدایی، نوع \u003d و دوباره امتحان کنید \u003d. پارامتر اشکال زدایی شامل اطلاعات اشکال زدایی به فایل ورودی می شود. پارامتر نوع، به دنبال رشته، تغییرات در پیش فرض NewUnixPassword دعوت: کلمه یونیکس به رشته مشخص شده. پارامتر مجددا تعداد تلاشهای ارائه شده به کاربر را برای ورود به رمز عبور تنظیم می کند که خطا به خستگی بازگردانده می شود (یک تلاش به طور پیش فرض داده می شود).

فهرست 1.8 را در نظر بگیرید. این محتویات فایل / etc / pam.d / دیگر را نشان می دهد. این فایل شامل پیکربندی استفاده شده توسط مکانیسم چارچوب برای خدماتی است که فایل های پیکربندی خود را در دایرکتوری /etc/pam.d وجود ندارد. به عبارت دیگر، این فایل به تمام خدمات ناشناخته به سیستم قاب اعمال می شود. این همه چهار نوع مجوز، Auth، حساب، رمز عبور و جلسه را ارائه می دهد، هر کدام از آنها ماژول PAM_DENY.SO مشخص شده توسط پرچم بازپرداخت شده است. بنابراین، اجرای سرویس ناشناخته ممنوع است.

فهرست 1.8. فایل /etc/pam.d/other دیگر.

auth مورد نیاز PAM_DENY.SO.

auth مورد نیاز PAM_WARN.SO.

حساب مورد نیاز PAM_DENY.SO.

رمز عبور مورد نیاز pam_deny.so.

رمز عبور مورد نیاز pam_warn.so.

جلسه مورد نیاز pam_deny.so.

ماژول pam_dialup.so بررسی می کند که آیا یک رمز عبور را برای دسترسی به یک ترمینال یا ترمینال از راه دور، که از فایل / etc / security / ttys.dialup استفاده می کند، مشخص کند. این ماژول نه تنها به TTYS قابل اجرا است، بلکه به طور کلی به هر ترمینال TTY. هنگامی که یک رمز عبور مورد نیاز است، آن را با فایل / etc / security / passwd.dialup بررسی می شود. تغییرات در فایل passwd.dialup توسط برنامه DPASSWD انجام می شود.

ماژول PAM_GROUP.SO مطابق با محتویات فایل /etc/security/group.coup.coup.coup. این فایل نشان دهنده گروه هایی است که عضو آن می تواند کاربر مشخص شده در فایل هنگام انجام شرایط خاص باشد.

ماژول pam_lastlog.so وارد اطلاعات فایل Lastlog در مورد زمانی که و از جایی که کاربر وارد سیستم شده است. معمولا این ماژول با نوع جلسه و پرچم اختیاری مشخص شده است.

ماژول pam_limits.so اجازه می دهد تا شما را به اعمال محدودیت های مختلف در کاربران وارد شده است. این محدودیت ها به کاربر ریشه (یا هر کاربر دیگری با یک شناسه صفر) اعمال نمی شود. محدودیت ها در سطح ورود به سیستم تنظیم می شوند و جهانی یا دائمی نیستند، تنها در داخل ورودی عمل می کنند.

ماژول pam_lastfile.so برخی از رکورد را قبول می کند (مورد)، آن را با یک لیست در فایل مقایسه می کند و بر اساس نتایج مقایسه، موفقیت (موفقیت) یا شکست (شکست) را باز می گرداند. پارامترهای این ماژول عبارتند از:

مورد \u003d [کاربر ترمینال | Remote_uzel | کاربر از راه دور | گروه | غلاف]

Sense \u003d (وضعیت بازگشت؛ هنگامی که ضبط در لیست یافت می شود، در غیر این صورت وضعیت در مقابل مشخص شده است)

file \u003d / full / path / and / file_name - onerr \u003d (چه وضعیتی در صورت خطا بازگردانده می شود)

arr1u \u003d [کاربر | @ گروهی] (کاربر یا گروهی را که محدودیت ها اعمال می شود را مشخص می کند. این فقط برای سوابق مشاهده آیتم شناخته می شود \u003d [ترمینال | Remote_uelle | غلاف] نادیده گرفته شده)

ماژول PAM_NOLOGIN.SO در هنگام تأیید نوع AUT با پرچم مورد نیاز، استفاده می شود. این ماژول بررسی می کند که آیا فایل / etc / nologin وجود دارد، و اگر نه، پس از آن ارزش موفقیت (موفقیت)، در غیر این صورت محتویات فایل به کاربر نشان داده شده و ارزش شکست (شکست) را نشان می دهد. این ماژول معمولا در مواردی استفاده می شود که سیستم هنوز به طور کامل به عملیات یا به طور موقت برای تعمیر و نگهداری بسته نشده است، اما از شبکه قطع نشده است.

ماژول pam_permit.so به ماژول pam_deny.so اختیاری است. این همیشه ارزش موفقیت را به دست می آورد (موفقیت). هر پارامتر منتقل شده توسط ماژول نادیده گرفته می شود.

ماژول PAM_PWDB.SO یک رابط را به فایل های passwd و shadow فراهم می کند. پارامترهای زیر ممکن است:

اشکال زدایی - ضبط اطلاعات اشکال زدایی به فایل ورود به سیستم؛

ممیزی - اطلاعات اضافی اشکال زدایی برای کسانی که اطلاعات کافی برای اشکال زدایی معمولی نیستند؛

use_first_pass - هرگز رمز عبور را برای یک کاربر درخواست نکنید و آن را از ماژول های پشته قبلی بگیرید؛

try_first_pass - سعی کنید یک رمز عبور از ماژول های قبلی دریافت کنید، در صورت عدم درخواست یک کاربر؛

USE_AUTHTOK - بازگشت ارزش شکست (شکست) اگر pam_authtok نصب نشده باشد، رمز عبور را برای کاربر درخواست نکنید و آن را از ماژول های پشته قبلی (فقط برای پشته ماژول های رمز عبور) استفاده کنید.

not_set_pass - رمز عبور را از این ماژول به عنوان یک رمز عبور برای ماژول های بعدی نصب نکنید؛

سایه - نگه داشتن یک سیستم از کلمه عبور سایه؛

یونیکس - کلمه عبور را به فایل / etc / passwd محل؛

MD5 - پس از تغییر رمز عبور بعدی، از رمزهای عبور MD5 استفاده کنید.

BigCrypt - با تغییر رمز عبور بعدی، از رمزهای عبور DECC2 استفاده کنید.

Nodelay - یک تاخیر تک عقیق را با مجوز ناموفق غیرفعال کنید.

ماژول pam_rhosts_auth.so اجازه می دهد / ممنوع استفاده از فایل ها .rohosts یا hosts.equiv. علاوه بر این، آن را نیز اجازه می دهد / ممنوع استفاده از نوشته های "خطرناک" در این فایل ها. پارامترهای این ماژول عبارتند از:

NO_HOSTS_EQUIV - نادیده گرفتن فایل /etc/hosts.equiv؛

no_rhosts - نادیده گرفتن فایل / etc / rhosts یا ~ / .rhosts؛

اشکال زدایی - برای ورود اطلاعات اشکال زدایی؛

الانرن - هشدارها را نمایش ندهید؛

سرکوب - هر پیام را تولید نکنید

بی پروا - اجازه استفاده از نماد "+" Wildcard در هر زمینه.

ماژول PAM_ROOTOK.SO ارزش موفقیت (موفقیت) را برای هر کاربر با شناسه صفر باز می گرداند. این علامت با پرچم کافی مشخص شده است، این ماژول اجازه دسترسی به سرویس را بدون مشخص کردن رمز عبور می دهد. پارامتر در ماژول تنها یک است: اشکال زدایی.

ماژول PAM_SECURETTY.SO تنها می تواند برای سوپر ها استفاده شود. این ماژول با فایل / etc / securetty کار می کند، به کاربر اجازه می دهد تا تنها از طریق پایانه های ذکر شده در این فایل به سیستم وارد سیستم شوند. اگر می خواهید ورودی Superuser را به سیستم از طریق TELNET (TTYP pseudo-terminal) اجازه دهید، سپس باید یک رشته را به این فایل اضافه کنید تا TTYP0-255 را اضافه کنید یا برای تماس با PAM_SECURETTY.SO تماس بگیرید.

ماژول pam_shells.so مقدار موفقیت را به دست می آورد اگر پوسته کاربر مشخص شده در فایل / etc / passwd در لیست پوسته از فایل / etc / shells موجود است. اگر فایل / etc / passwd هر پوسته را اختصاص نمی دهد، آن را شروع می شود / bin / sh. اگر فایل / etc / passwd یک پوسته را مشخص کند که در لیست / etc / shells گم شده است، ماژول ارزش شکست (شکست) را باز می گرداند. حق نوشتن به فایل / etc / shells باید تنها Superuser داشته باشد.

ماژول PAM_STRESS.SO برای کنترل گذرواژه ها استفاده می شود. او دارای پارامترهای بسیاری است، از جمله یک اشکال زدایی ثابت، اما به طور کلی، تنها دو منافع از تمام پارامترها هستند:

Rootok - اجازه دهید Superuser برای تغییر رمز عبور کاربر بدون وارد کردن رمز عبور قدیمی؛

منقضی شده - با این پارامتر، ماژول اجرا می شود به طوری که اگر رمز عبور کاربر معتبر در حال حاضر منقضی شده است.

پارامترهای دیگر ماژول به شما این امکان را می دهد که هر یک از این دو حالت را غیرفعال کنید، از یک رمز عبور از یک ماژول دیگر استفاده کنید یا رمز عبور را به یک ماژول دیگر منتقل کنید و غیره. در اینجا من تمام پارامترهای ماژول را در نظر نمی گیرم، بنابراین اگر نیاز به استفاده از آن داشته باشید ویژگی های ویژه این ماژول، توصیف آنها را در مستندات ماژول بخوانید.

ماژول pam_tally.so در فایل های /etc/pam.d به طور پیش فرض استفاده نمی شود. این ماژول تلاش برای تصویب مجوز را محاسبه می کند. با گذرگاه موفقیت آمیز مجوز، تعداد تلاش ها می تواند تنظیم مجدد شود. اگر تعداد تلاشهای اتصال ناموفق بیش از حد یک آستانه باشد، دسترسی می تواند ممنوع باشد. به طور پیش فرض، اطلاعات مربوط به تلاش ها در فایل / var / log / faillog قرار می گیرد. پارامترهای جهانی به شرح زیر است:

Onerr \u003d - اگر یک خطا رخ داد، برای مثال، این فایل امکان پذیر نبود.

file \u003d / full / path / and / file_name - اگر هیچ فایل پیش فرض استفاده شود. پارامتر زیر فقط برای نوع Auth حساس است:

NO_MAGIC_ROOT - شامل شمارش تعداد تلاشهای Superuser (پیش فرض انجام نشده است). مفید است اگر ورودی Superuser به سیستم از طریق Telnet اجازه داده شود. پارامترهای زیر فقط برای نوع حساب حس می کنند:

انکار \u003d N - دسترسی به پس از تلاش N. هنگام استفاده از این پارامتر، رفتار ماژول Reset / No_Reset به طور پیش فرض با no_reset در تنظیم مجدد متفاوت است. این اتفاق می افتد برای همه کاربران، به استثنای کاربر ریشه (UID 0)، مگر اینکه پارامتر NO_MAGIC_ROOT استفاده نشده است؛

NO_MAGIC_ROOT - پارامتر انکار را برای تلاش توسط کاربر ریشه نادیده نگیرید. هنگامی که در ارتباط با پارامتر deny \u003d استفاده می شود (نگاه کنید به پیشتر)، رفتار بازنشانی به طور پیش فرض برای کاربر ریشه تنظیم شده است، زیرا برای همه کاربران دیگر؛

حتی_deny_root_account - اجازه می دهد قفل حساب کاربری Superuser اگر پارامتر NO_MAGIC_ROOT وجود داشته باشد. این یک هشدار صادر شده است. اگر پارامتر NO_MAGIC_ROOT استفاده نشده باشد، صرف نظر از تعداد تلاش های ناموفق حساب Superuser، در مقایسه با کاربران عادی، هرگز مسدود نخواهد شد؛

بازنشانی - بازنشانی شمارنده تعداد تلاش ها در ورودی موفقیت آمیز؛

no_reset - برای بازنشانی تعداد تلاش ها در یک ورودی موفق؛ به طور پیش فرض استفاده می شود، مگر اینکه پارامتر انکار مشخص شود \u003d.

ماژول pam_time.so اجازه می دهد تا شما را به محدود کردن دسترسی به سرویس بسته به زمان. تمام دستورالعمل های پیکربندی آن را می توان در فایل / etc / security / time.conf یافت. این پارامتر ندارد: همه چیز در فایل پیکربندی تنظیم شده است.

ماژول pam_unix در مسائل مربوط به مجوز معمول ISWS مشغول به کار است (معمولا به جای ماژول از pam_pwdb.so استفاده می شود). فیزیکی این ماژول شامل چهار ماژول است که هر کدام به یکی از انواع فریم ها مربوط می شود: pam_unix_auth.so، pam_unix_session.so، pam_unix_acct.so و pam_unix_passwd.so. ماژول ها برای انواع حساب و پارامترهای auth ندارند. ماژول برای پارامتر نوع PassWD تنها یک است: Strict \u003d False. اگر در دسترس باشد، ماژول کلمه عبور را برای مقاومت در برابر هک بررسی نمی کند، به شما این امکان را می دهد که از خودسرانه استفاده کنید، از جمله رمزهای عبور ناامن (به راحتی حدس زدن یا انتخاب شده). ماژول نوع جلسه دو پارامتر را درک می کند: اشکال زدایی و ردیابی. اطلاعات اشکال زدایی پارامتر اشکال زدایی در یک فایل ورودی اطلاعات اشکالزدایی قرار می گیرد، همانطور که در Syslog.conf نشان داده شده است، و اطلاعات پارامتر ردیابی به دلیل حساسیت آن - در Log AuthPriv است.

ماژول PAM_WARN.SO یک پیام در مورد تماس خود را به syslog ثبت می کند. پارامترها هیچ

ماژول PAM_WHEEL.SO اجازه می دهد تا کاربر فوق العاده فقط به اعضای گروه چرخ. گروه چرخ یک گروه خاص سیستم است که اعضای آن دارای امتیازات عالی از کاربران عادی هستند، اما کوچکتر از Superuser. حضور آن تعداد کاربران سیستم را با امتیازات Superuser کاهش می دهد و آنها را به اعضای گروه چرخ تبدیل می کند و در نتیجه امنیت سیستم را افزایش می دهد. اگر Superuser فقط می تواند با استفاده از ترمینال وارد شود، این ماژول می تواند مورد استفاده قرار گیرد تا یک کار غیر قابل دسترس برای کاربران از طریق Telnet با امتیازات Superuser استفاده شود، از آنها برای دسترسی به آنها برای دسترسی به آنها، اگر آنها به گروه WheelModuil تعلق ندارند، از پارامترهای زیر استفاده می کنند:

اشکال زدایی - ورود اطلاعات اشکال زدایی؛

use_uid - تعریف تعلق بر اساس شناسه کاربر فعلی، و نه آنچه که در هنگام ورود به سیستم به آن اختصاص داده شد؛

اعتماد - در مورد وابستگان کاربر به گروه چرخ، ارزش موفقیت (موفقیت) را بازگرداند، و نادیده گرفتن (نادیده گرفتن)؛

انکار - معنای روش را به مخالف تغییر می دهد (بازپرداخت ناموفق). در ترکیب با گروه \u003d به شما اجازه می دهد تا دسترسی به اعضای این گروه را انکار کنید.

توجه داشته باشید -

کاتالوگ / و غیره / امنیت به طور مستقیم به دایرکتوری /etc/pam.d مربوط می شود، زیرا شامل فایل های پیکربندی ماژول های مختلف قاب در فایل ها از /etc/pam.d است.

ورودی های RAM در فایل های ورودی

فهرست 1.9. محتوا / var / log / secure

11 ژانویه 16:45:14 Chiriqui PAM_PWDB: (SU) جلسه برای ریشه کاربر باز شد

11 ژانویه 16:45:25 Chiriqui PAM_PWDB: (SU) جلسه برای ریشه کاربر بسته شده است

11 ژانویه 17:18:06 Chiriqui ورود: ورود به سیستم 1 از (null) برای دیوید،

شکست احراز هویت

11 ژانویه 17:18:13 Chiriqui ورود: ورود به سیستم 2 از (null) برای دیوید.

شکست احراز هویت

11 ژانویه 17:18:06 Chiriqui ورود: ورود به سیستم 1 از (null) برای دیوید.

شکست احراز هویت

11 ژانویه 17:18:13 Chiriqui ورود: ورود به سیستم 2 از (null) برای دیوید،

شکست احراز هویت

11 ژانویه 17:18:17 Chiriqui Pam_pwdb: (ورود به سیستم) جلسه برای کاربر دیوید باز شد

11 ژانویه 17:18:17 Chiriqui - دیوید: ورود به TTYL توسط DAVID

11 ژانویه 17:18:20 Chiriqui PAM_PWDB: (ورود به سیستم) جلسه بسته شده برای کاربر دیوید

هر ضبط از تاریخ، زمان و نام گره شروع می شود. پس از آن، نام ماژول فریم و شناسه فرآیند محصور شده در براکت های مربع. سپس، در پرانتز، نام محدودیت خدمات در حال آمدن است. برای فهرست 1.9 آیا SU یا ورود به سیستم است. پس از نام سرویس، یا "sessionopened" (جلسه باز است) یا "sessionclosed" (جلسه بسته شده است).

ورود به پیروی از رکورد با "SessionOpened" پیامی در مورد ورود به سیستم است که می توانید آن را پیدا کنید که چه کسی و از جایی که وارد سیستم شد پیدا کنید.

سوالات زیر در نظر گرفته شده است:

گروه کاربر پیش فرض و گروه های خصوصی کاربر چیست؟

تغییر کاربر / گروه؛

نحوه تغییر کاربر / گروه بر رابط گرافیکی تاثیر می گذارد؛

امنیت و کاربران؛

امنیت و رمزهای عبور؛

حفاظت از رمز عبور؛

انتخاب یک رمز عبور خوب؛

هک رمز عبور

گروه پیش فرض

در حال حاضر، محدودیت های کاربر همزمان متعلق به تنها به یک گروه دیگر وجود ندارد. هر کاربر می تواند به طور همزمان به چندین گروه تعلق داشته باشد. در فرمان NewGRP، کاربر عضو گروهی مشخص شده در گروه می شود، در حالی که این گروه برای این کاربر می شود. گروه ورود به سیستم (logingroup). در عین حال، کاربر همچنان عضو گروهی از گروه هایی است که قبل از دستور NewGRP وارد شده است. گروه ورود به سیستم یک گروه است که صاحب گروهی از فایل های کاربر می شود.

تفاوت بین گروه پیش فرض و گروه های کاربر خصوصی، درجه باز بودن این دو طرح است. در مورد یک طرح پیش فرض، هر کاربر می تواند سایر فایل های کاربر را بخواند (و اغلب تغییر کند). با گروه های خصوصی، خواندن یا نوشتن یک فایل ایجاد شده توسط کاربر دیگری امکان پذیر است، تنها اگر صاحب آن به صراحت حقوق این عملیات را به سایر کاربران ارائه دهد.

اگر لازم باشد کاربران بتوانند بدون مداخله مدیر سیستم، گروه را بپیوندند و ترک کنند، رمز عبور را می توان به این گروه اختصاص داد. کاربر می تواند از امتیازات یک گروه خاص استفاده کند تنها اگر متعلق به آن باشد. دو گزینه وجود دارد: یا آن متعلق به گروه از لحظه ورود به سیستم، و یا آن را به عنوان عضو گروه پس از شروع کار با سیستم. به طوری که کاربر می تواند به گروهی که متعلق به آن نیست، پیوست، رمز عبور باید به این گروه اختصاص داده شود.

به طور پیش فرض، رمزهای عبور گروهی در ASW استفاده نمی شود، بنابراین فایل Gshadow در دایرکتوری / etc نیست.

اگر شما دائما از تنها یکی از برنامه ها برای مدیریت کاربران استفاده می کنید، شما دائما از یکی از برنامه ها استفاده می کنید - useradd، lisa یا coas، - فایل های تنظیمات کاربر به دست آمده سازگار تر و راحت تر همراه است.

مزیت طرح پیش فرض با گروه پیش فرض این است که آن را به اشتراک گذاری فایل ها تسهیل می کند، زیرا لازم نیست که از حقوق دسترسی برخوردار نباشید. این طرح به معنای یک رویکرد باز به سیستم با توجه به اصل "همه چیز ممنوع است مجاز نیست."

پیکربندی پارامترهای کاربر به طور پیش فرض یک کار اولویت اولویت است که بلافاصله پس از تنظیم سیستم تنظیم می شود.

گروه های خصوصی کاربران

گروه های کاربر خصوصی دارای نام هایی هستند که با نام های کاربری همخوانی دارند. گروه خصوصی در گروه ورود به سیستم ساخته شده است، بنابراین به طور پیش فرض، یعنی، اگر ویژگی های دایرکتوری هیچ چیز دیگری را تجویز نکنند، به عنوان یک صاحب گروهی از تمام فایل های این کاربر اختصاص داده می شود.

مزیت گروه های خصوصی کاربر این است که کاربران نیازی به محدود کردن دسترسی به فایل های خود ندارند: به طور پیش فرض دسترسی به فایل های کاربر از لحظه ای از خلقت آنها محدود خواهد شد. در ISWS، هنگام استفاده از گروه های خصوصی، کاربر می تواند فقط فایل های متعلق به آن را بخواند یا تغییر دهد. علاوه بر این، تنها می تواند فایل ها را فقط در دایرکتوری خانگی خود ایجاد کند. این رفتار پیش فرض را می توان با یک مدیر سیستم یا کاربر تغییر داد، و هر دو در سطح فایل فردی و در سطح دایرکتوری.

دستورات متعددی وجود دارد که کاربر می تواند نام و یا گروهی را که به آن تعلق دارد، یا به نام یا گروهی که در آن برنامه انجام می شود، کنترل می شود. یکی از این برنامه ها NewGRP است.

دستور newgrp را می توان توسط هر کاربر انجام داد. این اجازه می دهد تا او به پیوستن به گروهی که متعلق به آن نیست، اما تنها اگر یک رمز عبور به این گروه اختصاص داده شود. این دستور به شما اجازه نخواهد داد که اگر شما عضو این گروه نیستید به گروه بدون رمز عبور بپیوندید.

دستور newgrp را می توان در رابطه با گروه مورد استفاده قرار داد، که عضو آن در حال حاضر کاربر است. در این مورد، NewGRP گروه ورود به سیستم را ایجاد می کند. گروه های کاربر به دو نوع تقسیم می شوند: گروه ورود و تمام گروه های دیگر که این کاربر متعلق به آن است. کاربر می تواند متعلق به چندین گروه باشد، با این حال، گروهی از گروه ورود به سیستم در این کاربر همیشه یک صاحب گروهی از فایل های مبتنی بر کاربر اختصاص داده می شود.

علاوه بر NEWGRP، CHOWN و CHGRP دستورات نیز می توانند برای مدیریت وابستگی فایل برای یک فایل یا یک کاربر یا گروه دیگر استفاده شوند.

منطقه فرمان NewGRP در محیط XWindow محدود به برنامه Xterm است که در آن تکمیل شده است: در چارچوب گروه جدید، تنها برنامه هایی که از طریق این ترمینال اجرا می شوند، اجرا می شود، و بنابراین کاربر نمی تواند گروه ورود را برای برنامه ها تغییر دهد در حال اجرا از طریق فرستنده پنجره. برنامه ای که همیشه باید در چارچوب گروه ثانویه انجام شود، می تواند از طریق تنظیم اسکریپت، گروه ورود به سیستم مورد نیاز برای آن اجرا شود.

سیستم XWindow همیشه مشکلات اضافی را معرفی می کند. که در این مورد این مشکلات به طور مستقیم به X مربوط نیست و از منطق کار / و غیره / گروه ها و / etc / gshadow دنبال می شود. کسانی که از کلمات عبور سایه برای گروه ها استفاده نمی کنند، به خصوص در مورد آنچه نگران هستند. در مورد X، یک گروه محافظت شده با رمز عبور را از یک اسکریپت ساده تنظیم کنید، با این حال، برای گروه های کاربر ثانویه که نیازی به ورودی رمز عبور ندارند، تغییر گروه بسیار ساده است. زیر سناریوی زیر است:

sG - GIFS -C / USR / X11R6 / BIN / XV &

به عنوان یک نتیجه از شروع این اسکریپت، برنامه XV راه اندازی خواهد شد، گروه اصلی که گروه GIFS خواهد بود. چه چیزی لازم بود

برای کسانی که از کلمه عبور گروه سایه استفاده می کنند مشکل تر هستند، زیرا در این مورد، هنگام اجرای این اسکریپت، یک پیام خطا بر روی صفحه نمایش ظاهر می شود. هنگامی که کاربران در فایل / etc / groups لیست شده اند، هر یک از آنها به طور خودکار به عنوان یک عضو بلافاصله پس از ورود به سیستم به عنوان یک عضو شناخته می شود. با این حال، در مورد یک رمز عبور سایه، لیستی از کاربران گروه به فایل / etc / gshadow منتقل می شود، به طوری که کاربر وارد سیستم شده به سیستم توسط دستگاه به اعضای آن اعتبار داده نمی شود، اما می تواند با استفاده از آن بپیوندد دستور newgrp یا برای انجام هر برنامه از نام خود را با دستور با استفاده از فرمان SG. مشکل این است که از نقطه نظر X، این کاربر (که لزوما کاربر نیست، آغاز شده توسط جلسه کار X)، هیچ حق نصب اتصال ندارد. بنابراین، برای گروه های رمز عبور محافظت نشده، سناریوی قبلا کاهش یافته به شرح زیر است:

xhosts + lozalhost.

sG - GIFS -C / USR / X11R6 / BIN / XV &

رشته اضافه شده اجازه می دهد تا به صفحه دسترسی دسترسی داشته باشید. گروه جدید (GIFS). برای اکثر ایستگاه های کاری، این نباید منجر به هر گونه مسائل امنیتی مهم شود، زیرا این رشته تنها به شما اجازه می دهد تا به صفحه نمایش به کاربران گره دسترسی دسترسی پیدا کنید (برای اطلاعات بیشتر در مورد X و XHost، به دفترچه راهنمای خوب مدیر سیستم لینوکس مراجعه کنید).

توجه داشته باشید

با استفاده از سرور X (به ویژه به ویژه با XDM یا KDM)، تعدادی از ظرافت های آن را شامل می شود، حتی بیشتر از برنامه های گرافیکی تشدید می شود، زیرا آنها می توانند نه تنها از طریق خط فرمان راه اندازی شوند، بلکه از آیکون در دسکتاپ گرافیک استفاده می کنند.

تغییر کاربر

توجه داشته باشید

یک کاربر عادی نمی تواند سیستم را به عنوان یک سوپراسور بی دقتی آسیب برساند. عواقب تایپوگرافی شما به عنوان یک کاربر فوق العاده می تواند بسیار کشنده باشد، تا نقطه ای که تمام فایل های سیستم شما (و به طور کلی تمام فایل های ذخیره شده در سیستم را می توان گفت که خداحافظی می گوید. در برخی از شرکت ها، پس از آن، آنها می توانند "خداحافظ" و شما را بگویند.

تبدیل یک کاربر در یکی دیگر از فرمان سو است. تیم نام خود را دریافت کرد « جایگزین. کاربر. » (جایگزینی کاربر)، اما از آنجایی که اغلب از آن استفاده می شود برای تبدیل شدن به یک superuser ..

فرمان SU ناشی از استدلال ها از رمز عبور کاربر می پرسد، پس از آن (دریافت رمز عبور صحیح در پاسخ) شما را یک کاربر ریشه می کند. این فرمان سرویس محدودیت خدمات است، بنابراین تمام جنبه های امنیت آن را می توان از طریق فایل /etc/pam.d/su پیکربندی کرد.

توجه داشته باشید -

SU گردش بدون مشخص کردن نام کاربری (با یا بدون یا بدون defis یا بدون آن)، به عنوان نشانه ای از ایجاد یک کاربر ریشه.

این دستور sudo به علاقه مندی ها اجازه می دهد تا کاربران برخی از برنامه ها را در حقوق SuperSterSer انجام دهند، و در کاربر که به این دستور تجدید نظر می شود، به عنوان یک رمز عبور Superuser درخواست نمی شود، بلکه رمز عبور خود را درخواست نمی کند. سودو مانند دستور SG استفاده می شود. کاربر وارد sudo team_fer_mill، سپس رمز عبور خود، و اگر آن را مجاز به آن، فرمان مشخص شده در زمینه امتیازات Superuser انجام می شود.

امنیت و کاربران

کاربران معمولا فقط در نحوه ورود به سیستم و راه اندازی برنامه های مورد نیاز شما علاقه مند هستند. علاقه به امنیت تنها پس از از دست دادن فایل های مهم از آنها ظاهر می شود. اما او طول می کشد. پس از آموختن این اقدامات پذیرفته شد، کاربران به سرعت در مورد هر گونه احتیاط فراموش می کنند.

به طور کلی، مراقبت آنها نیست - امنیت. مدیر سیستم باید یک سیاست امنیتی را در نظر بگیرد، پیاده سازی و حفظ کند که به کاربران اجازه می دهد کار خود را انجام دهند بدون اینکه مسائل حفاظت از آنها را نادیده بگیرند.

خطر اصلی سیستم، به عنوان یک قاعده، از داخل، و نه خارج است. منبع آن (به ویژه در سیستم های بزرگ) می تواند به عنوان مثال یک کاربر عصبانی باشد. با این حال، لازم است که از سوء ظن بیش از حد جلوگیری شود، زمانی که آسیب ناشی از جهل برای هدف بد گرفته شده است. در مورد چگونگی محافظت از کاربران از آسیب های ناخواسته به فایل های خارجی و خارجی در بخش اول کتاب شرح داده شده است. به عنوان تمرین نشان می دهد، کاربر متوسط \u200b\u200bقادر به آسیب رساندن به سیستم نیست. فقط لازم است نگران کسانی باشید که قادر به پیدا کردن یک اشتباه در مکانیسم های حفاظت هستند و واقعا قادر به آسیب هدفمند به سیستم هستند. اما چنین کاربران معمولا چند و در طول زمان آنها شناخته شده است، به خصوص اگر شما می دانید چه باید توجه داشته باشید. گروه ریسک شامل افرادی است که به موجب موقعیت خود و یا به لطف روابط آنها می توانند به سطح امتیازات ریشه دسترسی داشته باشند. همانطور که از مواد این کتاب کار می کنید، متوجه خواهید شد که دقیقا باید به عنوان نشانه هایی از مشکلات احتمالی در نظر گرفته شود.

به طور پیش فرض، کاربران کنترل کامل بر کاتالوگ های خانگی خود را دریافت می کنند. اگر از گروه پیش فرض استفاده می کنید، تمام کاربران سیستم متعلق به یک گروه هستند. هر کاربر حق دسترسی به مدیران خانگی دیگر کاربران و فایل های موجود در آنها را دارد. هنگام استفاده از یک طرح با گروه های خصوصی از کاربران، هر یک از کاربران سیستم تنها به دایرکتوری خانگی خود دسترسی دارند و دایرکتوری های خانگی از کاربران دیگر به آن دسترسی ندارند.

اگر تمام کاربران سیستم مورد نیاز برای دسترسی به اشتراک گذاشته شده به برخی از آنها باشد فایل های رایجتوصیه می شود جایی که یک کاتالوگ کلی به طور خاص به طور خاص برای این اهداف ایجاد کنید، برای شروع گروهی که اعضای آن همه کاربران هستند (این ممکن است یک گروه کاربر یا هر گروه دیگری که ایجاد کرده اید)، و این گروه را با حقوق دسترسی مربوط به آن ارائه دهید این کاتالوگ مشترک اگر کاربر می خواهد برخی از فایل های خود را در دسترس کاربران دیگر قرار دهد، می تواند به سادگی آنها را به این پوشه کپی کند و اطمینان حاصل کند که این فایل ها متعلق به همان گروهی هستند که همه کاربران عضو هستند.

برخی از کاربران باید مورد استفاده قرار گیرند یا به سادگی نمی توانند بدون برنامه هایی که در کیت ASC گنجانده نشده اند، انجام دهند. اکثر کاربران در نهایت بسیاری از فایل های خود را به دست می آورند: اسناد، فایل های پیکربندی، سناریوها، و غیره. سیستم OpenLinux به کاربران مراقبت های ویژه ای در سازماندهی فایل های خود ارائه نمی دهد و این کار را به مدیر سیستم می برد.

ساختار دایرکتوری های ایجاد شده در دایرکتوری خانگی هر کاربر جدید توسط محتویات دایرکتوری / etc / skel تعیین می شود. دایرکتوری های زیر معمولا در حال حاضر / etc / skel وجود دارد:

این دایرکتوری ها برای ذخیره (به ترتیب) فایل های باینری، فایل های منبع، فایل های سند و سایر فایل های متنوع استفاده می شود. بسیاری از برنامه های پیش فرض ارائه می دهند تا فایل های خاصی را در یکی از این زیر شاخه ها ذخیره کنند. پس از دریافت توضیح انتصاب کاتالوگ های موجود در اختیار آنها، کاربران معمولا مایل به استفاده از آنها هستند، زیرا آنها را از نیاز به اختراع چیزی حذف می کند. فراموش نکنید که دایرکتوری ~ / bin را به عنوان یکی از آخرین دایرکتوری های ذکر شده در متغیر کاربر مسیر ایجاد کنید.

امنیت و رمزهای عبور

گفته شده است که جایی که خوب است، وجود دارد و شکسته می شود - این بیانیه اغلب به یاد می آید زمانی که به اهمیت کلمه عبور در سیستم امنیتی می رسد. به طور کلی، قابلیت اطمینان سیستم امنیتی توسط بسیاری از عوامل تعیین می شود، به ویژه، آنچه خدمات سیستم های MSV برای کاربران خارجی قابل دسترسی است (چه به عنوان یک وب سرور مورد استفاده قرار می گیرد، اگر بتوان آن را با استفاده از Telnet وارد کنید، و غیره .).).). یکی دیگر از عوامل تعریف شده، کلمه عبور کاربر است که ما را به یکی دیگر از عوامل به ارمغان می آورد - مطابق با سیاست های کاربر. یک کاربر ساده چیزی در مورد امنیت نمی داند. اگر ما به کاربر احترام بگذاریم و نمی خواهیم نگرش خود را به روش های امنیتی امنیتی تغییر دهیم، باید سیستم امنیتی را راحت و قابل درک برای آن انجام دهیم. سخت ترین فراهم آوردن راحتی. همه چیز امن است معمولا بیش از حد راحت نیست (از آنجا که راحتی قابل پیش بینی و عناصر با ایمنی ترکیب نشده است) و به همین دلیل وارد درگیری با رفتار معمول از افرادی که ترجیح می دهند تمام راه های ممکن است راحت ترین راه. در نهایت، کاربران با سیستم کار می کنند تا کار را به آنها اختصاص داده و یک جدید اضافه نکنید. به منظور، کاربران عمدا در هنگام کار با گذرواژه ها حداقل مسیر مقاومت را نداشتند، معمولا سعی می کنم به آنها توضیح دهم، زیرا کلمه عبور مورد نیاز است و چرا مهم است که ایمنی خود را حفظ کنید. مهم نیست که از موقعیت های عمومی مانند "یک سیستم امنیتی کم می تواند هک و سرقت و یا آسیب رساندن به فایل های مهم"، و از موقعیت منافع شخصی کاربر.

اکثر کاربران اهمیت ایمیل برای کار خود را درک می کنند. با این وجود، آنها متوجه نمی شوند که هر گونه وارد سیستم تحت نام آنها فرصتی برای استفاده از ایمیل خود از طرف آنها علیه آنها می شود. از کاربر بپرسید، آیا از ایمیل برای اهداف شخصی استفاده می کند. به احتمال زیاد، او جواب خواهد داد بله سپس از او بخواهید که آیا او مجبور بود مسائل مربوط به کسب و کار مهم را از طریق ایمیل حل کند. کمتر از کسانی است که هر روز جواب نمی دهند. اما حتی در صورت پاسخ منفی، برخی از شرکای تجاری ممکن است معامله را از طریق ایمیل به عنوان یک معامله به عنوان یک معامله از طریق تلفن در نظر بگیرند.

پس از آن به کاربر توضیح دهید که او ایمیل ها گاهی اوقات همانند امضای شخصی آن است. و اگر چه عنوان پیام الکترونیکی را می توان جایگزین کرد، در اغلب موارد چنین جایگزینی نیز به عنوان یک امضا جعلی غیرقانونی است. اما اگر کسی، به هر حال، رمز عبور کاربر دیگری را یاد بگیرد، سیستم را تحت نام خود وارد می کند، پس از آن، به صورت تصویری سخن می گوید، قادر به عضویت در امضای شخص دیگری خواهد بود. هر پستی فرستاده شده به آنها از لحاظ فنی از پست الکترونیکی فرستاده شده توسط کاربر خود قابل تشخیص است. تمرین ارائه توانایی های ورودی شخصی تحت نام دیگری نامطلوب است و باید اجتناب شود (استثناء مدیران سیستم است که از این ویژگی برای تست سناریوهای ورود به سیستم و پارامترهای کاربر استفاده می کنند، اما برای این منظور نیازی به دانستن رمز عبور این نیست کاربر). پدیده های ناخواسته باید به سیستم تحت نام شخص دیگری (حتی با اجازه کاربر دیگری) نسبت داده شود. چقدر نامطلوب است؟ پاسخ به این سوال با شدت سیاست امنیتی شرکت تعیین می شود.

با این حال، کاربران باید درک کنند که هیچ راهی کمتر خطرناک برای دسترسی غیر مجاز به حساب خود وجود ندارد. این مورد رایج ترین زمانی است که کاربر، ترس از رمز عبور را فراموش کرده است، آن را ساده نگه می دارد، که به معنی حدس زدن، و یا ضبط یک رمز عبور بر روی یک تکه کاغذ است که اغلب به مانیتور متصل است. سیستم امنیتی رمز عبور بر اساس دو چیز است: یک نام کاربری ثابت و یک رمز عبور تغییر دوره ای. اکثر مردم یک کد پین را به هر کسی نمی گویند که به حساب بانکی خود دسترسی پیدا کنند، اما گذرواژه کاربر آنها خیلی از حسادت نیست. اگر چه، بر خلاف وضعیت با یک حساب بانکی، جایی که بخش ثابت است، یعنی یک کارت اعتباری یک شی فیزیکی است، دسترسی به آن هنوز هم برای به دست آوردن، بخش ثابت سیستم امنیتی رمز عبور، یعنی نام کاربری است شناخته شده به همه (حداقل همه در داخل شرکت ها و کسانی که با آن کاربر این کاربر را با ایمیل انجام داد). بنابراین، اگر بخش متغیر در جایی ثبت شود یا به راحتی حدس بزنید یا به وسیله برنامه انتخاب شده است که کلمات را از یک فرهنگ لغت فروخته است، پس از آن چنین حساب نمی تواند به خوبی محافظت شود.

در نهایت، کاربران باید از وجود این روش دریافت رمز عبور به عنوان "مهندسی اجتماعی" (اجتماعی کشاورزی) آگاه باشند. اکثر ما در زندگی خود حداقل با یک نفر ملاقات کرده ایم که می تواند "لغزنده را به همان اندازه" بگوید. چنین افرادی توانایی دیگران را با توسل به استدلال منطقی متقاعد می کنند تا اطلاعاتی را که نیاز دارند، ارائه دهند. اما این تنها نیست روش ممکن پیدا کردن رمز عبور شخص دیگری. گاهی اوقات کافی است که از بین برود.

یک وسیله مخالفت با چنین حوادثی، تغییر رمز عبور منظم است. البته شما می توانید زمان گذرواژه را در ده سال تغییر دهید، اما بهتر است شکاف بین تغییرات بیش از حد طول بکشد، و همچنین بهتر است که آنها را نپردازید، به عنوان مثال، یک بار در ساعت. رمز عبور را برای مدت طولانی تغییر ندهید، به این معنی است که خودتان را به خطر انداختن خطر کنید.

توجه داشته باشید-

نفوذ بیگانگان در سیستم تحت پوشش یک کاربر به طور منظم می تواند عواقب غم انگیز نه تنها برای فایل های این کاربر، بلکه همچنین برای کل سیستم به طور کلی، از آنجایی که بیشتر این بیگانه در سیستم شما می داند، آسان تر خواهد بود برای پیدا کردن کاهش در حفاظت از آن.

لطفا توجه داشته باشید که قبل از شروع کار، اسکریپت برخی از چک ها را انجام می دهد: آیا آن را در سطح امتیاز ریشه اجرا می کند، آیا UID اولیه مشغول و غیره است. با این حال، غیر ممکن است که بگوییم او همه چیز را بررسی می کند.

هک رمز عبور

یکی از راه های تأیید امنیت سیستم، نشان می دهد که خود را در محل مهاجم قرار دهید و سعی کنید به عنوان یک فرد در تلاش برای شکستن دفاع فکر کنید. این به این معنی است که لازم است که در میان کاربران راه بروم، بررسی اینکه آیا رمز عبور ضبط شده به هیچ مانیتور متصل نیست، هر کسی کسی را بر روی میز با یک تکه از داده های شناسایی بر روی آن ترک کرد، یا "گذر" فقط در آن روز صبح کاربران سیستم را وارد می کنند (شاید ممکن است متوجه شوند که چگونه هر یک از آنها رمز عبور را در صفحه کلید شماره گیری می کند).

همچنین به این معنی است که شما باید به جهت گیری مانیتور کاربر توجه داشته باشید، به منظور دسترسی به اطلاعات حساس، به منظور پیدا کردن اینکه آیا آن را برای شخص دیگری قابل مشاهده است. بعد، زمانی که این کاربران از محل کار خود خارج می شوند، آیا آنها برنامه محافظ صفحه نمایش را مسدود می کنند، و شاید از سیستم بیرون بیایند یا هیچ کاری انجام ندهند؟

ولی بهترین راه بررسی امنیت رمز عبور قدرت و روابط کاربر به آن - سعی کنید رمز عبور کاربر را هک کنید. اجرای منظم برنامه هک رمز عبور می تواند ارزیابی نسبتا خوب از قلعه سیستم حفاظت از رمز عبور خود را ارائه دهد.

MSVS 3.0- سیستم عامل چند نفره چند نفره محافظت شده با جداسازی زمانی توسعه یافته بر اساس لینوکس. سیستم عامل یک سیستم اولویت چند سطح را با جابجایی چند وظیفه ای، سازمان حافظه مجازی و پشتیبانی کامل شبکه فراهم می کند. با چند پردازنده (SMP - چند پردازنده متقارن) و تنظیمات خوشه ای در سیستم های اینتل، MIPS و SPARC کار می کند. ویژگی های MSVS 3.0 - ساخته شده است به وسیله حفاظت در برابر دسترسی غیر مجاز که مطابق با الزامات شورای دولتی کمیسیون فنی دولتی تحت رییس فدراسیون روسیه برای 2 بودجه فناوری محاسباتی است. ابزارهای حفاظت شامل کنترل دسترسی اجباری، لیست های کنترل دسترسی، مدل نقش و ابزار حسابرسی توسعه یافته (ورود به سیستم).

سیستم فایل ISWS 3.0 پشتیبانی از نام فایل های طولانی تا 256 کاراکتر با توانایی ایجاد نام فایل های روسی زبان و دایرکتوری ها، لینک های نمادین، Quotas و Lists Lists. توانایی نصب سیستم های فایل های FAT و NTFS، و همچنین ISO-9660 (CDS) وجود دارد. مکانیزم سهمیه اجازه می دهد تا شما را کنترل استفاده از کاربران فضای دیسک، تعداد فرایندهای در حال اجرا و مقدار حافظه اختصاص داده شده به هر فرآیند. هنگامی که کاربر درخواست شده توسط کاربر به یک سهمیه داده شده، سیستم را می توان پیکربندی کرد تا هشدارها را صادر کند.

MSVS 3.0 شامل یک سیستم گرافیکی بر اساس پنجره X است. دو مدیر پنجره برای کار در محیط گرافیکی عرضه می شوند: ICEWM و KDE. اکثر برنامه های ISWS بر روی کار در یک محیط گرافیکی تمرکز می کنند، که شرایط مطلوب نه تنها برای عملیات کاربران، بلکه همچنین برای انتقال آنها به سیستم عامل ویندوز در MSVS ایجاد می شود.

MSVS 3.0 در یک پیکربندی تحویل داده می شود، که به غیر از هسته شامل مجموعه ای از محصولات نرم افزاری اضافی است. خود سیستم عامل به عنوان یک عنصر اساسی سازمان از محل کار خودکار (بازوها) و ساخت سیستم های خودکار استفاده می شود. نرم افزار اضافی را می توان بر روی انتخاب نصب کرد، و بر روی حداکثر اتوماسیون و مدیریت دامنه و مدیریت متمرکز شده است، که هزینه خدمات ARMM را کاهش می دهد و تمرکز بر روی کاربران از کار هدف آنها را کاهش می دهد. برنامه نصب اجازه می دهد تا شما را به نصب سیستم عامل از بوت CD یا در شبکه از طریق پروتکل FTP. معمولا، سرور نصب نصب شده و پیکربندی شده از دیسک ها، و سپس نصب کامپیوتر های دیگر بر روی شبکه نصب شده است. سرور نصب در دامنه کار وظیفه به روز رسانی و بازگرداندن نرم افزار در محل کار را انجام می دهد. نسخه جدید تنها بر روی سرور به تعویق می افتد و سپس به روز رسانی خودکار در محل کار رخ می دهد. هنگامی که در محل کار آسیب دیده (به عنوان مثال، هنگامی که شما یک فایل برنامه یا نارضایتی از چکمه های فایل های اجرایی یا پیکربندی را رفع می کنید)، نرم افزار مربوطه به صورت خودکار دوباره ارزیابی می شود.

هنگام نصب مدیر، پیشنهاد می شود یکی از انواع استاندارد نصب یا نصب سفارشی را انتخاب کنید. انواع استاندارد هنگام نصب بر روی شغل های استاندارد استفاده می شود و گزینه های اصلی اصلی را برای سازماندهی شغل ها بر اساس الاغ 3.0 پوشش می دهد (شکل 1). هر نوع استاندارد مجموعه ای از محصولات نرم افزاری نصب شده، یک پیکربندی دیسک، مجموعه ای از سیستم های فایل و تعدادی از تنظیمات سیستم را تعریف می کند. نصب سفارشی به ما اجازه می دهد تا به صراحت تمام ویژگی های مشخص شده سیستم نهایی را به انتخاب بسته های نرم افزاری فردی تنظیم کنیم. هنگامی که یک نصب سفارشی را انتخاب می کنید، می توانید ASW 3.0 را به یک کامپیوتر نصب کنید با یک سیستم عامل دیگر (به عنوان مثال، ویندوز NT) نصب شده است.

MSVS 3.0 شامل یک سیستم مستند سازی یکپارچه (ECD) با اطلاعاتی در مورد انواع جنبه های عملکرد سیستم است. ESD شامل یک سرور مستند سازی و یک پایگاه داده حاوی توصیف توصیف، دسترسی به آنها ممکن است از طریق مرورگرها امکان پذیر باشد. هنگام نصب نرم افزار اضافی در پایگاه داده ECD، بخش های مرجع مناسب تعیین می شوند. ESD را می توان به صورت محلی در هر محل کار قرار داد، یا سرور مستندات ویژه را می توان در دامنه MSVS اختصاص داد. گزینه دوم مفید است برای استفاده از ابعاد بزرگ در حوزه های ISWS برای صرفه جویی در کل فضای دیسک، ساده سازی فرآیند مدیریت و به روز رسانی مستندات. دسترسی به اسناد از سایر مشاغل ممکن است از طریق مرورگر وب ارائه شده با MSVS 3.0 امکان پذیر باشد.

MSVS 3.0 هر دو در حالت های الفبایی و گرافیکی Russified است. پایانه های مجازی پشتیبانی می شوند، تعویض بین آنها با استفاده از ترکیب کلید انجام می شود.

نقطه اصلی از نقطه نظر یکپارچگی سیستم، عملیات ثبت نام از کاربران جدید ISWW، زمانی که ویژگی های کاربر تعریف شده است، از جمله ویژگی های امنیتی، مطابق با سیستم کنترل دسترسی به کنترل کاربر ادامه خواهد داد عمل. مبنای مدل MANDATE اطلاعاتی است که هنگام ثبت نام یک کاربر جدید وارد شده است.

برای اجرای کنترل دسترسی اختیاری، مکانیزم های سنتی برای مکانیسم های یونیکس حقوق دسترسی و لیست حقوق دسترسی (فهرست کنترل ACL - دسترسی) استفاده می شود. هر دو مکانیسم در سطح اجرا می شوند سیستم فایل MSVS 3.0 و خدمت به تعیین حقوق برای دسترسی به اشیاء سیستم فایل. بیت به شما اجازه می دهد که حقوق سه دسته کاربران را تعیین کنید (صاحب، گروه، دیگر)، این یک مکانیزم نسبتا انعطاف پذیر نیست و در هنگام تعیین حقوق اکثر فایل های سیستم عامل، استفاده می شود، بیشترین استفاده از کاربران به همان اندازه استفاده می شود. با کمک لیست های ACL، شما می توانید حقوق را در سطح کاربران فردی و / یا گروه های کاربر تعیین کنید و به این ترتیب جزئیات قابل توجهی را در وظیفه حقوق به دست آورید. لیست ها هنگام کار با فایل هایی که باید مورد نیاز است، برای مثال، برای تعیین حقوق دسترسی مختلف برای چندین کاربر خاص استفاده می شود.

یکی از معایب ضروری سیستم های سنتی یونیکس، از لحاظ امنیت، دسترسی به یک کاربر فوق العاده است که دارای قدرت های ممکن است. ویژگی MSVS 3.0 - تمرکززدایی از توابع Superuser. وظیفه مدیریت سیستم به چندین بخش تقسیم شده است، برای انجام پیکربندی، مدیران ایمنی و حسابرسی وجود دارد. از نقطه نظر سیستم عامل، این مدیران کاربران عادی هستند که به این فرصت برای راه اندازی برنامه های اداری ویژه و دسترسی به فایل های پیکربندی مناسب داده می شوند. ایجاد حساب های مدیران سیستم در نصب فاز نصب 3.0 رخ می دهد.

هر یک از مدیران مسئول اجرای تنها وظایف خود هستند، به عنوان مثال، مدیر پیکربندی سیستم های فایل، رابط های شبکه، تنظیمات خدمات سیستم را مدیریت می کند و غیره مدیر امنیت مسئول سیاست امنیتی است و تنظیمات امنیتی مربوط به امنیت را کنترل می کند: حداقل طول رمز عبور، تعداد تلاش های ناموفق ورود کاربر و غیره. در همان زمان، تمام رویدادهای مربوط به امنیت، از جمله مدیران، ثبت می شوند. یک مدیر حسابرسی که ممکن است، به عنوان مثال، "تمیز" سیاهههای مربوط به حسابرسی مسئول مدیریت ممیزی است.

عدم تمرکز از توابع Superuser اجازه می دهد تا شما را به پیاده سازی اصل "چهار چشم". به عنوان مثال، ثبت نام یک کاربر جدید MSVS 3.0 در دو مرحله انجام می شود. اول، مدیر پیکربندی یک حساب کاربری برای یک کاربر جدید ایجاد می کند، و سپس مدیر امنیتی یک کاربر جدید را در پایگاه داده حفاظت سیستم ثبت می کند. فقط پس از آن ممکن است وارد یک کاربر جدید در سیستم شود.

برای اجرای وظایف اداری به توزیع، بسته "ابزار مدیریت" شامل برنامه هایی برای مدیریت کاربران، فایل ها، امنیت، حسابرسی، تنظیمات سیستم و شبکه است.

اولین وظیفه ای که پس از نصب ISW3.0 انجام می شود، تشکیل مدیر سیاست امنیتی اجرا شده در این سازمان است. یکی از اجزای این کار این است که مکانیسم کنترل دسترسی اجباری را پیکربندی کنید. در شکل 2 فرم یک برنامه مدیریت مکانیسم اجباری را نشان می دهد که به شما اجازه می دهد مجموعه ای از ویژگی های مجوز موضوعات و اشیاء MSVS 3.0 را پیکربندی کنید. در بالای پنجره برنامه، سطوح امنیتی پیکربندی شده است، مقادیر احتمالی که می تواند، به عنوان مثال، "محرمانه" و "محرمانه" باشد. بخش پایین مجموعه ای از دسته بندی هایی را ایجاد می کند که موضوع را که اطلاعات را شامل می شود، توصیف می کند: "کارکنان" "ابزار فنی"، و غیره این امکان وجود دارد که دسته های دسته بندی (به عنوان مثال "Category_1_2") را ایجاد کنید، از جمله چندین دسته جداگانه و سایر سطوح. کار با سطوح راحت تر در هنگام ارائه آنها در فرم اعشاری، از آنجا که سطح یک سازمان سلسله مراتبی است. به نوبه خود، هنگام کار با دسته ها، مناسب است که آنها را در فرم باینری نمایندگی کند، زیرا دسته ها مجموعه سلسله مراتبی نیستند.

در شکل 3 یک دیدگاه از یکی از برنامه مدیریت ویندوز است. شروع این برنامه تنها توسط مدیران پیکربندی و امنیتی امکان پذیر است. در این مورد، هر یک از آنها می توانند تنها ویژگی های کاربر را ایجاد یا تغییر دهند، که در صلاحیت آن گنجانده شده اند.

در شکل 4 نمونه ای از پنجره برنامه مدیریت فایل را نشان می دهد که به شما اجازه می دهد تا مقادیر ویژگی های فایل را مشاهده و تغییر دهید. تجسم ساختار درختی سیستم فایل در سمت چپ پنجره، تسهیل می شود و فایل مورد نظر را انتخاب می کند. صفات فایل انتخاب شده با توجه به هدف عملکردی خود در سمت راست نشان داده شده است. برای هر گروه یک برگه جداگانه اختصاص داده است. برگه "Basic" چنین ویژگی های فایل های سنتی مانند نوع، اندازه، تعداد ارجاعات سفت و سخت، ویژگی های اختیاری و برچسب های زمان را ارائه می دهد. یکی از ویژگی های فایل های ISWS 3.0، حضور ویژگی های اجباری و گسترش ویژگی های اختیاری به لیست حقوق دسترسی است. ویژگی های ماموریت در برگه "Mandate Tag" ارائه شده است. برای مدیریت فایل ACL، برگه "حقوق دسترسی" را برجسته کرد. علاوه بر این، هنگامی که دایرکتوری هایی را انتخاب می کنید که به طور پیش فرض ACL امکان پذیر است، برگه «حقوق پیش فرض دسترسی» فعال می شود. در شکل 5 پنجره نمایش فایل ACL را نشان می دهد. شما می توانید هر دو ورودی را برای کاربر یا گروه و بسیاری از نوشته ها با حقوق دسترسی مشابه اضافه کنید. همانطور که در مورد برنامه قبلی، راه اندازی برنامه مدیریت فایل تنها توسط پیکربندی و مدیران امنیتی امکان پذیر است. هر یک از آنها فقط می تواند ویژگی های فایل را که توسط صلاحیت آن کنترل می شوند را تغییر دهند.

MSVS 3.0 خدمات

ASA، مانند هر سیستم عامل دیگر، برای ایجاد شرایط مطلوب برای انجام خدمات و برنامه های کاربردی که اتوماسیون و بهبود کارایی کاربران را فراهم می کند، استفاده می شود.

یکی از خدمات اصلی هر سیستم عامل، سرویس چاپ است. MSVS 3.0 شامل یک سیستم چاپ است که به شما اجازه می دهد اسناد را مطابق با الزامات سیستم های محافظت شده چاپ کنید. در میان ویژگی های سیستم چاپ MSVS 3.0، که آن را از سیستم های مشابه تشخیص می دهد، پشتیبانی از مکانیزم کنترل دسترسی است، که به شما اجازه می دهد تا سطح حفظ حریم خصوصی سند را تعریف کنید و به طور خودکار وظیفه را به یک چاپگر خاص مطابق با قوانین چاپ تصویب کنید در این سازمان. هر ورق چاپ شده به صورت خودکار توسط ویژگی های حسابداری سند، از جمله نام کاربری، که توسط سند چاپ شده و نام رایانه ای که از آن کار ارسال می شود، مشخص می شود. یکی از مزایای سیستم چاپ، غیرمستقیم آن در ارتباط با برنامه های کاربردی است که به خدمات چاپ تبدیل می شوند. این به این معنی است که به برنامه های موجود وابسته نیست و زمانی که برنامه های جدید ظاهر می شوند تغییر نمی کند. به عنوان یک نتیجه، برنامه هایی که نمایش داده می شوند باید علامت گذاری صفحات را در نظر بگیرند و فضای آزاد را برای این موضوع بگذارند. واقعیت چاپ در یک مجله ویژه برای گرفتن اسناد چاپی ثبت شده است. برای کار با این مجله، یک برنامه خاص استفاده می شود، به شما امکان می دهد که مشاهده کنید، برخی از زمینه های سوابق را ویرایش کنید و آنها را چاپ کنید (شکل 6).

یک عنصر مهم سیستم حفاظت ISWS 3.0 سیستم شناسایی / احراز هویت است. برای احراز هویت موفق، کاربر باید رمز عبور صحیح را وارد کند. بدیهی است، کیفیت رمز عبور انتخاب شده، مقاومت سیستم را برای نفوذ به مزاحمان تعریف می کند. برای نسل کلمه عبور کاربر در MSA 3.0، یک برنامه ویژه شامل می شود (شکل 7).

برای نظارت بر رایانه های دامنه، سیستم عملکرد (CF)، متشکل از یک سرور و عوامل خاص، اعمال می شود. نمایندگان بر روی رایانه های دامنه نصب می شوند و به سرور وضعیت خود گزارش می دهند. سیستم CF اجازه می دهد تا شما را به دریافت اطلاعات در مورد جنبه های مختلف عملکرد کامپیوتر (وضعیت فرایندها، زیرسیستم دیسک، زیر سیستم های هسته ای) و نظارت بر عملکرد خدمات شبکه (FTP، SSH، و غیره). اطلاعات ورود به سرور در مجلات خاص انباشته شده است، که به شما اجازه می دهد تا نه تنها وضعیت فعلی دامنه را مشاهده کنید، بلکه وضعیت خود را برای کل دوره عملکرد سیستم مطالعه کنید.

دامنه MSVS

MSVS 3.0 برای ایجاد دامنه های مبتنی بر سیستم های خودکار محافظت شده استفاده می شود. دامنه فیزیکی به عنوان یک شبکه محلی از رایانه ها اجرا می شود، که بیشتر آنها به سازماندهی مشاغل کاربر کمک می کنند. بعضی از آنها برای سازماندهی منابع عمومی، مانند سرور فایل، سرور پایگاه داده، سرور چاپ، سرور ایمیل مورد نیاز است. منطقی، دامنه MSVS مجموعه های متنوعی است که یک سیاست امنیتی واحد را اجرا می کنند و یک فضای مدیریت واحد را تشکیل می دهند. یک سیاست امنیتی تنها به این معنی است که تمام رایانه ها توسط مجموعه های تک تک از موضوعات و دسترسی به اشیاء، ویژگی های امنیتی پشتیبانی می شوند و قوانین مجزا برای کنترل دسترسی های اختیاری و اجباری وجود دارد. به این معنا، دامنه MSVS نیز یک دامنه امنیتی است.

یک فضای اداری یکپارچه، مدیریت یکنواخت منابع اطلاعاتی (رایانه) دامنه MSVS را نشان می دهد. پایه آن فضای یکپارچه از کاربران دامنه MSVS است.

• برای هر کاربر دامنه، یک حساب پشتیبانی می شود، که شامل اطلاعات کاربر لازم (نام منطقی، رمز عبور، نام کامل و ویژگی های امنیتی کاربر) است. این اطلاعات برای انجام مراحل شناسایی / تأیید هویت کاربر در ورود به دامنه MSVS استفاده می شود.
• در هر دامنه کامپیوتر با منابع مشترک (سرور) که در آن این کاربر می تواند کار کند، دقیقا همان حساب برای آن را در محل کار خود وجود دارد.
• در محل کار سرپرست امنیت، یک پایگاه داده با اطلاعات در مورد تمام کاربران دامنه پشتیبانی می شود، که شامل حساب آنها، اطلاعات پیشرفته (به عنوان مثال، موقعیت، شماره نام / شماره بخش)، و همچنین نام کامپیوتر و تمام سرورها است که دسترسی دارد

بنابراین، حساب یکی برای یک کاربر داده شده به عنوان بخشی از دامنه MSVS است و از آن استفاده می شود که دسترسی کاربر توسط منابع اطلاعات دامنه کنترل می شود.

دامنه های ناهمگن

در این لحظه هنگام توسعه یک سیستم خودکار محافظت شده، شبکه های محلی موجود به عنوان پایه ای گرفته می شوند، که در آن سرورها و مشاغل تحت سلطه قرار می گیرند پایگاه داده ویندوز nt عدم امکان انتقال فوری یک سازمان در پلت فرم MSVS، مشکل ادغام آن را با ویندوز ایجاد می کند. در اینجا شما می توانید دو جنبه را اختصاص دهید: انتخاب یک استراتژی مطلوب برای انتقال به ISWW و مشکلات فنی که همراه با این انتقال است.

به عنوان یک نتیجه از تجزیه و تحلیل جریان اطلاعات در یک سیستم خودکار امن، مناطق از لحاظ ایمنی مهم هستند. اول از همه، این مناطق شامل جریان اطلاعات واردات / صادرات، از آنجایی که از طریق این جریان ها است که اطلاعات محرمانه (هر دو از خارج و تولید شده در داخل) به جهان خارج می رسد: سرورهای چاپ و اطلاعات صادرات در دیسک ها و نوارها. دومین بخش مهم ذخیره سازی اطلاعات عبارتند از: سرورهای فایل و ایستگاه های کاری کاربر.

در فرایند تبدیل یک شبکه ویندوز به یک سیستم خودکار محافظت شده، این مناطق شبکه باید در درجه اول اصلاح شود، که از لحاظ ایمنی مهم تر است. گام اول این است که به حداقل رساندن و نظارت بر جریان اطلاعات خروجی. همانطور که ذکر شد، ISWS 3.0 دارای یک سیستم توسعه یافته حسابداری و کنترل چاپ اسناد است و اجازه می دهد تا شبکه بر اساس آن ساخته شده برای اجرای الزامات برای صدور اسناد چاپ شده به یک کپی جامع.

مرحله دوم انتقال سرورهای فایل از پلت فرم ویندوز است. در MSVS 3.0، یک سیستم کنترل دسترسی کاربر توسعه یافته به منابع اطلاعاتی سیستم عامل ارائه شده است، که به شما اجازه می دهد تا حفاظت از داده های کاربر را در سطح مناسب سازماندهی کنید.

هنگام ادغام ISWU و Windows، تعدادی از مشکلات فنی بوجود می آیند، مهمترین آنها مشکلات مربوط به مشکلات سازگاری / طرح های احراز هویت کاربر، اصول کنترل دسترسی کاربر در این سیستم های برنامه نویسی سیریلیک است.

دو مشکل اول این است که در محیط ویندوز NT، مدار ورود کاربر در دامنه NT بر اساس یک پایگاه داده ذخیره شده در یک سرور کنترل ویژه - کنترل کننده دامنه پشتیبانی می شود. این طرح اساسا از طرح مورد استفاده در MSVS متفاوت است. علاوه بر این، در معماری ویندوز NT، هیچ پشتیبانی از کنترل دسترسی مجاز وجود ندارد و امکان نمایش مجموعه ای از ویژگی های امنیتی سیستم عامل ASW وجود ندارد. سیستم های ویندوز از رمزگذاری CP1251 استفاده می کنند، در حالی که KOI8-R در MSVS 3.0 استفاده می شود، با این حال، داده های انباشته شده (برای کار با آن محیط ویندوز مورد نیاز است) معمولا در CP1251 ذخیره می شود. در این مورد، ارائه این کاربران، ورودی و ویرایش آنها در محیط MSVS رخ می دهد، بنابراین لازم است transcode "در پرواز". علاوه بر این، برای حل وظایف مدیریت داده ها (به عنوان مثال، کار مرتب سازی داده ها) رمزگذاری CP1251 قابل قبول تر از KOI8-R است.

برای ساخت یک سیستم خودکار امن بر اساس MSVS 3.0 با امکان سازگاری موقت با NT، یک سیستم دسترسی ترمینال توسعه یافت (شکل 8). این سیستم اجازه می دهد تا شما را به سازماندهی عملیات با برنامه های ویندوز به شرح زیر: فایل های فایل و چاپ، و همچنین مکان های مشتری بر اساس MSVS 3.0 ساخته شده است، و برای کار با برنامه های ویندوز یک سرور برنامه کاربردی مبتنی بر نسخه NT ترمینال سرور، دسترسی به که به روش خاصی انجام می شود.. یکی از مزایای این گزینه انعطاف پذیری در سازماندهی کار کاربر است که در واقع فرصتی برای کار به طور همزمان در دو محیط عملیاتی و استفاده از هر یک از آنها استفاده می شود. ضرر و زیان نیاز به ایجاد یک سرور برنامه کاربردی با دسترسی ویژه است که منجر به ظهور محدودیت های سیاست های امنیتی می شود. به عنوان یک نتیجه، وظیفه یکپارچه سازی MSVS و ویندوز NT با ایجاد یک دامنه MSVS با یک سرور برنامه کاربردی مبتنی بر NT و با استفاده از یک سیستم دسترسی به ترمینال حل می شود.

اکنون بگذارید که چگونه کاربر در دامنه ناهمگن MSVS کار می کند. کاربر از طریق بازوی خود وارد دامنه می شود. برای دسترسی به سرور برنامه ویندوز NT، کاربر به مشتری دسترسی به ترمینال اشاره دارد. در یک پایگاه داده ویژه ذخیره شده در سرور برنامه، یک مکاتبات بین نام کاربری و نام کامپیوتر آن وجود دارد که هنگام اتصال درایوهای شبکه برای این کاربر استفاده می شود. به عنوان یک نتیجه، کار در جلسه NT، کاربر به عنوان یک دیسک شبکه در محل کار خود تنها محتویات دایرکتوری اصلی خود را، و همچنین منابع دامنه مشترک (سرورهای فایل و چاپگر) می بیند. این می تواند برنامه های ویندوز را اجرا کند، اما تنها با تعداد محدودی از فایل ها (آن یا عمومی) ذخیره شده در رایانه ها با MSVS 3.0 کار می کند.

برای سازماندهی چاپ اسناد محرمانه در دامنه، یک سرور چاپی بر اساس MSVS اختصاص داده شده است، که مسئول اجرای و نگهداری چاپ است که مانع تولید نامناسب اسناد محرمانه خروجی می شود. برای چاپ هیچ اطلاعات محرمانه، اتصال پرینترهای محلی به بازو. کاربر، کار با برنامه های ویندوز یا ASW، یک سند چاپ را ارسال می کند و مهم نیست که کدام سند در دستگاه محلی یا سرور فایل قرار دارد. با کمک بودجه ISWW، محرمانه بودن سند تجزیه و تحلیل شده است. اگر سند محرمانه باشد، این کار به سرور چاپ هدایت می شود، اگر نه، سند به صورت محلی چاپ می شود.

گزینه های پیشنهادی به شما اجازه می دهد تا یک انتقال تدریجی را سازماندهی کنید زیرساخت اطلاعات بر اساس ویندوز NT برای محافظت از سیستم های پردازش اطلاعات خودکار بر اساس MSVS 3.0.

ادبیات

1. GostEkumsions از روسیه. سند فرمان تجهیزات کامپیوتر. حفاظت در برابر دسترسی غیر مجاز به اطلاعات. شاخص های حفاظت از دسترسی غیر مجاز به اطلاعات. مسکو، 1992.

2. D.V. efanov. سیستم چاپ سند // ACS و کنترل کننده ها. 2001، №1

آندره TREWIN - کارمند وزارت دفاع فدراسیون روسیه. ایگور ژوکوف, دیمیتری efanov ([ایمیل محافظت شده]) - کارکنان موسسه تحقیقات تمامی روسی اتوماسیون اداری اداری در بهار مهاجم (مسکو).

در این بررسی، من سعی خواهم کرد یک کپی از Redhat entprice لینوکس را برای نیازهای RF Mo ایجاد کنم تا ببینید که چگونه آن را بر روی سخت افزار مدرن کار می کند. آخرین شماره ISWS در سال 2011 بود، اما هنوز هم در ارتش فدراسیون روسیه "مفید" است:

نصب کردن

ما در لپ تاپ Fujitsu Lifebook N532 نصب خواهیم کرد، که به طور پایدار در لینوکس و در ویندوز کار می کند. این لپ تاپ در سال 2012، فقط یک سال بعد از MSVS 5.0 منتشر شد.

پنجره بوت شدن - Cut-up Copy Redhat entprice لینوکس:

آنها حتی تنبل برای ایجاد یک پنجره بارگذاری نرمال، پس زمینه / لوگو را تغییر دادند، دکمه های غیر ضروری را حذف کردند و این آن است.
برای ادامه نصب، به سادگی ENTER را فشار دهید:

نصب کننده در MS-DOS یکپارچهسازی با سیستمعامل بارگیری شد، اما قبل از انتشار ISWS 5، تقریبا تمام توزیعها یک نصبگر گرافیکی داشتند. در دبیان، یک نصب کننده متن نیز وجود دارد، اما بسیار ساده تر و واضح تر از این است. آنها از ما می پرسند، دی وی دی نصب را بررسی کنید یا نه. بیایید فقط در مورد بررسی کنیم:

دیسک به طور معمول ثبت می شود، هیچ خطایی نیست. بعد از ما خواسته می شود رسانه های اضافی را بررسی کنید، اما من آنها را ندارم.

بوت شدن ابزار دیسک را با گزینه حذف انتخاب شده برای همه بخش ها بوت کنید. اگر افسر، امید به ذهن صنعت داخلی داخلی، به سادگی مطبوعات را فشار دهید؟
حالا به نشانه دیسک بروید. در این رایانه، دو سیستم عامل دیگر را نصب کرده و من انتخاب کردم "پارتیشن خود را ایجاد"

ما 30 گیگابایت فضای غیر استفاده نشده استفاده نشده را انتخاب کردیم، "استفاده از فضای آزاد را انتخاب کنید و یک پارتیشن پیش فرض ایجاد کنید" و یک خطای شکستن را دریافت کنید: جدا کردن بخش های درخواست شده غیرممکن است

روی "بله" کلیک کنید و یک خطای خودکار پارتیشن را دریافت کنید:
روی "بله" کلیک کنید و "ایجاد پارتیشن خود را"
از آنجایی که این "Dosovsky Fdisk" نشان نمی دهد چقدر مشغول و آزاد نیست، به طوری که من به طور تصادفی هر چیزی را حذف، من تصمیم گرفتم که بخش ها را در یکی دیگر از سیستم عامل ببینم و Reboot را فشار داده ام (Alt + Ctrl + Del من از MSSO به یاد می آورم).
کامپیوتر به سادگی بر روی این کلمات آویزان است، اما واکنش نشان می دهد به Capslock. ما منتظر 15 دقیقه دیگر هستیم و فقط روی Reset کلیک کنید. ما سیستم عامل دیگری را بارگذاری می کنیم، ما از صحت انتخاب پارتیشن آزاد متقاعد شده ایم، ما نصب را ادامه می دهیم و به مرحله مارک دیسک واکنش نشان می دهیم. انتخاب سیستم های فایل در اینجا غنی نیست، فقط ext2، ext3 و vfat (که بر روی صفحه نمایش نصب نشده است).
بیایید همه چیز را به طور پیش فرض ترک کنیم، یعنی ما از grub استفاده خواهیم کرد:
فقط Enter را فشار دهید

بعد از ما خواسته می شود رمز عبور را برای تغییر پارامترهای بارگذاری گراب ایجاد کنید

من مجبور شدم رمز عبور طولانی وارد کنم

اکنون بوت لودر را نصب کنید. در یک لپ تاپ نصب شده است آخرین نسخه ها Debiana و ubunti، اما نصب کننده آنها را پیدا نکردند. در نتیجه، پس از نصب MSVA، منوی انتخاب سیستم عامل ناپدید می شود و شما باید Grub را از طریق LiveCD بازگردانید.
لغزنده لیست سیستم های عامل در پایین، به عنوان اگر بگویید که چیز دیگری است. من سعی کردم آن را با فشار دادن Tab، Ctrl، Ctrl + Tab و سایر ترکیبات کلیدی حرکت دهم. اما لغزنده در چه موقعیتی بود، در این و باقی مانده بود:

روی بله کلیک کنید و نصب را ادامه دهید:

از کجا نصب بوت لودر را انتخاب کنید. من Downloader را به رکورد اصلی بوت MBR، یعنی / dev / sda تنظیم کردم، اما برای کاربران اخیر ویندوز، این یک سوال دشوار است. یا همه روس های نظامی، یونیکس را می دانند؟

بعد تنظیم شبکه است.

ما هیچ اتصال شبکه ای نداریم، "نه" را انتخاب کنید و روی Enter کلیک کنید

پنجره را با یک درخواست برای ورود به سیستم باز کرد گزینه های اضافی تنظیمات شبکه:

همانطور که می بینید، دکمه های "لغو" و "نه" لازم نیست، هیچ وجود ندارد. تنها "بله" و "پشت" وجود دارد. منطقی خواهد بود اگر سیستم را بر روی شبکه نصب کنیم، اما ما دارای یک DVD با مجموعه ای کامل از برنامه ها هستیم. روی Enter کلیک کنید

شما میدان خالی "دروازه" را ترک کردید. بسته به محیط شبکه شما، ممکن است در آینده مشکلی وجود داشته باشد

برای ادامه کلیک کنید و دوباره از ما بخواهید که پارامترهای شبکه های اضافی را وارد کنید. به طور کلی، ما به اولین پنجره تنظیم شبکه بازگشتیم و مشخص می کنیم که شما باید پیکربندی کنید رابط شبکهاگرچه ما آن را نداریم.

آنها می خواهند نام شبکه را وارد کنند. "دستی" را انتخاب کنید و نام شبکه را اختراع کنید

منطقه زمانی خود را انتخاب کنید:

رمز عبور کاربر ریشه را انتخاب کنید (کمتر از شش کاراکتر):

لیستی از بسته های نصب را انتخاب کنید. من همه چیز را انتخاب کردم

وابستگی بیشتر ادامه دارد، پس از آن پنجره با آدرس ورود به سیستم نصب شده است:

فرآیند نصب:

من نمی فهمم، آیا این مشکلات با فونت ها یا با رمزگذاری ها هستند؟

نصب به 100٪ می رسد و نصب کننده با خوشحالی از ما در مورد تکمیل نصب استقبال می کند، می پرسد رسانه های قابل جابجایی را خاموش کرده و Enter را فشار دهید تا راه اندازی مجدد را فشار دهید. ENTER را فشار دهید و کامپیوتر به سادگی مانند آخرین بار آویزان است.

دکمه قدرت را فشار دهید، چند دقیقه صبر کنید و آه، ترسناک، همه چیز به زبان انگلیسی است. آیا این یک زبان روسی در ارتش روسیه است؟

دبیان و اوبونا کجاست؟ تنها یک MSV وجود دارد. اما هیچ چیز وحشتناک نیست، می توان آن را با نصب مجدد لودر گراب از طریق LiveCD اصلاح کرد.

فقط برای دانلود ENTER را فشار دهید

سیستم 15 ثانیه احمقانه است و خطاهای را نشان می دهد: حافظه برای کرنل کرنل (0x0 تا 0x0) به صورت مجاز؛ قادر به پرس و جو سخت افزار Synaptics نیست (من نمی توانم TouchPad را مصاحبه کنم)

و همچنان به دانلود، منوی تنظیمات در طول فرآیند دانلود باز می شود.

فقط "خروجی" را انتخاب کنید و روی Enter کلیک کنید. پس از 10 ثانیه، این صفحه باز می شود، جایی که هیچ اشاره ای به برنامه وجود ندارد. ما وارد ورود و رمز عبور هستیم و سیستم آماده کار است:

به هر حال، توجه، کرنل در اینجا نصب شده است 2.6.18. این هسته بیرون آمد، پنج سال پیش از MSVS 5.0. بله، در پنج سال، امکان ساخت کل صنایع، همانطور که در صفحات پنج ساله استالین بود، اما تقریبا 10 سال گذشت! در آن زمان دور، من تازه شروع به علاقه مند به لینوکس کردم. اگر چه آنها می توانند پنج سال حسابرسی امنیتی را صرف کرده اند.
خوب، سعی کنید از آنچه که است استفاده کنید.
ما در حال تلاش برای اجرای گرافیک هستیم. در نیکسز برای شروع گرافیک، شما معمولا نیاز به وارد کردن STARTX دارید، StartX را وارد کنید:
#startx
و اشتباهات را دریافت کنید:

در اینجا من به طور خاص خطای ورود به سیستم /var/log/xorg.0.Log را باز کردم تا روشن شود که موضوع چیست: سیستم نمی تواند استاندارد FBDEV و VESA را دانلود کند.

ما فقط باید سیستم را مجددا راه اندازی کنیم و به سیستم عامل بازگردیم، راه اندازی مجدد را وارد کنید و دوباره در هنگام راه اندازی مجدد مجددا انجماد کنید:

ما سعی می کنیم از طریق VirtualBox نصب کنیم:

ما همچنین وارد ریشه ورود، رمز عبور و STARTX هستیم

البته، Vniins به دلایل امنیتی توصیه نمی کند که حفره های مدیر را اجرا کند. و پس چرا پس از اولین راه اندازی یا در نصب خود، برای اهداف امنیتی برای ایجاد کاربران ساده، به عنوان بسیاری از توزیعهای دیگر پیشنهاد نشد؟

O_O، به نظر می رسد کار می کند.

میز کار MSVS 5.0

بنابراین، که ما می بینیم - یک دسکتاپ زیبا سبک وزن، شبیه سازی پنجره های قدیمی و kde. اما این فقط دسکتاپ دسکتاپ دچار شده است

مدیر فایل، 11 سال پیش منتشر شد، بسیار شبیه به konquerror trimmed است

در سیستم TRE، شاخص زمان با تقویم، سوئیچ طرح بندی صفحه کلید و شاخص سطح در دسترس بودن (اما آن را از توسعه دهندگان MSVS).

تنظیمات MSVS 5.0.

در لینوکس، برخی از برنامه ها (به عنوان مثال Chromium) از کاربر ریشه اجرا نمی شوند، در ابتدا ما ابتدا یک کاربر جدید ایجاد می کنیم و از طریق آن به سیستم می رویم:

شروع - تنظیمات - پانل کنترل ELK، مدیریت کاربر - اضافه کردن کاربر جدید:

رمز عبور باید حداقل 8 کاراکتر باشد!

ویژگی های ایمنی چشمگیر هستند، اما ما آنها را لمس نخواهیم کرد:

کاربر با موفقیت ایجاد شد ما جلسه را ترک می کنیم و مستقیما به حساب ریشه می رویم، جایی که یک دسته از خطاها از ما استقبال می کنند:

ما از این حساب با فشار دادن CTRL + D، با یک کاربر جدید وارد سیستم شوید و Run STARTX را وارد کنید. IKERS شروع شد، اما ماوس حرکت می کند و ترکیبات صفحه کلید واکنش نشان نمی دهند. راه اندازی مجدد ماشین مجازی این کمک نمی کرد، حفره های این حساب نیز کار نمی کنند. خوب، شما باید از ریشه کار کنید، که یک اختلال امنیتی است.

رزولوشن صفحه از ایالات متحده 800x600، سعی کنید آن را تغییر دهید. به "کنترل پنل" بروید و نماد "مانیتور" را انتخاب کنید. پنجره با پیامی باز می شود که ما یک فایل xorg.conf نداریم و صفحه نمایش در طول خلقت آن تاریک خواهد شد. آن را بسازید یا نه؟

روی "بله" کلیک کنید

خطای اولیه تنظیم پیکربندی:

پس از آن، پنجره با تنظیمات مانیتور باز می شود. ما سعی می کنیم چیزی را عوض کنیم، اما هیچ واکنشی. قابل توجه است که این پنجره یک نمونه از صفحه نمایش ویندوز 95 را نشان می دهد. و هنگامی که دکمه های "بله" و "لغو" را فشار می دهید، پنجره نزدیک نیست و هیچ اتفاقی نمی افتد. بستن پنجره تنها می تواند بر روی صلیب فشار داده شود.

در منوی "سیستم"، یک آیتم "مجوز Switching Screen" وجود دارد. ما آن را انتخاب می کنیم و ما یک برنامه را در TRE با تنها دو نقطه ارائه می دهیم: 800x600 و 640x480 و فرکانس 60Hz. اما در OS FreedOS، من می توانم آن را قرار دهم و حتی فرکانس را تغییر دهم. از این رو نتیجه گیری که در برنامه نرم افزار ISWS بدتر از DOS است!

ما به اطلاعات تجهیزات نگاه می کنیم:

پس از کلیک روی "OK"، این پنجره باز می شود:

برنامه های MSVS 5.0

جالب توجه است، هنگامی که ما اشاره گر ماوس را از برنامه های EDE در KDE ترجمه می کنیم، تغییر رنگ ماوس تغییر می کند.
این به این دلیل است که دسکتاپ HSS ترکیبی از دسکتاپ های EDE و KDE است.
خالص. مجموع ده برنامه در این دسته، از جمله ناظر ELK، IRC، Wireshark، GFTP، مانیتور پستی، مانیتور شبکه و تنظیم PPP و مدیریت دستگاه شبکه.

مدیریت دستگاه های شبکه

مشتری ایمیل شروع نمی شود:

مرورگر مرورگر ELK یک نسخه دقیق از مرورگر Aurora است. ببینید، آنها آن را به Elk تغییر نام دادند، اما فراموش کرده اند که لوگو را تغییر دهید:

مرورگر ELK:

خدمات رفاهی
در آب و برق، و همچنین 4 ترمینال: ترمینال ELK، ترمینال X، کنسول و ترمینال در حالت Superuser. آیا می دانید چرا بسیاری از آنها وجود دارد؟ از آنجا که دسکتاپ WSA یک مخلوط EDE با KDE است. آنها حتی ساکنان برای حذف خدمات غیر ضروری، همه به عنوان پیش فرض بود، به طوری که آنها ترک کردند.

به همین دلیل، برنامه های بسیاری از دو دسکتاپ مختلف وجود دارد، اما با ویژگی های مشابه. این به ویژه در مورد مشاهده تصاویر، اسناد (PDF، DJVU، و غیره) و ویراستاران متن درست است.

متن Emacs متن Emacs در MSVS:

علمی. در علم، تنها ماشین حساب KDE، که در سال 2005 منتشر شد:
گرافیک در این بخش، تمام برنامه های انتشار KDE + Xsane 2007.
بازی ها. در بازی ها، مجموعه ای از بازی ها از KDE، که از جمله بازی های نظامی، Sapper و Parachutes هستند:
چند رسانه ای. پخش کننده رسانه ای ساده، پخش کننده صوتی، K3B (ورود CD / DVD)، تنظیم کننده صدا و برنامه ضبط صدا.
برای بررسی صدا، شما باید برخی از فیلم ها را به سیستم مجازی دانلود کنید .. صدا و ویدئو در همه کار نمی کنند. من در تنظیمات Virtualbox Alsa، OSS، soundblaster16 قرار دادم - هیچ چیز کار نمی کند. من سعی کردم Ogv، Ogg، MP4 - در برخی موارد نیاز به نصب کدک ها، در دیگران - نشان می دهد خطا:
بیایید FFMPEG را نصب کنیم:
باز کردن شروع - پانل کنترل ELK - مدیر برنامه
قبل از شروع چند ثانیه، لیست بسته ها بررسی می شوند.
بیایید سعی کنیم FFMPEG را پیدا کنیم.
این زبان روسی در ارتش روسیه است!

fFMPEG در لیست بسته های نصب شده بود. و جستجو برای OSS و ALSA (سیستم های صوتی) هیچ نتیجه ای نداشت. درخواست های دفتر و فایرفاکس نیز هیچ نتیجه ای نداشتند.

k3B هنگام شروع آن خطایی را می دهد که نمیتواند MIME را پیدا کند. شما باید 10 بار را فشار دهید و سپس شروع می شود:

خاموش کردن سیستم:
خروجی ...
1. در تجهیزات مدرن، ISWS کار نمی کند
2. هسته سیستم به عنوان کل نرم افزار 11 سال پیش منتشر شد تجهیزات مدرن پشتیبانی نشده
3. رزولوشن صفحه نمایش به 800x600 تنظیم شده است و تغییر نمی کند
4. سیستم ویدئویی فقط در شبیه ساز کار می کند، اما پس از اتمام کار، خطاها را نشان می دهد.
5. صدا در همه کار نمی کند
6. گرافیک تنها توسط کاربر ریشه کار می کند، که یک اختلال امنیتی است
7. دستورات پیش فرض و دستورات راه اندازی مجدد فقط از طریق کنسول در دسترس هستند و تنها در شبیه ساز کار می کنند.

نتیجه گیری عمومی

MSVS5.0 - Redhat entprice Linux5.0 (2007) در سال 2011 (2007) کپی شده است، در رایانه های صادر شده در سال 2011 به اشتباه کار می کند. بله، در ارتش روسیه، به طور کلی به یک عتیقه عمیق عمیق، به عنوان مثال، Cruiser Aviance Cruiser "Admiral Kuznetsov" با Springboard خود را به جای یک catapult، به این دلیل که هواپیما مجبور به پرواز با یک مهمات ناقص و گاهی اوقات سقوط به آب هنگامی که برای هواپیما و با نصب نفت سوخت، نیاز به سوخت گیری در طول پیاده روی ...

مطمئنا حداقل برخی از خوانندگان ما فکر کردند که سیستم عامل در نیروهای مسلح ما استفاده می شود. پس از همه، همه ما درک می کنیم که نمی توان آن را بر روی برخی از مجموعه موشک ها که در وظیفه مبارزه، ایستاده است، ایستاده است. امروز ما پرده های رمز و راز را به حداقل می رسانیم و در مورد سیستم عامل ISA توضیح دادیم. این به اصطلاح است سیستم موبایل دامنه برنامه نام خود را می گوید، اما در مورد چگونگی اصطلاحات عمومی، ما خواهیم گفت.

پیش نیازها برای ایجاد

برای اولین بار، معیارهای ایمنی برای سیستم های کامپیوتری در اواخر دهه 60 قرن گذشته فرموله شدند. در اواسط دهه 1980، در ایالات متحده آمریکا، تمام این تحولات در یک سند جمع آوری شد. بنابراین "کتاب نارنجی" وزارت دفاع متولد شد - اولین استاندارد امنیت سیستم های کامپیوتری. پس از چنین اسناد در کشورهای اروپایی و کانادا ظاهر شد. در سال 2005، بر اساس آنها، استاندارد امنیت بین المللی ISO / IEC 15408 "معیارهای حفاظت عمومی" تهیه شد.

در روسیه، مطالعات مشابه در 22 موسسه تحقیقات مرکزی وزارت دفاع انجام شد. نتیجه نهایی توسعه، رسید در سال 2002 از ISA OS در نیروهای مسلح فدراسیون روسیه بود. نسخه استاندارد دولت بر اساس الزامات ISO / IEC در سال 2008 تصویب شد.

چرا افسر نظامی

سیستم های عملیاتی که روزانه استفاده می کنیم، برای استفاده در امکانات ذخیره سازی دولتی مناسب نیستند. Gostekomissia تحت رییس فدراسیون روسیه آنها را به صورت زیر فرموله کرد:

• اطلاعات باید از دسترسی غیر مجاز، هر دو از داخل و خارج محافظت شود.
• به عبارت دیگر، سیستم نباید حاوی قابلیت های نامشخص باشد، به عبارت دیگر، نباید "تخم مرغ عید پاک" در کد سیستم عامل وجود داشته باشد.

علاوه بر این، سیستم عامل محافظت شده باید یک ساختار دسترسی سلسله مراتبی چند سطحی داشته باشد و توابع مدیریت را جدا کرده باشد.

بنابراین، وظیفه ایجاد یک سیستم عامل تخصصی تخصصی ساده نیست، زیرا به نظر می رسد در نگاه اول به نظر می رسد. عدم وجود قابلیت های غیرقانونی فرض می کند که کد منبع و توصیف فنی تمام مراحل کار به طور کامل در مرکز صدور گواهینامه مورد مطالعه قرار می گیرد. و این منطقه اسرار تجاری شرکت های مالک یا مالکیت معنوی توسعه دهندگان. چنین پارادوکس باعث می شود که چشم ها را به سمت سیستم عامل باز بکشید، زیرا تقریبا غیرممکن است که مستندات فنی کامل برای نرم افزار اختصاصی را بدست آورید.

مورد نیاز GOST R.

FSTEC، به عنوان یک سرویس مسئول امنیت اطلاعات در مقیاس کشور، توسط جدایی سیستم عامل با توجه به درجه حفاظت از اطلاعات پردازش شده است. برای راحتی، تمام داده ها به یک جدول کاهش می یابد.

از جدول، می توان دید که برای تعدادی از الزامات، سه گروه و نه کلاس امنیتی از دسترسی غیر مجاز ایجاد می شود و بر آنها جداسازی بیشتر برای اعتراف به انواع مختلف اطلاعات محرمانه وجود دارد.

در قلب لینوکس

چه چیزی برای لینوکس مناسب است، چه چیزی خوشحال خواهد شد که در دستگاه دولتی خدمت کند؟ پس از همه، به طور کلی، کاربران ساده از او می ترسند، مانند ویژگی های لادن. بیایید آن را شکل دهیم برای شروع، توجه به مجوز تحت آن "لینوکس" توزیع شده است. این به اصطلاح GPL2 - عمومی عمومی یا مجوز رایگان است. هر کس می تواند کد منبع را دریافت و بر اساس آن برای ایجاد محصول خود را. به عبارت دیگر، هیچ کس از بهترین توزیع های لینوکس استفاده نمی کند و از آنها در توسعه سیستم عامل محافظت شده خود استفاده می کند.

تجربه کاری جهانی نهادهای دولتی این نشان می دهد که انتقال به نرم افزار آزاد در همه جا اتفاق می افتد، ایده در تقاضا است و کاملا توجیه می شود. کشورهای پیشرو در جهان، مانند ایالات متحده، آلمان، ژاپن و به سرعت در حال نزدیک شدن به چین و هند، به طور فعال از لینوکس در Gosfere و آموزش و پرورش استفاده می کنند.

ISWS و محتویات آن

سیستم موبایل نسخه 3.0 در نیروهای ده سال کار می کرد، یک محصول کامل تر به جای آن جایگزین می شود و ما می توانیم به راحتی به جانباز "هود" نگاه کنیم. بنابراین، این یک سیستم عامل شبکه است که در چند نفره با استفاده از رابط کاربری گرافیکی کار می کند. پشتیبانی از سیستم عامل های سخت افزاری:

• اینتل

spapc / "elbrus".

• سیستم IBM / 390.

این بر اساس بهترین توزیع های لینوکس موجود در آن زمان است. بسیاری از ماژول های سیستم از Redhat Linux قرض گرفته شده و با توجه به الزامات وزارت دفاع، مجددا مجبور شدند. به عبارت دیگر، سیستم نیروی مسلح تلفن همراه یک لینوکس توزیع RPM با تمام برنامه های کاربردی و ابزارهای توسعه است.

پشتیبانی از سیستم فایل در ابتدای سطح قرن است، اما از آنجایی که شایع ترین آنها پس از آن وجود داشت، این شاخص مهم نیست.

نسخه های MSVS

علیرغم این واقعیت است که این یک سیستم عامل شبکه است، آن را یک مخازن نرم افزاری آشنا برای هر لینوکوئید ندارد. تمام نرم افزارها در CD های نصب شده تکمیل شده است. هر برنامه ای که در این سیستم مورد استفاده قرار می گیرد قبل از تایید در وزارت دفاع است. و از آنجایی که این روش دور از سریع است، برای همه چیز و نیمی از ده سال کار، تعداد محدودی از نسخه ها و تغییرات آنها صادر شد.

توسعه دهنده ISMS مؤسسه تحقیقاتی تمامی روسیه از مدیریت در حوزه مهاجم است. در صفحه رسمی خود، می توانید داده ها را در نسخه های MSVS پیدا کنید که در حال حاضر پشتیبانی می شوند و گواهینامه های امنیتی لازم را از وزارت دفاع دارند.

سیستم موبایل نیروهای مسلح برای سال 2017 توسط دو مجمع پشتیبانی شده نشان داده شده است:

OS MSVS 3.0 FLIR 80001-12 (تغییر شماره 4).

• OS MSVS 3.0 FLIR 80001-12 (تغییر شماره 6).

نسخه 5.0، واقع در وب سایت VNIINS، دارای گواهینامه امنیتی MO است، اما رسما برای تامین نیروها پذیرفته نشد.

MSVS برتر

سیستم عامل محافظت شده بعدی که به عنوان جایگزینی MSVS ده ساله ارائه شد، Astra Linux بود. بر خلاف سلف، گواهینامه امنیتی تنها از وزارت دفاع، Astra تمام گواهینامه های ممکن را در روسیه دریافت کرد و این اسناد از MO، FSB و FSTEC است. با توجه به این، می توان آن را در هر سازمان دولتی مورد استفاده قرار داد و حضور چندین نسخه سازگار با سیستم عامل های مختلف سخت افزاری، حتی بیشتر از گستره استفاده از آن گسترش می یابد. به عنوان یک نتیجه، می تواند تمام دستگاه های تحت کنترل خود را ترکیبی از تلفن همراه به تجهیزات سرور ثابت.

Astra Linux توزیع مدرن لینوکس بر اساس بسته های DEB است، از نسخه تازه ای از هسته و نرم افزار فعلی استفاده می کند. فهرست پردازنده های پشتیبانی شده و معماری آنها نیز گسترش یافته و شامل نمونه های مدرن است. لیستی از نسخه های رسمی منتشر شده به شما اجازه می دهد تا برای موفقیت این موفقیت امیدوار باشید. محصول نرم افزار حداقل در Gosfere و دفاع.

سرانجام

در این ماده، ما در مورد سیستم ICA صحبت کردیم - سیستم عامل اصلی نیروهای مسلح فدراسیون روسیه، وفاداری به "در رتبه" 15 سال و هنوز هم در "مبارزه" خدمت کرده است. علاوه بر این، جانشینی به طور خلاصه مشخص شد. شاید کسی از خوانندگان ما آن را فشار دهد تا ببینید چه لینوکس چیست و نظر بی طرفانه در مورد محصول را ایجاد می کند.

1. 
   چگونه می توان تعیین کرد که آیا سیستم عامل توسط تجهیزات این رایانه پشتیبانی می شود؟
2. 
   چه گزینه های نصب یک سیستم عامل ASS 3.0 را فراهم می کند؟
3. 
   چه پروتکل های شبکه از برنامه نصب پشتیبانی می کنند؟
4. 
   در چه مواردی لازم است برای ایجاد دیسک های بوت؟
5. 
   مراحل اصلی نصب را فهرست کنید؟
6. 
   چه بوت لودر برای بارگذاری هسته سیستم عامل استفاده می شود؟
7. 
   مراحل اصلی بارگذاری هسته را فهرست کنید؟
8. 
   لیلو و lilo.conf چیست؟
9. 
   چگونه برای حذف Lilo و بازگرداندن لودر منبع؟
10. 
    مکانیسم ماژول های هسته چیست؟
11. 
    در کدام موارد مورد نیاز برای استفاده از دیسک RAM؟
12. 
    چگونه برای پیکربندی استفاده از دیسک RAM هنگام بارگیری؟
13. 
    چه فلاپی دیسک فلاپی، بوت نت و رانندگان را تغییر می دهد؟ چگونه آنها را بسازید؟ چگونه آنها را بررسی کنیم؟
14. 
    بسته نرم افزاری، وابستگی های بسته چیست؟
15. 
    توانایی های مدیران بسته چیست؟
16. 
    چه مدیر بسته برای مدیریت نرم افزار استفاده می شود؟
17. 
    چگونه یک بسته را از یک CD در شبکه نصب کنیم؟

1. نصب OS MSVS 3.0

1. مراحل اصلی نصب

نصب از CD شامل مراحل زیر است:

دعوت به نصب و یادآوری مستندات؛

انتخاب ماوس manipulator؛

دیسک پارتیشن بندی به بخش ها؛

تنظیم لودر؛

تنظیمات شبکه؛

نصب نام کامپیوتر؛

انتخاب منطقه زمانی؛

انتخاب مجتمع های نصب؛

نصب و راه اندازی بسته ها؛

نصب رمز عبور کاربر ریشه؛

ایجاد دیسک های بوت؛

تنظیم کارت و نظارت بر ویدئو؛

هر مورد مربوط به یک یا چند جعبه محاوره ای است.

هنگام نصب بیش از یک شبکه با استفاده از سرور، باید چندین ایستگاه از پیش تنظیم اضافی تولید کنید:

• 
  ساخت مجموعه ای از دیسک برای دانلود کامپیوتر و سازماندهی دسترسی به شبکه به سرور؛
• 
  انتخاب گزینه نصب شبکه؛
• 
  راه اندازی شبکه و دسترسی به شبکه به سرور.

پس از دسترسی به شبکه به سی دی نصب شده در درایو بر روی سرور نصب خواهد شد، برنامه نصب شروع به انجام مراحل مشابه زمانی که نصب شده از CD، از مرحله دوم ("دعوت به نصب") شروع می شود. شما نیازی به پیکربندی شبکه ندارید، فقط لازم است تنظیمات را تایید کنید.

1. نصب از CD

قبل از شروع نصب، شما باید BIOS کامپیوتر را پیکربندی کنید تا اولین بار در لیست دستگاه بارگیری یک سی دی باشد و یک سی دی را با ماژول بوت ISWS 3.0 به درایو CD-ROM وارد کنید.

اگر BIOS از بوت از CD پشتیبانی نمی کند، باید علاوه بر این دیسک بوت را وارد کنید و بایوس کامپیوتر را پیکربندی کنید تا اولین بار در لیست دستگاه بارگیری یک فلاپی دیسک باشد. رایانه های مدرن تمایل به پشتیبانی از بوت از CD دارند، بنابراین نیاز به یک دیسکت بوت ممکن است تنها هنگام نصب ISP 3.0 در رایانه "قدیمی" رخ دهد.

سپس شما باید کامپیوتر را مجددا راه اندازی کنید. دعوت نامه در صفحه مانیتور ظاهر می شود:

در قالب این دعوت، امکان انتقال تنظیمات اضافی برای برنامه نصب وجود دارد. به عنوان مثال، تیم:

بوت: MCBC MEM \u003d 128M

برنامه نصب را گزارش می دهد که مقدار RAM این رایانه 128 مگابایت است.

برای شروع بارگیری نصب، شما باید کلید را فشار دهید. بارگذاری هسته MSA 3.0، به دنبال پیام های تشخیصی، سپس برنامه نصب را آغاز می کند، که به طور خودکار رانندگان درایو سی دی و رانندگان هارد دیسک را در رایانه ارائه می دهد و توسط ASS 3.0 پشتیبانی می کند.

اگر مقداردهی اولیه با یک خطا به پایان برسد، به این معنی است که برای این نوع درایو سی دی یا هارد دیسک شما باید یک راننده اضافی را آپلود کنید. نصب کننده لیستی از رانندگان را ارائه می دهد که در آن شما می خواهید راننده مناسب را انتخاب کنید، و روی دکمه "بله" کلیک کنید.

اگر دانلود از فلاپی دیسک بوت ساخته شد، پس از شروع برنامه نصب، کادر محاوره ای درایور دیسک به نظر می رسد که درایو راننده با رانندگان رانندگی را نشان می دهد. در عین حال، دیسک بوت باید حذف شود و دیسک فلاپی رانندگان را برداشته شود.

پس از دانلود درایورهای مورد نیاز، دعوت نامه بر روی صفحه نمایش مانیتور ظاهر می شود (شکل 9-1).

1.1.41. دستکاری ماوس

بعد از دعوت OS 3.0، جعبه محاوره ای "انتخاب ماوس" ظاهر می شود (شکل 9-2).

به عنوان مثال، نوع "ماوس" را انتخاب کنید، مثلا "Mouse Mouse PS / 2" و اگر "ماوس" دارای دو دکمه باشد، می توانید از شبیه سازی یک حالت سه دکمه استفاده کنید. برای انجام این کار، شما باید شبیه سازی دکمه سوم را فعال کنید و روی دکمه "بله" کلیک کنید.

1.1.42 قطع اتصال هارد دیسک به بخش ها

جعبه محاوره ای "تصمیم" (شکل 9-3) ظاهر می شود و انتخاب ابزار پارتیشن هارد دیسک انتخاب خواهد شد: "تقسیم خودکار"، دیسک druid یا fdisk.

در اغلب موارد، تقسیم درایوهای سخت، آرایه های دیسک، حجم LVM در برنامه DRUID دیسک رخ می دهد. علاوه بر این، حالت "پارتیشن اتوماتیک" یک مورد خاص از کار با Disk Druid با محاسبه خودکار نسبت فضای دیسک با توجه به واقعی است تجهیزات نصب شده. در صورت لزوم، کار سطح پایین با هارد دیسک نیاز به استفاده از ابزار FDISK دارد.

دیسک Druid را انتخاب کنید و کلید را فشار دهید.

در جعبه محاوره "شکستن" ظاهر می شود (شکل 9-4)، لیستی از دیسک های موجود و بخش های موجود ظاهر خواهد شد.

همچنین در این پنجره دکمه هایی برای کار با بخش ها وجود دارد: "جدید"، "ویرایش"، "Delete"، "RAID"، "YES"، "BACK".

در خط پایین، نکات برای استفاده از Hotkeys داده می شود: "F1 Help، F2-New، F3-Edit، F4 Delete، F5 Reset، F12-YES."

در مورد کلی، MSVS 3.0 بر روی یک کامپیوتر با یک هارد دیسک خالص نصب شده است. در این مورد، شما می توانید با استفاده از برنامه Disk Druid یا با انتخاب یک پارتیشن اتوماتیک مقابله کنید.

برای نصب موفقیت آمیز ASS 3.0، به اندازه کافی برای ایجاد دو پارتیشن است: بخش ریشه "/" و بخش مبادله (SWAP). اندازه بخش ریشه باید حداقل 1200 مگابایت باشد.

کاتالوگ / بوت، / home، / var، / tmp و دیگران را می توان در بخش های جداگانه دور انداخت. این اجازه می دهد تا شما را به جداسازی، به عنوان مثال، دایرکتوری های کاربر خانگی از سیستم فایل ریشه.

توجه در ASS 3.0، شما نمی توانید در بخش جداگانه / USR قرار دهید!

برای ایجاد دایرکتوری به بخش جداگانه، شما باید یک بخش را با سیستم فایل ext3 ایجاد کنید و آن را یک نقطه کوه مربوط به نام کاتالوگ اختصاص دهید.

برای ایجاد یک بخش، دکمه جدید را انتخاب کرده و کلید را فشار دهید. در جعبه محاوره ای "اضافه کردن بخش" که به نظر می رسد (ویرایش یک بخش جدید) (شکل 9-5):

• 
  نوع سیستم فایل (برای بخش SWAP - "مبادله"، در موارد دیگر - "ext3") را انتخاب کنید.
• 
  اندازه بخش در Megabytes (در صورت لزوم، شما می توانید "کشش" پارتیشن را به کل دیسک)؛
• 
  نقطه نصب، برای بخش ریشه - این "/" است، برای بخش مبادله، نقطه تنظیم مورد نیاز نیست.

برای ویرایش پارتیشن موجود، باید آن را انتخاب کنید و روی دکمه "ویرایش" کلیک کنید. پس از فشار دادن دکمه ویرایش، کادر محاوره ای Edit / Dev / HDA1 ظاهر می شود، در صورتی که بخش / DEV / HDA1 انتخاب شد.

پس از اتمام کار بر روی ایجاد پارتیشن ها، در پنجره «Break»، روی دکمه "بله" کلیک کنید.

جعبه محاوره ای ذخیره شده در صفحه نمایش مانیتور ظاهر می شود.

دکمه "بله" را فشار دهید.

گام بعدی این است که بخش های ایجاد شده را فرمت کنید. یک جعبه محاوره ای با عنوان "توجه!" در صفحه Mnit ظاهر می شود. و لیستی از پارتیشن هایی که هنگامی که دکمه "بله" فشرده می شود، فرمت می شود (شکل 9-6).

1.1.43 گزینه بوت لودر

جعبه محاوره پیکربندی "لودر" بر روی صفحه نمایش ظاهر می شود (شکل 9-7). در این پنجره، باید گزینه نصب را با یا بدون لودر انتخاب کنید. Bootloader اجازه می دهد تا شما را به گزینه های متعدد برای شروع آن در سیستم، و یا انتخاب سیستم عامل بارگذاری شده (اگر بیش از یک). در حالت بدون لودر، هسته ISP 3.0 در این سیستم یکپارچه خواهد بود.

دکمه "بله" را فشار دهید.

بعد، یک جعبه محاوره ای (شکل 9-8) بر روی صفحه نمایش با یک پیشنهاد برای وارد کردن پارامترهای اضافی که هنگام بارگیری استفاده می شود، ظاهر می شود. به طور پیش فرض، حالت LBA32 در این پنجره نصب شده است (با استفاده از آدرس های منطقی 32 بیتی بلوک هارد دیسک)، از آنجا که این حالت در اکثر موارد برای پشتیبانی از یک دیسک کانتینر بزرگ مورد نیاز است.

اگر شما یک IDE-Drive IDE، در فیلد ورود پارامتر دارید، نصب کننده رشته نوع "HDC \u003d IDE-SCSI" را قرار می دهد (به عنوان مثال، اگر درایو در حالت Master به کنترل دوم IDE متصل شود )

اگر هیچ پارامترهای دیگر نیازی به انتقال هر پارامتر دیگر ندارند، توصیه می شود پارامترهای پیشنهاد شده توسط برنامه نصب را تغییر ندهید و روی دکمه "بله" کلیک کنید.

روش زیر در تنظیم bootloader یک دسترسی به رمز عبور به تغییر در پارامترهای شروع سیستم است. از آنجا که بوت لودر وجود دارد، ممکن است پارامترهای تخصصی هسته را از صفحه کلید هنگام شروع سیستم انتقال دهید، سپس برای اطمینان از سطح امنیتی لازم، این ویژگی توسط یک رمز عبور محافظت می شود. در کادر محاوره ای که به نظر می رسد (شکل 9-9)، رمز عبور را وارد کنید، اندازه آن نباید کمتر از 8 کاراکتر باشد. رمز عبور را بارها و بارها معرفی کنید خط بعدی پنجره

دکمه "بله" را فشار دهید.

جعبه محاوره انتخاب محاوره ای روی صفحه نمایش روی صفحه نمایش (شکل 9-10) ظاهر می شود، با پیشنهاد برای مشخص کردن دیگر بخش های بوتکه می تواند با استفاده از bootloader ASWS 3.0 دانلود شود. به عنوان مثال، اگر سیستم عامل دیگری در رایانه وجود داشته باشد، می توانید یک برچسب را به آن اختصاص دهید و با استفاده از Bootloader ASS 3.0 OS آپلود کنید.

اطلاعات لازم را در خطوط مناسب وارد کنید و روی دکمه YES کلیک کنید.

در پنجره بعدی (شکل 9-11)، محل بوت لودر به دیسک تنظیم شده است. دو گزینه ممکن است: رکورد اصلی بوت (MBR) هارد دیسک (توصیه شده در اکثر موارد)، یا بخش بوت (ضبط بوت) پارتیشن مربوطه که در آن نصب شده است.

را انتخاب کنید و دکمه "YES" را فشار دهید.

1.1.44 شبکه شبکه

در صورت تشخیص برنامه نصب حداقل یک کارت شبکه، دنباله ای از "راه اندازی شبکه برای Ethx" کادر محاوره ای روی صفحه نمایش (شکل 9-12) ظاهر می شود، جایی که X شماره توالی است که پارامترها پیکربندی شده است برای هر کارت شبکه

تنظیمات تنظیم خودکار تنظیمات شبکه BOOTP و DHCP مورد استفاده قرار می گیرد اگر یک سرور ویژه در شبکه ارائه خدمات پیکربندی خودکار پس از درخواست دستگاه مشتری وجود دارد.

اگر سرور DHCP از دست رفته باشد، باید پارامترهای شبکه را به صراحت نصب کنید، زیرا آن را انتخاب کنید "فعال کردن هنگام بوت شدن". پس از آن، چندین ردیف در پنجره ای که در آن پارامترهای اتصال شبکه باید مشخص شود، برجسته می شود.

آدرس های شبکه در قالب دهه نقطه ای ارائه می شوند (به عنوان مثال، 192.168.1.1). اطلاعات پر کردن فیلد باید توسط مدیر شبکه ارائه شود.

آدرس شبکه - آدرس IP کامپیوتر در شبکه.

ماسک شبکه پارامتر مشخص کننده کلاس بخش شبکه است.

دروازه پیش فرض یک گره است که ارتباطات این شبکه محلی را با بخش های شبکه خارجی ارائه می دهد.

نام اصلی سرور - گره که پشتیبانی از خدمات نام دامنه نام دامنه از طریق پروتکل DNS در آدرس های IP. در زمینه های مناسب، آدرس های IP سرورهای نام اضافی را وارد کنید (DNS). اگر یک سرور نام در شبکه استفاده شود، این فیلدها را می توان خالی کرد.

دکمه "بله" را فشار دهید.

شکل. 9-13. نصب یک نام رایانه

شکل. 9-14. انتخاب منطقه زمانی

سپس شما باید نام کامپیوتر را تنظیم کنید. جعبه محاوره ای "نصب نام کامپیوتر" زیر روی صفحه نمایش ظاهر می شود (شکل 9-13)، که در آن زمینه مربوطه باید پر شود. نام باید با مدیر شبکه هماهنگ شود.

دکمه "بله" را فشار دهید.

1.1.45 انتخاب کمربند ساعت

جعبه محاوره انتخاب منطقه بعد از آن بر روی صفحه نمایش ظاهر می شود، که از تنظیمات زمان سیستم استفاده می کند. در ASS 3.0، شمارش معکوس در حالت محلی انجام می شود، I.E. ساعت سخت افزار سیستم قطعا زمان خود را بدون تبدیل اضافی نسبت به نقاط شمارش معکوس مختلف نوع UTC تعیین می کند.

در پنجره، شما باید دقیق ترین مناسب به محل کمربند زمان کامپیوتر را انتخاب کنید، که نشان دهنده تفاوت زمان کمربند نسبت به کمربند "صفر" - اروپا / مسکو است (شکل 9-14).

دکمه "بله" را فشار دهید.

1.1.46 انتخاب و نصب بسته ها

کادر محاوره ای "Select Select" بر روی صفحه نمایش ظاهر می شود (شکل 9-15).

در این کادر محاوره ای، شما می توانید مجتمع های زیر را انتخاب کنید:

• 
  پیکربندی OS پایه؛
• 
  زیرسیستم رابط گرافیکی؛
• 
  ابزارهای توسعه

برای انتخاب بهترین گزینه - اولین سه مجتمع مشخص شده به طور پیش فرض، آن را بدون تولید اقدامات دیگر کافی است، روی دکمه "بله" کلیک کنید. اگر تنها گروه "زیرسیستم رابط گرافیکی" گروه مورد نیاز است یا فقط یک گروه از ابزارهای توسعه، باید زمینه مربوطه را ذکر کرد.

انتخاب گروه "سیستم عامل پیکربندی پایه" مورد نیاز است، شامل تمام اجزای لازم برای عملیات OS ASS 3.0 OS در نسخه پایه (بدون پول اضافی).

حالت نصب "ALL (از جمله اختیاری)" به معنی نصب تمام بسته های توزیع، از جمله تغییرات هسته سیستم عامل، غیر اختصاصی برای این کامپیوتر و مجموعه ای از بسته های مورد نیاز برای تولید دیسک بوت ISWS 3.0 است.

برای انتخاب دقیق تر از بسته ها (شاید، برای صرفه جویی در فضای دیسک اشغال شده توسط OS)، لازم است که گزینه "انتخاب فرد از بسته" را ذکر کنید و روی دکمه "بله" کلیک کنید. پنجره "Select Package" (شکل 9-16) با لیستی از گروه های بسته و بسته های خود ظاهر می شود.

اگر شما خط نور پس زمینه را به آن برسانید، می توان یک گروه را به کار برد. برای به دست آوردن اطلاعات در مورد بسته، شما باید خط نور پس زمینه را به آن برسانید و کلید را فشار دهید. روشن / خاموش بسته ها به لیست برای نصب برای نصب با فشار دادن کلید انجام می شود.

پس از اتمام انتخاب بسته ها، روی دکمه "بله" کلیک کنید.

اگر یک لیست فردی از بسته ها برای نصب انتخاب شده باشد، ممکن است زمانی رخ دهد که وابستگی های ناخوشایند ظاهر شوند. این به این معنی است که بسته های موجود در لیست انتخاب شده وجود دارد که نیاز به بسته های دیگر از دیسک بوت ISWS 3.0، که مشخص نشده است. قطعنامه وابستگی های بسته به طور خودکار توسط برنامه نصب تولید می شود.

پس از انتخاب بسته، کادر محاوره ای راه اندازی بر روی صفحه نمایش ظاهر می شود. این پنجره حاوی اطلاعات مربوط به فایل / root / log است، که نصب کننده پس از اتمام کار، لیست بسته های نصب شده را ذخیره می کند.

پارتیشن بندی واقعی دیسک و نصب بسته ها تنها پس از فشار دادن دکمه "بله" در پنجره "شروع نصب" شروع می شود. در صورت لزوم، تا به این نقطه، شما هنوز هم می توانید فرایند نصب را با راه اندازی مجدد کامپیوتر قطع کنید. در این مورد، تمام داده ها در هارد درایوهای بدون تغییر باقی خواهند ماند.

برای شروع نصب بسته ها، روی دکمه "بله" کلیک کنید.

پنجره "نصب بسته" بر روی صفحه نمایش ظاهر می شود (شکل 9-17).

در این مرحله، شما می توانید فرایند نصب بسته های انتخاب شده را مشاهده کنید، که به طور خودکار تولید می شود. شرح مختصری برای هر بسته نمایش داده می شود و اطلاعات آماری در مورد فرآیند نصب بسته فعلی و تمام بسته های با هم نمایش داده می شود.

1.1.47 نصب رمز عبور Superuser

جعبه محاوره رمز عبور کاربر ریشه بر روی صفحه نمایش ظاهر می شود (شکل 9-18). رمز عبور را در خط "رمز عبور" تنظیم کنید و ورود آن را در خط "تایید رمز عبور" تایید کنید (محدودیت ها در نظر و اندازه رمز عبور توسط نیازهای امنیتی برای سیستم تعیین می شود؛ به طور پیش فرض، اندازه رمز عبور حداقل هشت است شخصیت ها). هنگامی که یک رمز عبور را از صفحه کلید مشخص می کنید، به دلایل امنیتی، به جای کاراکترهای ورودی، ستاره ها نمایش داده می شوند. دکمه "بله" را فشار دهید.

1.1.48 ایجاد فلاپی بوت

کادر محاوره ای زیر "مجموعه ای از دیسک های بوت" بر روی صفحه نمایش ظاهر می شود (شکل 9-19). اگر شما به رکورد بوت هارد دیسک آسیب برسانید، کیت های بوت دیسک ممکن است مورد نیاز باشد.

برای ایجاد دیسک های بوت، دکمه "بله" را فشار دهید. بعد، دستورالعمل های ارائه شده در جعبه های گفتگو را دنبال کنید.

اگر ایجاد کیت بوت مورد نیاز نیست، روی دکمه "NO" کلیک کنید. در آینده، شما می توانید یک دیسک بوت را با استفاده از یک ابزار گرافیکی یا دستور mkbootdisk ایجاد کنید.

1.1.49 افزایش کارت های ویدئویی و مانیتور

در مرحله بعدی، شما باید سیستم گرافیک را پیکربندی کنید. برای انجام این کار، در جعبه های گفتگو، به دنبال دستورالعمل ها، اطلاعات مربوط به کارت گرافیک و مانیتور را وارد کنید.

اگر نصب کننده به طور خودکار نوع کارت گرافیک را تعیین کند، اطلاعاتی در مورد آن ظاهر می شود (شکل 9-20).

شکل. 9-19. ایجاد دیسک های بوت

شکل. 9-20. کارت گرافیک را انتخاب کنید

در غیر این صورت، کادر محاوره ای "Select Map" ظاهر می شود. آن را از لیست انتخاب کنید. اگر لیست کارت ویدیویی مورد نظر را نداشته باشد، "کارت نامشخص" را انتخاب کنید.

در پنجره انتخاب سرور، سرور X را انتخاب کنید، که قادر به کار به عنوان یک کارت گرافیک موجود است.

پس از آن، جعبه محاوره ای تنظیم مانیتور ظاهر می شود (شکل 9-21). اگر برنامه نصب به طور خودکار نوع مانیتور را تعیین نمی کند، مانیتور مناسب را از لیست تغییر انتخاب کنید.

در صورت لزوم، شما می توانید پارامترهای مانیتور دستی را مشخص کنید. برای انجام این کار، نوع "دیگر" مورد را در لیست انتخاب کنید و فرکانس عملیاتی تصویر عمودی و افقی را تنظیم کنید (60 تا 100 تا 100 هرتز).

دکمه "بله" را فشار دهید.

پس از انتخاب مانیتور، پنجره «پیشرفته» روی صفحه نمایش ظاهر می شود (شکل 9-22). عمق رنگ مورد نظر و رزولوشن مانیتور را در پنجره انتخاب کنید. علاوه بر این، در این پنجره شما می توانید حالت ورود به سیستم "گرافیک" (توصیه شده) یا "متن" را انتخاب کنید. اگر یک ورودی گرافیکی را به سیستم انتخاب کنید، سیستم رابط گرافیکی به طور پیش فرض آغاز خواهد شد. را انتخاب کنید و دکمه "YES" را فشار دهید.

پس از راه اندازی سیستم گرافیکی، پیام "نصب تکمیل شده" ظاهر می شود (شکل 9-23) با پیام "تبریک، نصب ISWS 3.0 تکمیل شده است."

دکمه "YES" را فشار دهید تا راه اندازی مجدد شود. کامپیوتر شروع به راه اندازی مجدد خواهد کرد. در طول راه اندازی مجدد، سینی با CD به طور خودکار پیشرفت خواهد کرد. دیسک را از سینی حذف کنید.

شکل. 9-23. نصب تکمیل شد.

شکل. 9-24. روش نصب