Bab ini membahas pertanyaan-pertanyaan berikut:

Pengguna;

Perbedaan antara pengguna istimewa dan tidak sah;

File login;

File / etc / passwd;

File / etc / shadow;

File / etc / gshadow;

File /etc/login.def;

Modifikasi informasi tentang keusangan kata sandi;

Dasar keselamatan MSA adalah konsep pengguna dan kelompok. Semua keputusan tentang apa yang diizinkan atau tidak diperbolehkan untuk membuat pengguna dibuat atas dasar siapa pengguna telah memasukkan sistem dari sudut pandang kernel sistem operasi.

Pandangan Umum Pengguna

MSV adalah sistem multipemain multitasking. Tugas sistem operasi termasuk isolasi dan perlindungan pengguna satu sama lain. Sistem memonitor masing-masing pengguna dan, berdasarkan pada siapa pengguna ini, menentukan apakah mungkin untuk menyediakannya dengan akses ke file tertentu atau memungkinkan peluncuran suatu program atau yang lain.

Saat membuat pengguna baru, ia dijalankan dengan nama yang unik

CATATAN

Sistem menentukan hak istimewa pengguna berdasarkan ID pengguna (userid, uid). Berbeda dengan nama pengguna, UID mungkin tidak unik, dalam hal ini nama yang ditemukan pertama kali diambil untuk mencocokkan nama pengguna, UID yang bertepatan dengan data.

Setiap baru direkam dalam sistem, pengguna sesuai dengan elemen sistem tertentu.

Pengguna istimewa dan tidak berasih

Saat menambahkan pengguna baru ke sistem, nomor khusus disorot, disebut pengidentifikasi Pengguna (Userid, uid). Dalam Caldera MSVA, alokasi pengidentifikasi kepada pengguna baru dimulai dengan 500 dan berlanjut menuju jumlah besar, hingga 65.534. Angka-angka hingga 500 dicadangkan untuk akun sistem.

Secara umum, pengidentifikasi dengan angka yang lebih kecil dari 500 tidak berbeda dengan pengidentifikasi lainnya. Seringkali program untuk fungsi normal membutuhkan pengguna khusus dengan akses penuh ke semua file.

Penomoran pengidentifikasi dimulai dengan 0 dan berlanjut hingga 65 535. UID 0 adalah UID khusus. Setiap proses atau pengguna dengan pengidentifikasi nol adalah hak istimewa. Orang atau proses seperti itu memiliki kekuatan tak terbatas atas sistem. Tidak ada yang bisa berfungsi sebagai larangan. Akun root (akun, UID yaitu 0), juga disebut akun superuser, Membuat dimasukkan dengan penggunaannya jika bukan pemilik, maka setidaknya waliya.

UID tetap sama dengan 65.535. Ini juga bukan dari biasa. UID ini milik siapa pun (tidak ada).

Suatu saat, salah satu cara meretas sistem adalah untuk membuat pengguna dengan pengidentifikasi 65.536, sebagai akibatnya ia menerima hak istimewa superuser. Memang, jika Anda mengambil UID dan menerjemahkan nomor yang sesuai menjadi bentuk biner, Anda akan mendapatkan kombinasi enam belas pembuangan biner, yang masing-masing adalah 0 atau 1. Jumlah pengidentifikasi yang luar biasa mencakup nol dan unit. Pengecualiannya adalah Superuser Zero UID yang terdiri dari beberapa nol, dan uidnobody, sama dengan 65535 dan terdiri dari 16 unit, yaitu 111111111111111. Nomor 65 536 tidak dapat ditempatkan dalam 16 digit - untuk mewakili angka ini dalam bentuk biner, Anda perlu menggunakan 17 Pelepasan. Pelepasan tertua akan sama dengan unit (1), semua sisanya nol (0). Jadi apa yang terjadi ketika membuat pengguna dengan pengidentifikasi panjang 17 pembuangan biner - 10000000000000000? Secara teoritis, pengguna dengan pengidentifikasi nol: Karena hanya 16 pembuangan biner yang diberikan pada pengidentifikasi, 17 digit tidak diketahui, dan dibuang. Oleh karena itu, satu-satunya unit pengidentifikasi hilang, dan beberapa nol tetap, dan sistem muncul pengguna baru Dengan pengidentifikasi, dan karenanya hak istimewa, superuser. Tapi sekarang tidak ada program di ASV yang akan memungkinkan Anda untuk menginstal UID pada 65.536.

CATATAN

Pengguna dengan pengidentifikasi melebihi 65.536, dimungkinkan untuk membuat, tetapi tidak akan digunakan tanpa substitusi / bin / login.

Setiap hacker pasti akan mencoba untuk mendapatkan hak istimewa superuser. Segera setelah dia menerima mereka, nasib lebih lanjut dari sistem akan sepenuhnya bergantung pada niatnya. Mungkin dia, puas dengan fakta peretasan, tidak akan membuat sesuatu yang buruk dan, mengirimi Anda surat dengan deskripsi lubang yang ditemukan olehnya dalam sistem keamanan, akan selamanya menyerahkannya sendirian, dan tidak. Jika niat hacker yang diretas tidak begitu bersih, maka yang terbaik, yang dapat diharapkan adalah memiliki sistem kegagalan.

File / etc / passwd

Ingin masuk ke sistem harus memasukkan nama pengguna dan kata sandi yang diperiksa pada basis data pengguna yang disimpan dalam file / etc / passwd. Di dalamnya, antara lain, kata sandi semua pengguna disimpan. Saat menghubungkan ke sistem, kata sandi yang dimasukkan diperiksa dengan kata sandi yang sesuai dengan nama ini, dan jika pengguna diizinkan dalam sistem, setelah itu program yang ditentukan untuk nama pengguna ini dalam file kata sandi diluncurkan. Jika ini adalah shell perintah, pengguna mendapatkan kemampuan untuk memasukkan perintah.

Pertimbangkan untuk mencantumkan 1.1. Ini adalah file passwd dalam gaya lama.

Listing 1.1. File / etc / passwd dalam gaya lama

root: *: 1i dywromhmebu: 0: 0: Root :: / root: / bin / bash

bin: *: 1: 1: Bin: / Bin:

daemon: *: 2: 2: DAEMON: / SBIN:

aDM: *: 3: 4: ADM: / VAR / ADM:

lP: *: 4: 7: LP: / Var / Spool / LPD:

sinkronisasi: *: 5: 0: Sync: / SBIN: / Bin / Sync

shutdown: *: 6: 11: Shutdown: / sbin: / sbin / shutdown

hALT: *: 7: 0: HALT: / SBIN: / SBIN / HALT

mail: *: 8: 12: Mail: / Var / Spool / Mail:

berita: *: 9: 13: Berita: / Var / Spool / NEWS:

uUCP: *: 10: 14: UUCP: / var / spool / UUCP:

operator: *: 11: 0: Operator: / Root:

game: *: 12: 100: Game: / USR / Games:

gopher: *: 13: 30: Gopher: / usr / 1ib / gopher-data:

fTP: *: 14: 50: Pengguna FTP: / Home / Ftp:

pria: *: 15: 15: Pemilik Manual: /:

majordom: *: 16: 16: Majordomo: /: / Bin / False

postgres: * 17: 17: Postgres Pengguna: / Home / Postgres: / Bin / Bash

mySQL: *: 18: 18: Pengguna MySQL: / usr / local / var: / bin / false

silvia: 1IDYWROMHMEBU: 501: 501: Silvia Bandel: / Home / Silvia: / Bin / Bash

tidak ada: *: 65534: 65534: Tidak ada: /: / Bi N / false

david: 1idywromhmebu: 500: 500: 500: David A. Bandel: / Home / David: / Bin / Bash

File kata sandi memiliki struktur yang ditentukan secara kaku. Isi file adalah tabel. Setiap baris file adalah entri tabel. Setiap entri terdiri dari beberapa bidang. Bidang file passwd dipisahkan oleh usus besar, sehingga usus besar tidak dapat digunakan di berbagai bidang. Secara total, ada tujuh bidang: nama pengguna, kata sandi, ID pengguna, pengidentifikasi grup, bidang GECOS (itu adalah bidang komentar), direktori home dan login command shell.

Baca lebih lanjut tentang / etc / passwd

Bidang pertama menunjukkan nama pengguna. Itu harus unik - tidak mungkin bahwa dua pengguna sistem memiliki nama yang sama. Bidang nama adalah satu-satunya bidang yang nilainya harus unik. Di bidang kedua kata sandi pengguna disimpan. Untuk memastikan perlindungan sistem, kata sandi disimpan dalam bentuk hash. Istilah "hashish" dalam konteks ini berarti "terenkripsi". Dalam hal kata sandi, kata sandi dienkripsi sesuai dengan algoritma Des (DataEncryptionStandard). Panjang kata sandi yang dimiliki dalam bidang ini selalu sama dengan 13 karakter, dan beberapa karakter, seperti usus besar dan kutipan tunggal, tidak pernah ditemukan di antara mereka. Nilai bidang lainnya, berbeda dari kata sandi 13 karakter hash yang tepat, membuatnya tidak mungkin untuk memasukkan pengguna ini ke sistem, untuk satu pengecualian yang sangat penting: bidang kata sandi dapat kosong.

Di bidang kedua, tidak ada, bahkan ruang, apakah itu berarti bahwa pengguna yang relevan tidak memerlukan kata sandi untuk masuk ke sistem. Jika Anda mengubah kata sandi yang tersimpan di bidang dengan menambahkan karakter ke dalamnya, misalnya satu kutipan, akun ini akan diblokir, dan pengguna yang sesuai tidak akan dapat masuk. Faktanya adalah bahwa setelah menambahkan simbol ilegal ke hash 14 karakter, sistem menolak untuk mengotentikasi pengguna dengan kata sandi seperti itu.

Saat ini, panjang kata sandi dibatasi hingga delapan karakter. Pengguna dapat memasukkan dan kata sandi yang lebih lama, tetapi hanya delapan karakter pertama yang akan signifikan. Dua karakter pertama dari kata sandi hash adalah benih (GARAM). (Benih disebut angka yang digunakan untuk menginisialisasi algoritma enkripsi. Dengan setiap perubahan kata sandi, benih dipilih secara acak.) Sebagai hasilnya, jumlah dari semua permutasi yang mungkin cukup besar, sehingga tidak mungkin untuk mengetahui apakah pengguna Dalam sistem dengan kata sandi yang sama, perbandingan sederhana dari kata sandi hash.

CATATAN

Serangan kamus mengacu pada metode peretasan kata sandi dengan kekuatan kasar dan menyiratkan penggunaan kamus dan benih yang diketahui. Serangan itu dalam interaksi semua kata kamus, mengenkripsi mereka dengan benih ini dan membandingkan hasilnya dengan kata sandi wigle. Pada saat yang sama, selain kata-kata dari kamus, beberapa modifikasi modifikasi mereka biasanya dipertimbangkan, misalnya, semua huruf dari judul, hanya huruf pertama dari judul dan menambahkan angka (biasanya hanya 0-9) untuk akhir dari semua kombinasi ini. Demikian pula, Anda dapat meretas banyak kata sandi yang mudah.

Bidang ketiga menunjukkan ID pengguna. ID pengguna tidak diperlukan untuk menjadi unik. Secara khusus, selain pengguna root, mungkin ada pengguna lain yang sewenang-wenang dengan pengidentifikasi nol, dan mereka semua akan memiliki hak istimewa superuser.

Bidang keempat berisi pengidentifikasi grup (GroupID, GID). Kelompok yang ditunjukkan dalam bidang ini disebut grup Pengguna Utama (Primergroup). Pengguna dapat menjadi bagian dari beberapa kelompok, tetapi salah satunya harus menjadi kelompok utama.

Bidang kelima sekarang disebut bidang komentar, tetapi nama awalnya adalah GECO, dari "GeconsolidatedOperationsSystem". Saat meminta informasi pengguna melalui jari atau program lain, isi bidang ini sekarang dikembalikan sebagai nama pengguna sejati. Bidang komentar dapat kosong.

Bidang keenam menetapkan direktori home pengguna. Setiap pengguna harus memiliki direktori home sendiri. Biasanya, pengguna, masuk ke dalam sistem, ternyata berada di direktori home-nya, tetapi jika itu tidak ada, itu jatuh ke direktori root.

Bidang ketujuh menetapkan cangkang cangkang login. Tidak setiap shell dapat ditentukan di bidang ini. Tergantung pada pengaturan sistem, hanya shell dari daftar cangkang yang dapat diizinkan yang dapat ditentukan. Di ASWS, daftar cangkang yang diizinkan adalah default dalam file / etc / shells.

File / etc / shadow

Pemilik file / etc / shadow adalah pengguna root dan hanya memiliki hak untuk membaca file ini. Untuk membuatnya, Anda perlu mengambil nama pengguna dan kata sandi Hashy dari file passwd dan letakkan di file bayangan, mengganti semua kata sandi hash dalam simbol file passwd. Jika Anda melihat file passwd dari sistem, Anda dapat melihat bahwa ada simbol X di situs kata sandi yang dimiliki. Simbol ini menunjukkan sistem dengan fakta bahwa kata sandi harus dilihat di sini, tetapi dalam file / etc / shadow. Transisi dari kata sandi sederhana ke bayangan dan punggung dilakukan oleh tiga utilitas. Untuk pergi ke Shadow Passwords, utilitas PWCK pertama kali dimulai. Ini memeriksa file passwd untuk setiap anomali, karena langkah selanjutnya dapat berakhir dengan kegagalan atau hanya menang. Setelah PWCK telah bekerja, utilitas PWCONV mulai membuat / etc / shadow. Ini biasanya dilakukan setelah pembaruan manual. File / etc / passwd. Untuk kembali ke kata sandi biasa, PWUNCOV mulai.

File kata sandi bayangan dalam banyak hal mirip dengan file kata sandi biasa. Secara khusus, dua bidang pertama file-file ini sama. Tetapi selain bidang-bidang ini di dalamnya, tentu saja, ada bidang tambahan yang hilang dalam file kata sandi normal. Listing 1.2. Memperlihatkan isi file khas / etc / shadow.

Listing 1.2. File / etc / shadow

root: 1idywromhmebu: 10792: 0 ::: 7: 7 ::

bin: *: 10547: 0 :: 7: 7 ::

daemon: *: 10547: 0 :: 7: 7 ::

aDM: *: 10547: 0 :: 7: 7 ::

lP: *: 10547: 0 :: 7: 7 :::

sinkronkan: *: 10547: 0 :: 7: 7 ::

shutdown: U: 10811: 0: -1: 7: 7: 7: 134531940

hALT: *: 10547: 0 :: 7: 7 ::

mail: *: 10547: 0 :: 7: 7 ::

berita: *: 10547: 0 :: 7: 7 ::

uUCP: *: 10547: 0 :: 7: 7 ::

operator: *: 10547: 0 :: 7: 7 ::

game: *: 10547: 0: 7: 7 ::

gopher: *: 10547: 0 :: 7: 7 ::

ftp: *: 10547: 0 :: 7: 7 ::

man: *: 10547: 0 :: 7: 7 ::

majordom: *: 10547: 0 :: 7: 7 ::

postgres: *: 10547: 0 :: 7: 7 ::

mySQL: *: 10547: 0 :: 7: 7 ::

si1via: 1idywromhmebu: 10792: 0: 30: 7: -l ::

tidak ada: *: 10547: 0 :: 7: 7 ::

david: 1IDYWROMHMEBU: 10792: 0 :: 7: 7 :::

Detail / etc / shadow

Tujuan dari bidang file bayangan pertama sama dengan bidang file passwd pertama.

Bidang kedua berisi kata sandi hash. Implementasi Sandi Bayangan di MSV memungkinkan kata sandi yang dibenci dengan panjang 13 hingga 24 karakter, tetapi program enkripsi kata sandi Crypt hanya dapat menghasilkan kata sandi hash 13-simbol. Karakter yang digunakan dalam hash diambil dari satu set yang terdiri dari 52 huruf alfabet (huruf kecil dan huruf besar), angka 0-9, poin dan fitur cenderung ke kanan (/). Ternyata 64 karakter diizinkan di bidang Kata Sandi Hash.

Benih, dengan demikian, yang, seperti sebelumnya, adalah dua karakter pertama, dapat dipilih dari 4096 kombinasi yang mungkin (64x64). Untuk enkripsi, des algoritma DES digunakan dengan kunci 56-bit, yaitu ruang tombol algoritma ini memiliki 2 56 kunci, yaitu sekitar 72.057.590.000.000.000 atau 72 quadrillons. Jumlahnya terlihat mengesankan, tetapi Anda sebenarnya dapat memiliki waktu yang sangat singkat untuk memindahkan semua tombol dari ruang ukuran ini.

Dari bidang ketiga, informasi tentang informasi berbagi kata sandi dimulai. Ini menyimpan jumlah hari mulai 1 Januari 1970 hingga perubahan kata sandi terakhir.

Bidang keempat menetapkan jumlah minimum hari untuk lulus sebelum Anda dapat mengubah kata sandi lagi. Sedangkan dari tanggal perubahan terakhir, kata sandi tidak akan lulus beberapa hari seperti yang ditunjukkan dalam bidang ini, tidak mungkin untuk mengubah kata sandi.

Bidang kelima menetapkan jumlah hari maksimum di mana Anda dapat menggunakan kata sandi, setelah itu tunduk pada perubahan wajib. Dengan nilai positif bidang ini, pengguna mencoba untuk masuk ke sistem setelah kata sandi berakhir akan menghasilkan perintah kata sandi tidak seperti biasa, tetapi dalam mode perubahan kata sandi wajib.

Nilai dari bidang keenam menentukan berapa hari sebelum berakhirnya kata sandi harus mulai mengeluarkan peringatan tentang hal itu. Setelah menerima peringatan, pengguna dapat mulai menemukan kata sandi baru.

Lapangan ketujuh menetapkan jumlah hari mulai dari hari, kata sandi dibentuk, setelah itu akun ini diblokir.

Lapangan belakang menyimpan hari memblokir akun.

Bidang terakhir dicadangkan dan tidak digunakan.

Baca lebih lanjut tentang / etc / grup

Setiap entri file / etc / grup terdiri dari empat bidang yang dipisahkan oleh titik dua. Bidang pertama menetapkan nama grup. Seperti nama pengguna.

Bidang kedua biasanya kosong, karena mekanisme kata sandi kata sandi biasanya tidak digunakan, tetapi jika bidang ini tidak kosong dan berisi kata sandi, setiap pengguna dapat bergabung dengan grup. Untuk melakukan ini, Anda perlu menjalankan perintah Newgrp dengan nama grup sebagai parameter, setelah itu Anda memasukkan kata sandi yang benar. Jika kata sandi untuk grup tidak ditentukan, hanya pengguna yang tercantum dalam daftar anggota grup yang dapat bergabung.

Lapangan ketiga menetapkan pengidentifikasi grup (GroupID, GID). Arti itu sama dengan ID pengguna.

Bidang yang terakhir adalah daftar nama pengguna milik grup. Pengguna terdaftar melalui koma tanpa spasi. Kelompok pengguna utama diindikasikan (wajib) dalam file passwd dan menetapkan ketika pengguna terhubung ke sistem berdasarkan informasi ini. Dengan demikian, jika Anda mengubah grup pengguna utama dalam file passwd, pengguna tidak akan lagi dapat bergabung dengan mantan grup utamanya.

File /etc/login.defs.

Anda dapat menambahkan pengguna baru ke sistem dengan beberapa cara. Di pantat, program-program berikut digunakan untuk ini: Coastool, Lisa, UserAdd. Sesuatu yang cocok untuk salah satu dari mereka. Utilitas Coas menggunakan file sendiri. Program useradd dan LISA mengambil nilai default untuk bidang file passwd dan bayangan dari file /etc/login.defs. Isi file ini dalam bentuk disingkat ditampilkan dalam daftar 1.4.

Listing 1.4. File disingkat /etc/login.defs.

# Jumlah maksimum hari di mana kata sandi diizinkan:

# (- 1 - Perubahan kata sandi tidak diperlukan) Pass_max_days-1

Jumlah minimum hari antara shift kata sandi: pass_min_dayso

# Selama beberapa hari sebelum tanggal perubahan kata sandi, peringatan harus dikeluarkan: pass_warn_age7

# Berapa jumlah hari yang harus dilewati setelah berakhirnya kata sandi berakhir sebelum akun akan diblokir: pass_inactive-1

# Paksa kedaluwarsa pemanfaatan kata sandi pada hari yang ditentukan:

# (Tanggal diidentifikasi dengan jumlah hari setelah 70/1/1, -1 \u003d tidak memaksa) Pass_expire -1

# Nilai bidang akun terintegrasi untuk useradd

# Team Default: Group100

# Katalog Rumah:% S \u003d Nama Pengguna) NOME / HOME /% S

# Perintah Sheath Default: Shell / Bin / Bash

Katalog di mana kerangka katalog rumah berada: SKEL / ETC / BREL

# Minimum I. nilai Maksimum Untuk pemilihan GID otomatis di Groupaddgid_MIN100

Isi file ini menetapkan nilai default untuk bidang file passwd dan bayangan. Jika Anda tidak menimpanya dari baris perintah, mereka akan digunakan. Sebagai titik awal, nilai-nilai ini cukup cocok, namun, untuk mengimplementasikan kata sandi kedaluwarsa, beberapa dari mereka perlu diubah. Nilai yang sama dengan -1 berarti tidak ada batasan.

Dalam program CoAS, distribusi kaldera digunakan oleh antarmuka pengguna grafis

Untuk mengubah informasi tentang kata sandi, untuk satu atau dua pengguna, Anda dapat menggunakan perintah Chage (Changeage - ubah usang). Pengguna yang tidak berasih dapat menjalankan Chage hanya dengan parameter -L dan nama pengguna mereka sendiri, yaitu, untuk meminta informasi tentang oboletri hanya kata sandi Anda sendiri. Untuk mengubah informasi peluang, cukup menentukan nama pengguna, parameter yang tersisa akan diminta dalam dialog. Panggil Chage tanpa parameter akan memberikan referensi singkat untuk digunakan.

Program CoAS dapat digunakan untuk mengubah parameter berbagi kata sandi untuk masing-masing akun secara terpisah. Dalam hal ini, nilai-nilai ditunjukkan dalam beberapa hari. Antarmuka programnya jelas.

Catatan -

Untuk mendapatkan informasi tentang kata sandi usang pengguna atau memaksakan proses ini, Anda dapat menggunakan perintah kedaluwarsa.

RAMS Security System.

Gagasan utama dari bingkai adalah bahwa Anda selalu dapat menulis modul keamanan baru yang akan ditujukan ke file atau perangkat untuk informasi dan mengembalikan hasil dari eksekusi prosedur otorisasi: kesuksesan (kesuksesan), kegagalan (kegagalan) ) atau abaikan (abaikan). Dan RAM, pada gilirannya, akan mengembalikan kesuksesan (kesuksesan) atau kegagalan (kegagalan) yang menyebabkannya. Dengan demikian, tidak masalah kata sandi apa, bayangan atau biasa, digunakan dalam sistem, jika ada bingkai: semua frame pendukung akan bekerja dengan sempurna dengan itu dan lainnya.

Kita sekarang beralih ke pertimbangan prinsip-prinsip dasar pengoperasian RAM. Pertimbangkan untuk mencantumkan 1.6. Direktori /etc/pam.d berisi file konfigurasi untuk layanan lain, seperti su, passwd, dll., Tergantung pada perangkat lunak mana yang diinstal dalam sistem. Setiap layanan pembatasan layanan (layanan terbatas) sesuai dengan file konfigurasinya. Jika tidak ada seorang pun, maka layanan ini dengan batasan akses memasuki kategori "lain", dengan file konfigurasi lainnya. (Layanan pembatasan layanan disebut layanan atau program apa pun untuk digunakan yang diperlukan untuk menjalani otorisasi. Dengan kata lain, jika dalam kondisi normal, layanan meminta nama pengguna dan kata sandi Anda, itu adalah layanan pembatasan layanan.)

Daftar. 1.6. Login konfigurasi file.

auth membutuhkan pam_securetty.so.

auth membutuhkan pam_pwdb.so.

auth membutuhkan pam_nologin.so.

#Ah membutuhkan pam_dialup.so.

auth Opsional Pam_mail.so.

diperlukan akun PAM_PWDB.SO.

session diperlukan pam_pwdb.so.

sesi opsional pam_lastlog.so.

kata sandi diperlukan pam_pwdb.so.

Seperti yang dapat dilihat dari listing, file konfigurasi terdiri dari tiga kolom. Baris dimulai dengan simbol kisi (#) diabaikan. Oleh karena itu, modul PAM_DIALUP (baris keempat listing 1.6) akan terlewatkan. File ini memiliki baris dengan bidang ketiga yang sama - pam_pwd.so, dan pertama - auth. Penggunaan beberapa baris dengan bidang pertama yang sama disebut akumulasi (susun) dari modul dan memungkinkan Anda untuk mendapatkan otorisasi multi-langkah (tumpukan modul), yang mencakup beberapa prosedur otorisasi yang berbeda.

Kolom pertama adalah kolom tipe. Jenis ditentukan oleh salah satu dari empat tanda karakter: auth, akun, sesi dan kata sandi. Isi semua kolom dipertimbangkan tanpa mendaftar.

Jenis Auth (Otentikasi - Otentikasi) digunakan untuk mengklarifikasi apakah pengguna adalah mereka yang memberi dirinya sendiri. Sebagai aturan, ini dicapai dengan membandingkan kata sandi yang dimasukkan dan disimpan, tetapi opsi lain juga dimungkinkan.

Jenis akun (Akun) memeriksa apakah layanan diizinkan untuk menggunakan pengguna ini, pada kondisi apa bukan kata sandi dan sebagainya.

Ketik Kata Sandi (Kata Sandi) digunakan untuk memperbarui penanda otorisasi.

Jenis sesi (sesi) melakukan tindakan tertentu ketika pengguna masuk dan ketika pengguna output dari sistem.

Mengelola Bendera

Kolom kedua adalah bidang bendera kontrol, yang menentukan apa yang harus dilakukan setelah kembali dari modul, yaitu reaksi RAM ke nilai-nilai keberhasilan (kesuksesan), abaikan (abaikan) dan kegagalan ( Kegagalan). Nilai yang diizinkan: syarat, diperlukan, cukup dan opsional. Dari nilai di bidang ini tergantung apakah saluran file lainnya akan diproses.

Bendera yang diperlukan menetapkan perilaku paling kaku. Memproses satu baris dengan bendera yang diperlukan, modul yang mengembalikan nilai kegagalan (kegagalan) akan dihentikan dan layanan yang menyebabkannya akan dikembalikan ke kegagalan. Tidak ada jalur lain yang akan dipertimbangkan. Bendera ini cukup jarang. Faktanya adalah bahwa jika modul yang ditandai oleh mereka dilakukan pertama kali, maka modul berikut ini mungkin tidak dijalankan, termasuk yang bertanggung jawab untuk login, sehingga bendera yang diperlukan (wajib) biasanya diterapkan.

Bendera yang diperlukan tidak mengganggu eksekusi modul. Apa pun hasil implementasi modul yang ditandai oleh mereka: kesuksesan (kesuksesan), abaikan (abaikan) atau kegagalan (kegagalan), bingkai selalu melanjutkan ke pemrosesan modul berikutnya. Ini adalah bendera yang paling sering digunakan, karena hasil modul tidak dikembalikan sampai semua modul lain bekerja, yang berarti bahwa modul yang bertanggung jawab untuk penebangan didefinisikan.

Bendera yang cukup (cukup) mengarah pada penyelesaian langsung dari pemrosesan baris dan mengembalikan nilai keberhasilan (kesuksesan), asalkan modul menandai nilai mengembalikan nilai keberhasilan (kesuksesan) dan sebelumnya tidak memenuhi modul dengan bendera yang diperlukan. yang mengembalikan status kegagalan (kegagalan). Jika modul seperti itu telah bertemu, bendera yang cukup diabaikan. Jika modul yang ditandai dengan bendera ini mengembalikan nilai untuk mengabaikan (mengabaikan) atau kegagalan (kegagalan), maka bendera yang cukup terlihat mirip dengan bendera opsional.

Hasil dari eksekusi modul dengan bendera opsional (opsional) hanya diperhitungkan ketika itu adalah satu-satunya modul di tumpukan yang telah mengembalikan nilai keberhasilan (kesuksesan). Kalau tidak, hasil pelaksanaannya diabaikan. Dengan demikian, pemenuhan modul yang tidak berhasil ditandai olehnya tidak memerlukan kegagalan seluruh proses otorisasi.

Untuk memastikan bahwa pengguna dapat mengakses sistem, modul yang ditandai dengan bendera yang diperlukan dan diperlukan, tidak boleh mengembalikan nilai kegagalan (kegagalan). Hasil dari eksekusi modul dengan bendera opsional diasumsikan hanya jika itu adalah satu-satunya modul di tumpukan yang telah mengembalikan kesuksesan (kesuksesan).

Modul RAM.

Kolom ketiga berisi nama lengkap dari file modul yang terkait dengan string ini. Pada prinsipnya, modul dapat ditemukan di mana saja, tetapi jika ditempatkan di direktori yang telah ditentukan untuk modul, Anda dapat menentukan satu nama saja, jika tidak, jalur diperlukan. Dalam ISP, katalog yang telah ditentukan adalah / lib / keamanan.

Kolom keempat dirancang untuk mengirimkan parameter tambahan ke modul. Tidak semua modul memiliki parameter, dan jika ada, mereka tidak dapat digunakan. Transmisi modul parameter memungkinkan Anda mengubah perilakunya dengan satu atau lain cara.

Listing 1.7 berisi daftar modul bingkai yang merupakan bagian dari MSV.

Listing 1.7. Daftar modul bingkai termasuk dalam MSV

pam_rhosts_auth.so.

pam_securetty.so.

pam_unix_acct.so.

pam_unix_auth.so.

pam_unix_passwd.so.

pam_unix_session.so.

Tentang modul detail lebih lanjut

Modul pam_access.so digunakan untuk menyediakan / melarang akses berdasarkan file /etc/security/access.conf. Garis-garis file ini memiliki format berikut:

hak: Pengguna: Dari mana

Hak + (izinkan) atau - (melarang)

Pengguna - semua, nama pengguna atau user @ node, di mana node sesuai dengan nama mesin lokal, jika tidak catatan diabaikan.

Dari mana satu atau lebih nama file terminal (tanpa awalan / dev /), nama simpul, nama Domain. (Mulai dari titik), alamat IP, semua atau lokal.

Modul pam_cracklib.so memeriksa kata sandi kamus. Ini dirancang untuk memverifikasi kata sandi baru dan memungkinkan Anda untuk mencegah penggunaan di sistem dengan mudah retak kata sandi, yang dianggap sebagai kata-kata umum, kata sandi yang berisi karakter berulang, dan kata sandi terlalu singkat. Ada parameter opsional: debug, ketik \u003d dan coba lagi \u003d. Parameter debug termasuk debugging informasi ke file log. Parameter tipe, diikuti oleh string, perubahan dalam Undangan Default Newunikspassword: Kata Unix ke string yang ditentukan. Parameter coba lagi menetapkan jumlah upaya yang diberikan kepada pengguna untuk memasukkan kata sandi, yang kesalahan dikembalikan ke kelelahan (satu upaya diberikan secara default).

Pertimbangkan untuk mencantumkan 1.8. Ini menunjukkan isi file / etc / pam.d / lainnya. File ini berisi konfigurasi yang digunakan oleh mekanisme kerangka kerja untuk layanan yang tidak memiliki file konfigurasi sendiri di direktori /etc/pam.d. Dengan kata lain, file ini berlaku untuk semua layanan yang tidak dikenal dengan sistem bingkai. Ini menyajikan keempat jenis otorisasi, auth, akun, kata sandi dan sesi, masing-masing menyebabkan modul PAM_DENY.SO ditandai dengan bendera yang disiratkan. Dengan demikian, pelaksanaan layanan yang tidak diketahui dilarang.

Listing 1.8. File /etc/pam.d/other.

auth membutuhkan pam_deny.so.

auth membutuhkan pam_warn.so.

diperlukan akun PAM_DENY.SO.

diperlukan kata sandi PAM_DENY.SO.

diperlukan kata sandi pam_warn.so.

session diperlukan pam_deny.so.

Modul PAM_DIALUP.SO memeriksa apakah akan menentukan kata sandi untuk mengakses terminal jarak jauh atau terminal, yang menggunakan file / etc / keamanan / ttys.diallup. Modul ini berlaku tidak hanya untuk ttys, tetapi secara umum ke terminal TTY. Ketika kata sandi diperlukan, itu diperiksa dengan file / etc / keamanan / passwd.diallup. Perubahan file passwd.diallup dilakukan oleh program DPasswd.

Modul pam_group.so diperiksa sesuai dengan isi file /etc/security/group.conf. File ini menunjukkan grup yang anggotanya dapat ditentukan pengguna dalam file saat melakukan kondisi tertentu.

Modul PAM_LASTLOG.SO memasuki informasi file Lastlog tentang kapan dan dari mana pengguna telah memasukkan sistem. Biasanya modul ini ditandai dengan jenis sesi dan bendera opsional.

Modul pam_limits.so memungkinkan Anda untuk memaksakan berbagai pembatasan pada pengguna yang masuk. Pembatasan ini tidak berlaku untuk pengguna root (atau pengguna lain dengan pengidentifikasi nol). Keterbatasan diatur pada level login dan tidak global atau permanen, hanya bertindak dalam input yang sama.

Modul PAM_LASTFILE.SO menerima beberapa catatan (item), membandingkannya dengan daftar dalam file dan berdasarkan pada hasil perbandingan, mengembalikan kesuksesan (kesuksesan) atau kegagalan (kegagalan). Parameter dari modul ini adalah sebagai berikut:

Item \u003d [pengguna terminal | Remote_uzel | Pengguna Remote | Grup | sarung]

Sense \u003d (status untuk kembali; ketika perekaman ditemukan dalam daftar, jika tidak statusnya berlawanan dengan yang ditentukan)

file \u003d / full / path / dan / file_name - onerR \u003d (status apa yang dikembalikan dalam kasus kesalahan)

Arr1u \u003d [user | @ group] (menentukan pengguna atau grup yang dibatasi oleh pembatasan hanya untuk item tampilan item \u003d [terminal | remote_uelle | selubung], untuk item tampilan item \u003d [pengguna | Pengguna Remote | Group] diabaikan)

Modul PAM_NOLOGIN.SO digunakan ketika mengotorisasi jenis Auth dengan bendera yang diperlukan. Modul ini memeriksa apakah file / etc / nologin ada, dan jika tidak, kemudian mengembalikan nilai keberhasilan (kesuksesan), jika tidak isi file ditampilkan kepada pengguna dan mengembalikan nilai kegagalan (kegagalan). Modul ini biasanya digunakan dalam kasus di mana sistem belum sepenuhnya dimasukkan ke dalam operasi atau ditutup sementara untuk pemeliharaan, tetapi tidak terputus dari jaringan.

Modul pam_permit.so adalah opsional untuk modul PAM_DENY.SO. Itu selalu mengembalikan nilai keberhasilan (kesuksesan). Setiap parameter yang ditransmisikan oleh modul diabaikan.

Modul PAM_PWDB.SO menyediakan antarmuka ke file passwd dan bayangan. Parameter berikut dimungkinkan:

Debug - merekam informasi debug ke file log;

Audit - Informasi Debug tambahan untuk mereka yang tidak cukup informasi debugging biasa;

Use_first_pass - jangan pernah meminta kata sandi untuk pengguna, dan mengambilnya dari modul stack sebelumnya;

Try_first_pass - cobalah untuk mendapatkan kata sandi dari modul sebelumnya, jika terjadi kegagalan untuk meminta pengguna;

Use_Authtok - Kembalikan nilai kegagalan (kegagalan) Jika Pam_Authtok belum diinstal, jangan meminta kata sandi untuk pengguna, dan ambil dari modul stack sebelumnya (hanya untuk setumpuk modul kata sandi);

Not_set_pass - jangan menginstal kata sandi dari modul ini sebagai kata sandi untuk modul selanjutnya;

Bayangan - memelihara sistem kata sandi bayangan;

UNIX - Tempatkan kata sandi ke file / etc / passwd;

MD5 - pada perubahan kata sandi berikutnya, gunakan kata sandi MD5;

Bigcrypt - dengan perubahan kata sandi berikutnya, gunakan kata sandi DECC2;

NoDelay - Nonaktifkan penundaan acean tunggal dengan otorisasi yang tidak berhasil.

Modul pam_rhosts_aututh.so memungkinkan / melarang penggunaan file.rhosts atau hosts.equiv. Selain itu, ia juga memungkinkan / melarang penggunaan entri "berbahaya" dalam file-file ini. Parameter dari modul ini adalah sebagai berikut:

No_hosts_equiv - abaikan file /etc/hosts.equiv;

No_rhosts - abaikan file / etc / riths atau ~ / .rhosts;

Debug - untuk mencatat informasi debug;

Nowarn - jangan tampilkan peringatan;

Menekan - jangan menampilkan pesan apa pun;

Promiscuous - memungkinkan penggunaan simbol wildcard "+" di bidang apa pun.

Modul pam_rootok.so mengembalikan nilai kesuksesan (kesuksesan) untuk setiap pengguna dengan nol pengidentifikasi. Ditandai dengan bendera yang cukup, modul ini memungkinkan akses ke layanan tanpa menentukan kata sandi. Parameter pada modul hanya satu: debug.

Modul pam_securetty.so hanya dapat digunakan untuk superctures. Modul ini berfungsi dengan file / etc / securetty, memungkinkan Superuser untuk masuk ke sistem hanya melalui terminal yang tercantum dalam file ini. Jika Anda ingin mengizinkan input superuser ke sistem melalui telnet (ttyp pseudo-terminal), maka Anda harus menambahkan string ke file ini untuk ttyp0-255, atau untuk mengomentari panggilan pam_securetty.so dalam file login.

Modul PAM_SHELLS.SO mengembalikan nilai keberhasilan jika shell pengguna yang ditentukan dalam file / etc / passwd hadir dalam daftar shell dari file / etc / shells. Jika file / etc / passwd tidak menetapkan shell apa pun, itu dimulai / bin / sh. Jika file / etc / passwd menentukan cangkang yang hilang dalam daftar / etc / shells, modul mengembalikan nilai kegagalan (kegagalan). Hak untuk menulis ke file / etc / shell seharusnya hanya memiliki superuser.

Modul PAM_STRESS.SO digunakan untuk mengontrol kata sandi. Dia memiliki banyak parameter, termasuk debug konstan, tetapi secara umum, hanya dua minat yang dari semua parameter:

Rootok - biarkan superuser mengubah kata sandi pengguna tanpa memasukkan kata sandi lama;

Kedaluwarsa - dengan parameter ini, modul dieksekusi seolah-olah kata sandi pengguna sudah valid sudah kedaluwarsa.

Parameter modul lainnya memungkinkan Anda untuk menonaktifkan salah satu dari dua mode ini, gunakan kata sandi dari modul lain atau lulus kata sandi ke modul lain, dll. Di sini saya tidak akan mempertimbangkan semua parameter dari modul, jadi jika Anda perlu menggunakannya Fitur khusus dari modul ini, baca deskripsi dalam dokumentasi modul.

Modul pam_tally.so di file /etc/pam.d tidak digunakan secara default. Modul ini menghitung upaya untuk meneruskan otorisasi. Dengan keberhasilan perikatan otorisasi, jumlah upaya dapat diatur ulang. Jika jumlah upaya koneksi yang tidak berhasil melebihi beberapa ambang batas, akses dapat dilarang. Secara default, informasi tentang upaya ditempatkan di file / var / log / faillog. Parameter global adalah sebagai berikut:

Onerr \u003d - apa yang harus dilakukan jika terjadi kesalahan, misalnya, tidak mungkin untuk membuka file;

File \u003d / full / path / dan / file_name - jika tidak ada, maka file default digunakan. Parameter berikut hanya masuk akal untuk tipe AUTH:

No_magic_root - termasuk menghitung jumlah upaya superuser (default tidak dilakukan). Berguna jika input superuser diizinkan ke sistem melalui telnet. Parameter berikut masuk akal hanya untuk jenis akun:

Deny \u003d n - menolak akses setelah n upaya. Saat menggunakan parameter ini, perilaku modul reset / no_reset bervariasi secara default dengan no_reset pada reset. Ini terjadi untuk semua pengguna, dengan pengecualian pengguna root (UID 0), kecuali parameter no_magic_root tidak digunakan;

No_magic_root - Jangan abaikan parameter deny untuk upaya oleh pengguna root. Ketika digunakan bersamaan dengan Parameter deny \u003d (lihat sebelumnya), perilaku reset diatur secara default untuk pengguna root, untuk semua pengguna lain;

Even_deny_root_account - memungkinkan penguncian akun superuser jika ada parameter no_magic_root. Ini dikeluarkan peringatan. Jika parameter no_magic_root tidak digunakan, maka terlepas dari jumlah upaya yang gagal akun superuser, berbeda dengan pengguna biasa, tidak akan pernah diblokir;

Reset - atur ulang penghitung jumlah upaya di pintu masuk yang sukses;

No_reset - bukan untuk mengatur ulang jumlah upaya di pintu masuk yang sukses; Digunakan secara default, kecuali parameter DENY ditentukan \u003d.

Modul pam_time.so memungkinkan Anda membatasi akses ke layanan tergantung pada waktu. Semua instruksi untuk konfigurasinya dapat ditemukan di file / etc / keamanan / waktu.conf. Itu tidak memiliki parameter: semuanya diatur dalam file konfigurasi.

Modul PAM_UNIX terlibat dalam masalah otorisasi ISWS yang biasa (biasanya alih-alih modul menggunakan PAM_PWDB.SO). Secara fisik modul ini terdiri dari empat modul, yang masing-masing sesuai dengan salah satu jenis bingkai: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so dan pam_unix_passwd.so. Modul untuk jenis akun dan parameter auth tidak memiliki. Modul untuk parameter tipe passwd hanya satu: ketat \u003d salah. Jika tersedia, modul tidak memeriksa kata sandi untuk resistansi terhadap peretasan, memungkinkan Anda untuk menggunakan kata sandi yang tidak aman (mudah menebak atau dipilih). Modul jenis sesi memahami dua parameter: debug dan jejak. Informasi debug dari parameter debug ditempatkan dalam file log informasi debug, seperti yang ditunjukkan dalam syslog.conf, dan informasi parameter jejak disebabkan sensitivitasnya - dalam log Authpriv.

Modul pam_warn.so mencatat pesan tentang panggilannya ke syslog. Parameter tidak memiliki.

Modul pam_wheel.so memungkinkan superuser hanya untuk anggota kelompok roda. The Wheel Group adalah grup sistem khusus yang anggotanya memiliki hak istimewa yang hebat daripada pengguna biasa, tetapi lebih kecil dari superuser. Kehadirannya mengurangi jumlah pengguna sistem dengan hak superuser, menjadikannya anggota kelompok roda dan dengan demikian meningkatkan keamanan sistem. Jika superuser hanya dapat dicatat menggunakan terminal, modul ini dapat digunakan untuk membuat pekerjaan yang tidak dapat diakses untuk pengguna melalui telnet dengan hak superuser, menolak mereka untuk mengakses jika mereka bukan milik grup wheelmoduil menggunakan parameter berikut:

Debug - logging informasi debug;

Use_uid - definisi kepemilikan berdasarkan ID pengguna saat ini, dan bukan apa yang ditugaskan untuk itu saat memasuki sistem;

Kepercayaan - Dalam kasus afiliasi pengguna ke kelompok roda, kembalikan nilai kesuksesan (kesuksesan), dan tidak diabaikan (abaikan);

Tolak - mengubah arti dari prosedur sebaliknya (pengembalian dana tidak berhasil). Dalam kombinasi dengan Group \u003d memungkinkan Anda untuk menolak akses ke anggota grup ini.

Catatan -

Katalog / etc / keamanan secara langsung terkait dengan direktori /etc/pam.d, karena berisi file konfigurasi berbagai modul bingkai yang disebabkan dalam file dari /etc/pam.d.

Entri RAM dalam file log

Daftar. 1.9. Konten / var / log / aman

11 Jan 16:45:14 Chiriqui Pam_pwdb: (SU) Sesi dibuka untuk root pengguna

11 Jan 16:45:25 Chiriqui Pam_pwdb: (Su) Sesi ditutup untuk Root pengguna

11 Jan 17:18:06 Chiriqui Login: Gagal Login 1 dari (null) untuk David,

Kegagalan otentikasi.

11 Jan 17:18:13 Chiriqui Login: gagal login 2 dari (null) untuk David.

Kegagalan otentikasi.

11 Jan 17:18:06 Chiriqui Login: Gagal Login 1 dari (null) untuk David.

Kegagalan otentikasi.

11 Jan 17:18:13 Chiriqui Login: Gagal Login 2 dari (null) untuk David,

Kegagalan otentikasi.

11 Jan 17:18:17 Chiriqui Pam_pwdb: (Login) Sesi dibuka untuk pengguna David

11 Jan 17:18:17 Chiriqui - David: Login di Ttyl oleh David

11 Jan 17:18:20 Chiriqui Pam_pwdb: (login) Sesi ditutup untuk pengguna David

Setiap rekaman dimulai dari tanggal, waktu dan nama simpul. Setelah itu, nama modul bingkai dan pengidentifikasi proses tertutup dalam tanda kurung persegi. Kemudian, dalam tanda kurung, nama pembatasan layanan akan datang. Untuk listing 1.9 adalah su atau login. Setelah nama layanan, "sesi" (sesi terbuka) atau "sesi" (sesi ditutup).

Entri yang mengikuti catatan dengan "sesi" adalah pesan tentang memasukkan sistem dari mana Anda dapat mengetahui siapa dan dari mana ia memasuki sistem.

Pertanyaan-pertanyaan berikut dipertimbangkan:

Apa grup pengguna dan grup pengguna pribadi default;

Ubah pengguna / grup;

Cara mengubah pengguna / grup memengaruhi antarmuka grafis;

Keamanan dan pengguna;

Keamanan dan kata sandi;

Perlindungan kata sandi;

Memilih kata sandi yang baik;

Peretasan kata sandi.

Grup default.

Saat ini, pembatasan pada pengguna simultan milik hanya untuk satu kelompok tidak ada lagi. Setiap pengguna dapat berpenduduk bersamaan dengan beberapa kelompok. Pada perintah Newgrp, pengguna menjadi anggota grup yang ditentukan dalam grup, sementara grup ini menjadi untuk pengguna ini. grup Login. (Logingroup). Pada saat yang sama, pengguna terus menjadi anggota kelompok di mana ia masuk sebelum perintah NewGRP. Grup Login adalah grup yang menjadi pemilik grup dari file pengguna.

Perbedaan antara kelompok default dan kelompok pengguna pribadi adalah tingkat keterbukaan kedua skema ini. Dalam hal skema default, setiap pengguna dapat membaca (dan sering berubah) file pengguna lain. Dengan grup pribadi, membaca atau menulis file yang dibuat oleh pengguna lain hanya mungkin jika pemiliknya secara eksplisit memberikan hak atas operasi ini kepada pengguna lain.

Jika diperlukan bahwa pengguna dapat bergabung dan meninggalkan grup tanpa intervensi administrator sistem, kata sandi dapat ditugaskan ke grup ini. Pengguna dapat menggunakan hak istimewa dari grup tertentu hanya jika itu miliknya. Ada dua opsi di sini: baik itu milik grup dari saat masuk ke dalam sistem, atau itu menjadi anggota kelompok selanjutnya, setelah ia mulai bekerja dengan sistem. Sehingga pengguna dapat bergabung dengan grup yang bukan miliknya, kata sandi harus ditugaskan ke grup ini.

Secara default, kata sandi grup tidak digunakan dalam ASWS, sehingga file Gshadow di direktori / etc tidak.

Jika Anda terus-menerus hanya menggunakan salah satu program untuk mengelola pengguna, Anda terus-menerus menggunakan salah satu program - useradd, lisa atau coas, - file pengaturan pengguna diperoleh lebih konsisten dan lebih mudah disertai.

Keuntungan dari skema default dengan grup default adalah memfasilitasi pembagian file, karena tidak perlu mengurus hak akses. Skema ini menyiratkan pendekatan terbuka untuk sistem sesuai dengan prinsip "semua yang tidak dilarang diperbolehkan."

Mengkonfigurasi parameter pengguna secara default adalah tugas prioritas tinggi yang segera mengikuti ketika Anda mengatur sistem.

Grup Pengguna Swasta

Grup pengguna pribadi memiliki nama yang bertepatan dengan nama pengguna. Grup pribadi dibuat dalam kelompok login, jadi secara default, yaitu, jika atribut direktori tidak meresepkan hal lain, ditugaskan sebagai pemilik grup semua file pengguna ini.

Keuntungan dari kelompok pribadi pengguna adalah bahwa pengguna tidak perlu berpikir tentang membatasi akses ke file mereka: dengan akses default ke file pengguna Dari saat ciptaan mereka akan terbatas. Di ISWS, ketika menggunakan grup pribadi, pengguna dapat membaca atau mengubah hanya file miliknya. Selain itu, hanya dapat membuat file hanya di direktori home Anda. Perilaku default ini dapat diubah oleh administrator atau pengguna sistem, dan baik pada tingkat file individual dan pada tingkat direktori.

Ada beberapa perintah, yang dengannya pengguna dapat mengontrol namanya dan / atau grup yang menjadi miliknya, atau dengan nama atau grup, pada orang yang dilakukan oleh program tersebut. Salah satu program ini adalah Newgrp.

Perintah NewGRP dapat dilakukan oleh pengguna mana pun. Ini memungkinkannya untuk bergabung dengan grup yang bukan miliknya, tetapi hanya jika kata sandi ditugaskan ke grup ini. Perintah ini tidak akan memungkinkan Anda untuk bergabung dengan grup tanpa kata sandi jika Anda bukan anggota grup ini.

Perintah NewGrp dapat digunakan sehubungan dengan grup, yang sudah menjadi pengguna. Dalam hal ini, Newgrp membuat grup login yang ditentukan. Grup pengguna dibagi menjadi dua jenis: Login Group dan semua kelompok lain yang menjadi milik pengguna ini. Namun, pengguna dapat menjadi anggota kelompok, bagaimanapun, sekelompok kelompok login di pengguna ini akan selalu ditugaskan pemilik grup dari file berbasis pengguna.

Selain perintah Newgrp, Chown dan ChGRP juga dapat digunakan untuk mengelola afiliasi file untuk file atau pengguna atau grup lain.

Area perintah NewGRP di lingkungan XWindow terbatas pada program Xterm di mana ia telah selesai: Dalam konteks grup baru, hanya program yang berjalan melalui terminal ini akan dijalankan, dan oleh karena itu pengguna tidak dapat mengubah grup login untuk program Berlari melalui Dispatcher Window. Sebuah program yang selalu perlu dilakukan dalam konteks kelompok sekunder dapat dijalankan melalui pengaturan skrip grup login yang diperlukan untuk itu.

Sistem XWindow selalu memperkenalkan kesulitan tambahan. DI kasus ini Kesulitan-kesulitan ini tidak terkait langsung dengan X, dan mengikuti dari logika kerja / etc / grup dan / etc / gshadow. Mereka yang tidak menggunakan kata sandi bayangan untuk kelompok, terutama khawatir tentang apa. Namun dalam kasus X, tetapkan grup yang dilindungi kata sandi dari skrip sederhana, untuk grup pengguna sekunder yang tidak memerlukan input kata sandi, perubahan grup sangat sederhana. Berikut ini adalah skenario berikut:

sG - GIFS -C / USR / X11R6 / BIN / XV &

Sebagai hasil dari awal skrip ini, program XV akan diluncurkan, kelompok utama yang akan menjadi grup GIFS. Apa yang harus didapat.

Lebih sulit bagi mereka yang menggunakan kata sandi Grup Shadow, karena dalam hal ini, ketika mengeksekusi skrip ini, pesan kesalahan muncul di layar. Ketika pengguna tercantum dalam file / etc / groups, salah satu dari mereka secara otomatis dianggap sebagai anggota segera setelah masuk ke sistem. Namun, dalam kasus kata sandi bayangan, daftar pengguna grup dipindahkan ke file / etc / gshadow, sehingga pengguna masuk ke sistem tidak dikreditkan oleh mesin kepada anggotanya, tetapi dapat bergabung menggunakannya. perintah NewGRP atau untuk melakukan program apa pun dari namanya dengan perintah menggunakan perintah SG. Masalahnya adalah bahwa dari sudut pandang X, pengguna ini (yang belum tentu pengguna, diprakarsai oleh sesi kerja X), tidak memiliki hak untuk menginstal koneksi. Oleh karena itu, untuk grup kata sandi yang tidak dilindungi, skenario yang dikurangi sebelumnya berubah sebagai berikut:

xhosts + lozalhost.

sG - GIFS -C / USR / X11R6 / BIN / XV &

String yang ditambahkan memungkinkan Anda untuk mengakses layar. grup baru (Gif). Untuk sebagian besar workstation, ini tidak boleh mengarah pada masalah keamanan yang signifikan, karena string ini hanya memungkinkan Anda untuk mengakses layar ke pengguna simpul lokal (untuk informasi lebih lanjut tentang X dan Xhost, merujuk pada manual yang baik dari Administrator Sistem Linux).

CATATAN

Menggunakan server X (terutama pada khususnya dengan XDM atau KDM) mensyaratkan sejumlah seluk-beluknya, bahkan lebih diperburuk oleh aplikasi grafis, karena mereka dapat diluncurkan tidak hanya melalui baris perintah, tetapi juga menggunakan ikon pada desktop grafis.

Mengubah pengguna

CATATAN

Pengguna biasa tidak dapat menyebabkan sistem begitu banyak kerusakan sebagai superuser yang ceroboh. Konsekuensi dari tipografi Anda sebagai superuser bisa sangat fatal, hingga titik semua file sistem Anda (dan secara umum, semua file yang disimpan dalam sistem dapat dikatakan selamat tinggal. Di beberapa perusahaan, setelah itu, mereka dapat mengatakan "selamat tinggal" dan Anda.

Transformasi satu pengguna di tempat lain adalah perintah SU. Tim menerima namanya « pengganti. pengguna. » (Substitusi pengguna), tetapi karena paling sering digunakan untuk menjadi superuser ..

Perintah Su yang disebabkan tanpa argumen akan menanyakan kata sandi pengguna, setelah itu (menerima kata sandi yang benar sebagai respons) akan membuat Anda menjadi pengguna root. Perintah ini adalah layanan pembatasan layanan, sehingga semua aspek keamanannya dapat dikonfigurasi melalui file /etc/pam.d/su.

Catatan -

Sirkulasi Su tanpa menentukan nama pengguna (dengan atau tanpa atau tanpa defis atau tanpa), sebagai indikasi membuat Anda menjadi pengguna root.

Perintah sudo ini memungkinkan favorit bagi pengguna melakukan beberapa program pada hak-hak superstuser, dan pada pengguna yang mengajukan banding ke perintah ini tidak diminta sebagai kata sandi superuser, tetapi kata sandi sendiri. Menggunakan sudo seperti perintah SG. Pengguna memasuki sudo team_fer_mill, lalu kata sandi Anda, dan jika diizinkan, perintah yang ditentukan dilakukan dalam konteks hak superuser.

Keamanan dan pengguna.

Pengguna biasanya hanya tertarik pada cara masuk dan meluncurkan program yang Anda butuhkan. Minat keamanan muncul dari mereka hanya setelah kehilangan file penting. Tapi dia berlangsung lama. Setelah mengetahui bahwa langkah-langkah diterima, pengguna dengan cepat melupakan tindakan pencegahan apa pun.

Secara umum, bukan perawatan mereka - keamanan. Administrator sistem harus mempertimbangkan, menerapkan dan memelihara kebijakan keamanan yang memungkinkan pengguna untuk melakukan pekerjaan mereka tanpa terganggu oleh masalah perlindungan bagi mereka.

Bahaya utama bagi sistem, sebagai aturan, berasal dari dalam, dan tidak di luar. Sumbernya (terutama dalam sistem besar) dapat, misalnya, pengguna yang marah. Namun, perlu untuk menghindari kecurigaan yang berlebihan ketika kerugian yang disebabkan oleh ketidaktahuan diambil untuk niat jahat. Tentang bagaimana melindungi pengguna dari kerusakan yang tidak disengaja pada file mereka dan asing dijelaskan pada bagian pertama buku. Sebagai latihan menunjukkan, rata-rata pengguna tidak dapat merusak sistem. Hanya perlu dikhawatirkan tentang para pengguna yang dapat menemukan celah dalam mekanisme perlindungan dan benar-benar dapat menyebabkan kerusakan yang ditargetkan pada sistem. Tetapi pengguna seperti itu biasanya beberapa dan seiring waktu mereka diketahui, terutama jika Anda tahu apa yang harus diperhatikan. Grup Risiko termasuk pengguna yang, berdasarkan posisi mereka atau, berkat hubungan mereka, dapat mengakses tingkat hak istimewa akar. Karena Anda akan menguasai materi buku ini, Anda akan mencari tahu apa yang sebenarnya harus dianggap sebagai tanda-tanda masalah yang akan datang.

Secara default, pengguna menerima kontrol penuh atas katalog rumah mereka. Jika Anda menggunakan grup default, semua pengguna sistem milik grup yang sama. Setiap pengguna memiliki hak untuk mengakses direktur rumah pengguna lain dan file yang terletak di dalamnya. Saat menggunakan skema dengan kelompok pengguna swasta, salah satu pengguna sistem hanya memiliki akses ke direktori home mereka sendiri, dan direktori home dari pengguna lain tidak tersedia untuk itu.

Jika semua pengguna sistem diperlukan untuk menyediakan akses bersama ke beberapa berkas umumDianjurkan untuk membuat suatu tempat katalog umum khusus untuk tujuan ini, untuk memulai grup yang anggotanya akan menjadi semua pengguna (ini mungkin grup pengguna atau grup lain yang telah Anda buat), dan berikan grup ini dengan hak akses yang relevan untuk Katalog umum ini. Jika pengguna ingin membuat beberapa file-nya yang tersedia untuk pengguna lain, itu hanya dapat menyalinnya ke direktori ini dan memastikan bahwa file-file ini milik grup yang sama dengan semua pengguna adalah anggota.

Beberapa pengguna perlu digunakan atau tidak dapat dilakukan tanpa program yang tidak termasuk dalam kit ASC. Sebagian besar pengguna pada akhirnya akan memperoleh banyak file sendiri: dokumen, file konfigurasi, skenario, dll. Sistem OpenLinux tidak memberi pengguna perawatan khusus dalam mengatur file-file mereka, meninggalkan tugas ini kepada administrator sistem.

Struktur direktori yang dibuat di direktori home setiap pengguna baru ditentukan oleh konten direktori / etc / skel. Direktori berikut biasanya ada di khas / etc / skel:

Direktori ini digunakan untuk menyimpan (masing-masing) file biner, file sumber, file dokumen, dan file-file bervariasi lainnya. Banyak program default menawarkan untuk menyimpan file tipe tertentu di salah satu subdirektori ini. Setelah menerima penjelasan tentang pengangkatan katalog yang tersedia untuk mereka, pengguna biasanya akan mulai menggunakannya, karena menghilangkannya dari kebutuhan untuk menciptakan sesuatu. Jangan lupa untuk membuat direktori ~ / bin sebagai salah satu direktori terbaru yang tercantum dalam variabel pengguna jalur.

Keamanan dan kata sandi

Dikatakan bahwa di mana itu baik-baik saja, di sana dan istirahat, - pernyataan ini sering diingat ketika sampai pada signifikansi kata sandi dalam sistem keamanan. Secara umum, keandalan sistem keamanan ditentukan oleh banyak faktor, khususnya, layanan MSV sistem apa yang memungkinkan pengguna eksternal (apakah itu digunakan sebagai server web jika dimungkinkan untuk memasukkannya menggunakan telnet, dll. .).). Faktor mendefinisikan lain adalah kata sandi pengguna, yang membawa kami ke faktor lain - kepatuhan terhadap kebijakan pengguna. Pengguna sederhana tidak tahu apa-apa tentang keamanan. Jika kita menghormati pengguna dan tidak ingin mengubah sikapnya terhadap metode paksa keamanan, kita harus membuat sistem keamanan nyaman dan dapat dimengerti untuk itu. Yang paling sulit untuk memberikan kemudahan. Semuanya aman biasanya tidak terlalu nyaman (karena kenyamanan prediktabilitas dan unsilan tidak dikombinasikan dengan keselamatan) dan karenanya memasuki konflik dengan perilaku biasa orang-orang yang lebih suka semua cara yang paling mudah. Pada akhirnya, pengguna bekerja dengan sistem untuk melakukan pekerjaan yang dipercayakan kepada mereka, dan tidak menambahkan yang baru. Dalam urutan, pengguna dengan sengaja tidak mengikuti jalur paling sedikit resistensi saat bekerja dengan kata sandi, saya biasanya mencoba menjelaskan kepada mereka, yang diperlukan kata sandi dan mengapa penting untuk mempertahankan keselamatan mereka. Ini penting bukan dari posisi umum seperti "sistem keamanan rendah dapat meretas dan mencuri atau merusak file penting", dan dari posisi kepentingan pribadi pengguna.

Sebagian besar pengguna memahami pentingnya email untuk pekerjaan mereka. Namun demikian, mereka tidak menyadari bahwa ada yang masuk ke dalam sistem di bawah nama mereka mendapat kesempatan untuk menggunakan email mereka atas nama mereka terhadap mereka. Tanyakan kepada pengguna, apakah ia menggunakan email untuk keperluan pribadi. Kemungkinan besar, dia akan menjawab ya. Kemudian tanyakan kepadanya apakah dia harus menyelesaikan masalah bisnis penting melalui email. Tidak ada yang kurang dari mereka yang menjawab "tidak" setiap hari. Tetapi bahkan jika terjadi respons negatif, beberapa mitra bisnis dapat mempertimbangkan transaksi melalui email sebagai pengikat sebagai transaksi melalui telepon.

Setelah itu menjelaskan kepada pengguna itu email Terkadang sama dengan tanda tangan pribadinya. Dan meskipun berita utama pesan elektronik dapat diganti, dalam banyak kasus substitusi semacam itu juga ilegal sebagai tanda tangan palsu. Tetapi jika seseorang, dengan satu atau lain cara, setelah mempelajari kata sandi pengguna lain, akan memasuki sistem dengan namanya, maka itu, secara kiasan, akan dapat berlangganan tanda tangan orang lain. Setiap surat yang dikirim kepada mereka akan secara teknis tidak dapat dibedakan dari surat yang dikirim oleh pengguna sendiri. Praktek menyediakan kemampuan masuk seseorang dengan nama yang berbeda tidak diinginkan dan harus dihindari (pengecualian adalah administrator sistem yang menggunakan fitur ini untuk menguji skenario login dan parameter pengguna, tetapi untuk ini mereka tidak perlu tahu kata sandi ini pengguna). Fenomena yang tidak diinginkan harus dikaitkan dengan sistem di bawah nama orang lain (bahkan dengan izin dari pengguna lain). Seberapa tidak diinginkan? Jawaban atas pertanyaan ini ditentukan oleh tingkat keparahan kebijakan keamanan perusahaan.

Namun, pengguna perlu memahami bahwa ada cara lain yang tidak kurang berbahaya untuk mendapatkan akses yang tidak sah ke akun mereka. Kasus ini adalah yang paling umum ketika pengguna, takut melupakan kata sandi, membuatnya mudah dihafal, yang berarti menebak, atau merekam kata sandi pada selembar kertas yang sering melekat pada monitor. Sistem keamanan kata sandi didasarkan pada dua hal: nama pengguna yang konstan dan kata sandi yang berubah secara berkala. Kebanyakan orang tidak akan mengatakan kode PIN kepada siapa pun untuk mengakses rekening bank mereka, tetapi kata sandi pengguna mereka jauh dari sangat cemburu. Meskipun, tidak seperti situasi dengan rekening bank, di mana bagian konstan, yaitu, kartu kredit adalah objek fisik, akses yang masih diperlukan untuk mendapatkan, bagian konstan dari sistem keamanan kata sandi, yaitu, nama pengguna Dikenal kepada semua orang (setidaknya semua orang di perusahaan dan mereka yang dengannya pengguna ini melakukan korespondensi melalui email). Oleh karena itu, jika bagian variabel dicatat di suatu tempat atau mudah ditebak atau dipilih oleh program yang menelan kata-kata dari kamus, maka akun semacam itu tidak dapat diperhatikan terlindungi dengan baik.

Akhirnya, pengguna harus menyadari keberadaan metode ini menerima kata sandi sebagai "rekayasa sosial" (Socialengineering). Sebagian besar dari kita telah bertemu dalam hidup mereka setidaknya dengan satu orang yang dapat mengatakan "licin sudah." Orang-orang seperti itu memiliki kemampuan untuk meyakinkan orang lain dengan menggunakan argumen logis, untuk memberi mereka informasi yang mereka butuhkan. Tapi ini bukan satu-satunya metode yang mungkin Cari tahu kata sandi orang lain. Terkadang sudah cukup untuk tumpah.

Sarana oposisi terhadap insiden tersebut adalah perubahan kata sandi reguler. Anda dapat, tentu saja, mengubah waktu kata sandi dalam sepuluh tahun, tetapi lebih baik tidak mengambil celah di antara pergeseran terlalu lama, serta lebih baik untuk tidak membuatnya dan terlalu pendek, misalnya, sekali satu jam. Jangan mengubah kata sandi terlalu lama berarti memaparkan diri Anda pada risiko peretasan.

CATATAN-

Penetrasi orang luar dalam sistem dengan kedok pengguna biasa dapat memiliki konsekuensi yang menyedihkan tidak hanya untuk file pengguna ini, tetapi juga untuk seluruh sistem secara keseluruhan, karena semakin banyak orang luar ini akan tahu tentang sistem Anda, itu Lebih mudah untuk menemukan pemotongan dalam perlindungannya.

Harap dicatat bahwa sebelum memulai pekerjaan, script melakukan beberapa pemeriksaan: apakah itu berjalan di tingkat hak istimewa root, apakah UID awal sibuk dan sebagainya. Namun, tidak mungkin untuk mengatakan bahwa dia memeriksa semuanya.

Hacking Passwords.

Salah satu cara untuk memverifikasi keamanan sistem menyiratkan bahwa untuk menempatkan diri Anda di tempat penyerang dan mencoba untuk berpikir dan bertindak sebagai seseorang yang mencoba untuk mematahkan pertahanan. Ini berarti bahwa perlu untuk berjalan di antara pengguna, memeriksa apakah kata sandi yang direkam tidak terpasang ke monitor apa pun, apakah ada yang meninggalkan siapa pun di atas meja dengan sepotong data identifikasi di atasnya, atau "lewat" pada pagi itu saat itu Pengguna memasukkan sistem (mungkin, akan mungkin untuk memperhatikan bagaimana salah satu dari mereka akan memanggil kata sandi pada keyboard).

Ini juga berarti bahwa Anda harus memperhatikan orientasi monitor pengguna, memiliki akses ke informasi sensitif, untuk mengetahui apakah itu terlihat oleh orang lain. Selanjutnya, ketika pengguna-pengguna ini berangkat dari tempat kerja mereka, apakah mereka meluncurkan program screensaver yang diblokir dengan kata sandi, dan mungkin keluar dari sistem atau tidak melakukan apa-apa?

tapi cara terbaik Periksa keamanan kata sandi kekuatan dan hubungan pengguna untuk itu - cobalah untuk meretas kata sandi pengguna. Eksekusi reguler dari program peretasan kata sandi dapat memberikan penilaian benteng yang cukup baik dari sistem perlindungan kata sandi Anda.

MSV 3.0.- OS multitasking multiplayer yang dilindungi dengan pemisahan waktu yang dikembangkan berdasarkan Linux. Sistem operasi menyediakan sistem prioritas multi-level dengan pemindahan multitasking, organisasi memori virtual dan dukungan jaringan penuh; Bekerja dengan konfigurasi multiprocessor (SMP - simetris multiprocessing) dan cluster pada platform Intel, MIPS dan SPARC. Fitur-fitur MSV 3.0 - Built-in Cara Perlindungan terhadap akses tidak sah yang memenuhi persyaratan Dewan Negara Komisi Teknis Negara di bawah Presiden Federasi Rusia untuk 2 dana teknologi komputasi. Alat perlindungan termasuk kontrol akses wajib, daftar kontrol akses, panutan dan alat audit yang dikembangkan (logging acara).

Sistem file ISWS 3.0 mendukung nama file yang lama hingga 256 karakter dengan kemampuan untuk membuat nama file dan direktori berbahasa Rusia, tautan simbolis, kuota dan daftar hak akses. Ada kemampuan untuk memasang lemak dan sistem file NTFS, serta ISO-9660 (CDS). Mekanisme kuota memungkinkan Anda untuk mengontrol penggunaan pengguna ruang disk, jumlah proses yang berjalan dan jumlah memori yang dialokasikan untuk setiap proses. Sistem dapat dikonfigurasi untuk menerbitkan peringatan ketika pengguna yang diminta oleh pengguna didekati dengan kuota yang diberikan.

MSV 3.0 mencakup sistem grafis berdasarkan Jendela X. Dua manajer jendela disuplai untuk bekerja di lingkungan grafis: ICEWM dan KDE. Sebagian besar program di ISW difokuskan pada bekerja di lingkungan grafis, yang menciptakan kondisi yang menguntungkan tidak hanya untuk operasi pengguna, tetapi juga untuk transisi mereka ke OS Windows pada MSV.

MSVS 3.0 dikirim dalam konfigurasi, yang kecuali kernel mencakup serangkaian produk perangkat lunak tambahan. Diri sistem operasi Digunakan sebagai elemen dasar dari organisasi tempat kerja otomatis (lengan) dan pembangunan sistem otomatis. Perangkat lunak tambahan dapat diinstal pada pilihan, dan difokuskan pada otomasi maksimum dan administrasi domain dan administrasi, yang mengurangi biaya pelayanan ARMM dan berkonsentrasi pada pengguna tugas target mereka. Program instalasi memungkinkan Anda untuk menginstal OS dari CD boot atau di jaringan melalui protokol FTP. Biasanya, server instalasi diinstal dan dikonfigurasi dari disk, dan kemudian instalasi komputer lain diinstal melalui jaringan. Server instalasi dalam domain yang berfungsi melakukan tugas memperbarui dan memulihkan perangkat lunak di tempat kerja. Versi baru ditunda hanya di server dan kemudian pembaruan otomatis pada tempat kerja terjadi. Ketika rusak oleh di tempat kerja (misalnya, ketika Anda menghapus file program atau injak-injak checksum file yang dapat dieksekusi atau konfigurasi), perangkat lunak yang sesuai secara otomatis ditenteramkan.

Saat memasang administrator, diusulkan untuk memilih salah satu jenis instalasi standar, atau instalasi khusus. Jenis standar digunakan ketika diinstal pada pekerjaan standar dan mencakup opsi standar utama untuk mengatur pekerjaan berdasarkan pantat 3.0 (Gbr. 1). Setiap tipe standar mendefinisikan satu set produk perangkat lunak yang diinstal, konfigurasi disk, satu set sistem file dan sejumlah pengaturan sistem. Instalasi khusus memungkinkan kami untuk secara eksplisit mengatur semua karakteristik sistem akhir yang ditunjukkan hingga pemilihan paket perangkat lunak individu. Ketika Anda memilih instalasi khusus, Anda dapat menginstal ASW 3.0 ke komputer dengan yang sudah diinstal oleh sistem operasi lain (misalnya, Windows NT).

MSVS 3.0 mencakup sistem dokumentasi terpadu (ECD) dengan informasi tentang berbagai aspek fungsi sistem. ESD terdiri dari server dokumentasi dan basis data yang berisi deskripsi deskripsi, akses yang dimungkinkan melalui browser. Saat memasang perangkat lunak tambahan dalam basis data ECD, bagian referensi yang sesuai diatur. ESD dapat ditempatkan secara lokal di setiap tempat kerja, atau server dokumentasi khusus dapat dialokasikan dalam domain MSVS. Opsi yang terakhir bermanfaat untuk menggunakan dimensi besar di domain ISWS untuk menyimpan total ruang disk, menyederhanakan proses manajemen dan memperbarui dokumentasi. Akses ke dokumentasi dari pekerjaan lain dimungkinkan melalui browser web yang disertakan dengan MSV 3.0.

MSV 3.0 adalah Russifikasi baik dalam mode alfanumerik dan grafis. Terminal virtual didukung, beralih antara yang dilakukan menggunakan kombinasi tombol.

Poin kunci dari sudut pandang integritas sistem adalah operasi pendaftaran pengguna baru dari ISWW, ketika atribut pengguna didefinisikan, termasuk atribut keamanan, sesuai dengan sistem kontrol akses akan terus mengontrol pengguna operasi. Dasar untuk model mandat adalah informasi yang dimasukkan ketika mendaftarkan pengguna baru.

Untuk menerapkan kontrol akses diskresioner, mekanisme tradisional digunakan untuk mekanisme UNIX dari hak akses dan daftar hak akses (ACL - Daftar Kontrol Akses). Kedua mekanisme diimplementasikan pada level berkas sistem MSV 3.0 dan berfungsi untuk menetapkan hak untuk mengakses objek sistem file. BIT memungkinkan Anda untuk menentukan hak untuk tiga kategori pengguna (pemilik, grup, lainnya), namun ini bukan mekanisme yang cukup fleksibel dan diterapkan ketika menentukan hak untuk sebagian besar file OS, bagian yang paling banyak digunakan. Dengan bantuan daftar ACL, Anda dapat menetapkan hak pada tingkat pengguna individu dan / atau grup pengguna, dan dengan demikian mencapai detail yang signifikan dalam tugas hak. Daftar diterapkan saat bekerja dengan file yang diperlukan, misalnya, untuk menetapkan hak akses yang berbeda untuk beberapa pengguna tertentu.

Salah satu kelemahan penting dari sistem Unix tradisional, dalam hal keamanan, adalah ketersediaan superuser yang memiliki kekuatan seluas mungkin. Fitur MSV 3.0 - Desentralisasi fungsi Superuser. Tugas Administrasi Sistem dibagi menjadi beberapa bagian, untuk melakukan konfigurasi, keamanan dan administrator audit. Dari sudut pandang sistem operasi, administrator ini adalah pengguna biasa yang diberi kesempatan untuk meluncurkan program administrasi khusus dan akses ke file konfigurasi yang sesuai. Membuat akun administrator sistem terjadi pada instalasi fase 3.0 instalasi.

Masing-masing administrator bertanggung jawab untuk melakukan tugas-tugas mereka, misalnya, administrator konfigurasi mengelola sistem file, antarmuka jaringan, pengaturan layanan sistem, dll. Administrator keamanan bertanggung jawab atas kebijakan keamanan dan mengontrol pengaturan keamanan yang terkait dengan keamanan: panjang kata sandi minimum, jumlah upaya yang tidak berhasil dari login pengguna dan sejenisnya. Pada saat yang sama, semua peristiwa yang terkait dengan keamanan, termasuk administrator, direkam. Administrator audit yang mungkin, misalnya, log audit "bersih" bertanggung jawab untuk mengelola audit.

Desentralisasi fungsi Superuser memungkinkan Anda untuk mengimplementasikan prinsip "empat mata". Misalnya, pendaftaran pengguna baru MSVS 3.0 dilakukan dalam dua tahap. Pertama, administrator konfigurasi membuat akun untuk pengguna baru, dan kemudian administrator keamanan mendaftarkan pengguna baru dalam basis data sistem perlindungan. Hanya setelah itu menjadi mungkin untuk memasukkan pengguna baru dalam sistem.

Untuk mengeksekusi tugas administrasi untuk distribusi, paket "Alat Administrasi" mencakup program untuk mengelola pengguna, file, keamanan, audit, selebar jaringan dan pengaturan jaringan.

Tugas pertama yang harus dilakukan setelah menginstal ISW3.0 adalah membentuk administrator kebijakan keamanan yang diterapkan di organisasi ini. Salah satu komponen tugas ini adalah untuk mengkonfigurasi mekanisme kontrol akses wajib. Pada Gambar. 2 Menunjukkan bentuk program manajemen mekanisme wajib yang memungkinkan Anda untuk mengkonfigurasi himpunan atribut mandat subjek dan objek MSV 3.0. Di bagian atas jendela program, tingkat keamanan dikonfigurasi, nilai yang mungkin dapat, misalnya, "bukan rahasia" dan "secara rahasia". Bagian bawah menciptakan serangkaian kategori yang menggambarkan bidang studi yang meliputi informasi: "Karyawan" "sarana teknis", dll. Dimungkinkan untuk membuat utusan kategori (misalnya, "kategori_1_2"), termasuk beberapa kategori terpisah dan verts lainnya. Bekerja dengan level paling nyaman saat menyajikannya dalam bentuk desimal, karena level memiliki organisasi hierarkis. Pada gilirannya, ketika bekerja dengan kategori, lebih mudah untuk mewakili mereka dalam bentuk biner, karena kategori bukan set hierarkis.

Pada Gambar. 3 adalah pandangan dari salah satu program manajemen Windows. Memulai program ini hanya dimungkinkan oleh konfigurasi dan administrator keamanan. Dalam hal ini, masing-masing dari mereka dapat menetapkan atau mengubah hanya atribut pengguna, yang termasuk dalam kompetensinya.

Pada Gambar. 4 menunjukkan contoh jendela program manajemen file yang memungkinkan Anda untuk melihat dan mengubah nilai atribut file. Visualisasi struktur pohon sistem file di sisi kiri jendela memfasilitasi menavigasi dan pilih file yang diinginkan. Atribut dari file yang dipilih dikelompokkan sesuai dengan tujuan fungsionalnya ditampilkan di sisi kanan. Untuk setiap kelompok mengalokasikan tab terpisah. Tab "dasar" menyajikan atribut file tradisional seperti jenis, ukuran, jumlah referensi kaku, atribut diskresioner dan tag waktu. Fitur file ISWS 3.0 adalah kehadiran atribut wajib dan memperluas atribut diskresioner dengan daftar hak akses. Atribut mandat disajikan pada tab "Mandate Tag". Untuk mengelola file ACL menyoroti tab "Hak Akses". Selain itu, ketika Anda memilih direktori di mana ACL default dimungkinkan, tab "hak akses default" diaktifkan. Pada Gambar. 5 menunjukkan jendela tampilan file ACL. Anda dapat menambahkan kedua entri tunggal untuk pengguna atau grup dan banyak entri dengan hak akses yang sama. Seperti dalam kasus program sebelumnya, peluncuran program manajemen file hanya dimungkinkan oleh konfigurasi dan administrator keamanan. Masing-masing dari mereka hanya dapat mengubah atribut file yang dikendalikan oleh kompetensinya.

Layanan MSV 3.0.

ASA, seperti sistem operasi lain, digunakan untuk membuat kondisi optimal untuk melakukan layanan dan aplikasi yang memberikan otomatisasi dan meningkatkan efisiensi pengguna.

Salah satu layanan utama OS adalah layanan cetak. MSVS 3.0 mencakup sistem pencetakan yang memungkinkan Anda untuk mencetak dokumen sesuai dengan persyaratan untuk sistem yang dilindungi. Di antara fitur-fitur sistem pencetakan MSV 3.0, yang membedakannya dari sistem serupa mendukung mekanisme kontrol akses, yang memungkinkan Anda untuk menentukan tingkat privasi dokumen dan secara otomatis mengarahkan tugas ke printer tertentu sesuai dengan aturan pencetakan yang diadopsi di organisasi ini. Setiap lembar cetak ditandai secara otomatis oleh atribut akuntansi dokumen, termasuk nama pengguna, dicetak oleh dokumen dan nama komputer dari mana tugas dikirim. Salah satu kelebihan sistem pencetakan adalah invarian terkait dengan aplikasi yang beralih ke layanan cetak. Ini berarti bahwa tidak terikat pada aplikasi yang ada dan tidak berubah ketika aplikasi baru muncul. Akibatnya, aplikasi yang ditampilkan harus memperhitungkan penandaan lembaran dan meninggalkan ruang kosong untuk ini. Fakta pencetakan dicatat dalam jurnal khusus untuk memperhitungkan dokumen cetak. Untuk bekerja dengan majalah ini, program khusus digunakan, memungkinkan Anda untuk melihat, mengedit beberapa bidang catatan dan mencetaknya (Gbr. 6).

Elemen penting dari sistem perlindungan ISWS 3.0 adalah sistem identifikasi / otentikasi. Untuk otentikasi yang berhasil, pengguna harus memasukkan kata sandi yang benar. Jelas, kualitas kata sandi yang dipilih mendefinisikan resistansi sistem untuk menembus penyusup. Untuk generasi kata sandi pengguna di MSA 3.0, termasuk program khusus (Gbr. 7).

Untuk memantau komputer domain, sistem fungsi (CF), yang terdiri dari server dan agen khusus, diterapkan. Agen diinstal pada komputer domain dan melaporkan ke server kondisi mereka. Sistem CF memungkinkan Anda untuk menerima informasi tentang berbagai aspek fungsi komputer (keadaan proses, subsistem disk, subsistem kernel) dan memantau kinerja layanan jaringan (FTP, SSH, dll.) Informasi yang memasuki server terakumulasi dalam jurnal khusus, yang memungkinkan Anda untuk mengamati tidak hanya keadaan domain saat ini, tetapi juga mempelajari kondisinya untuk seluruh periode fungsi sistem.

Domain msv.

MSVS 3.0 digunakan untuk membuat domain berdasarkan pada sistem otomatis yang dilindungi. Secara fisik domain diimplementasikan sebagai jaringan komputer lokal, yang sebagian besar berfungsi untuk mengatur pekerjaan pengguna. Beberapa dari mereka diperlukan untuk mengatur sumber daya publik, seperti server file, server database, server cetak, server mail. Secara logis, domain MSVS adalah berbagai komputer yang menerapkan kebijakan keamanan tunggal dan membentuk ruang administrasi tunggal. Sebuah kebijakan keamanan tunggal menyiratkan bahwa semua komputer didukung oleh satu set tunggal subjek dan objek akses, atribut keamanan, dan ada aturan tunggal untuk kontrol akses diskresioner dan wajib. Dalam hal ini, domain MSVS juga merupakan domain keamanan.

Ruang administrasi terpadu menyiratkan administrasi sumber daya informasi yang seragam (komputer) dari domain MSV. Fondasinya adalah ruang terpadu pengguna domain MSVS.

• Untuk setiap pengguna domain, akun didukung, yang mencakup informasi pengguna yang diperlukan (nama logis, kata sandi, nama lengkap dan atribut keamanan pengguna). Informasi ini Digunakan untuk melakukan prosedur identifikasi / otentikasi pengguna di pintu masuk ke domain MSVS.
• Di setiap domain komputer dengan sumber daya umum (server) di mana pengguna ini dapat bekerja, ada akun yang sama untuk itu seperti di tempat kerjanya.
• Di tempat kerja administrator keamanan, database dengan informasi tentang semua pengguna domain didukung, yang mencakup akun mereka, informasi yang ditingkatkan (misalnya, posisi, nama / departemen nomor), serta nama komputer dan semua server yang memiliki akses.

Dengan demikian, akun ini adalah satu untuk pengguna tertentu sebagai bagian dari domain MSVS dan melaluinya bahwa akses pengguna dikendalikan oleh sumber daya informasi domain.

Domain heterogen

Pada saat ini Ketika mengembangkan sistem otomatis yang dilindungi, jaringan lokal yang ada diambil sebagai dasar, di mana server dan pekerjaan didominasi oleh database Windows Nt. Ketidakmungkinan transisi instan dari suatu organisasi pada platform MSV menghasilkan masalah integrasi dengan Windows. Di sini Anda dapat mengalokasikan dua aspek: Pilihan strategi optimal untuk transisi ke istww dan kesulitan teknis yang menyertai transisi ini.

Sebagai hasil dari analisis arus informasi dalam sistem otomatis yang aman, area paling penting dalam hal keamanan. Pertama-tama, area-area ini termasuk arus impor / ekspor, karena melalui aliran ini bahwa informasi rahasia (baik dari luar dan yang dihasilkan di dalam) jatuh ke dunia luar: cetak server dan informasi ekspor pada disk dan kaset. Area penyimpanan informasi kedua yang paling penting adalah: Server file dan workstation pengguna.

Dalam proses memutar jaringan Windows ke sistem otomatis yang dilindungi, bidang-bidang jaringan tersebut harus dimodifikasi terutama, yang paling penting dalam hal keamanan. Langkah pertama adalah meminimalkan dan memantau arus informasi keluaran. Seperti disebutkan, ISWS 3.0 memiliki sistem akuntansi yang dikembangkan dan mengendalikan pencetakan dokumen, dan memungkinkan jaringan dibangun atas dasarnya untuk mengimplementasikan persyaratan untuk menerbitkan dokumen yang dicetak ke salinan yang padat ke salinan yang padat.

Langkah kedua adalah mentransfer server file dari platform Windows. Dalam MSV 3.0, sistem kontrol akses pengguna yang dikembangkan disediakan untuk sumber informasi sistem operasi, yang memungkinkan Anda mengatur perlindungan data pengguna di tingkat yang tepat.

Ketika mengintegrasikan ISWU dan Windows, sejumlah masalah teknis muncul, yang paling penting adalah masalah masalah kompatibilitas / skema otentikasi pengguna, prinsip-prinsip kontrol akses pengguna yang digunakan dalam sistem pengkodean Cyrillic ini.

Dua masalah pertama adalah bahwa di lingkungan Windows NT, sirkuit login pengguna didukung dalam domain NT berdasarkan satu database yang disimpan pada server kontrol khusus - pengontrol domain. Skema ini pada dasarnya berbeda dari skema yang digunakan dalam MSV. Selain itu, dalam arsitektur Windows NT, tidak ada dukungan untuk kontrol akses mandat dan tidak mungkin untuk menampilkan serangkaian atribut keamanan dari sistem operasi ASW. Sistem Windows-System menggunakan pengkodean CP1251, sedangkan KOI8-R digunakan dalam MSV 3.0, namun, terakumulasi data (untuk bekerja di mana lingkungan Windows diperlukan) biasanya disimpan dalam CP1251. Dalam hal ini, presentasi pengguna ini, input dan pengeditannya terjadi pada lingkungan MSV, oleh karena itu perlu transcode "on the fly". Selain itu, untuk menyelesaikan tugas manajemen data (misalnya, tugas penyortiran data) Pengkodean CP1251 lebih dapat diterima daripada KOI8-R.

Untuk membangun sistem otomatis yang aman berdasarkan MSV 3.0 dengan kemungkinan kompatibilitas sementara dengan NT, sistem akses terminal dikembangkan (Gbr. 8). Sistem ini Memungkinkan Anda mengatur operasi dengan aplikasi Windows sebagai berikut: Server file dan cetak, serta tempat klien dibangun berdasarkan MSV 3.0, dan untuk bekerja dengan aplikasi Windows Ada server aplikasi berdasarkan Edisi Server Terminal NT, akses ke yang dilakukan dengan cara khusus.. Salah satu kelebihan dari opsi ini adalah fleksibilitas dalam mengatur pekerjaan pengguna, yang benar-benar mendapatkan kesempatan untuk bekerja secara bersamaan di dua lingkungan operasi dan menggunakan aplikasi dari masing-masing. Kerugiannya adalah kebutuhan untuk membuat server aplikasi dengan akses khusus, yang mengarah pada munculnya pembatasan kebijakan keamanan. Akibatnya, tugas mengintegrasikan MSV dan Windows NT diselesaikan dengan membuat domain MSVS dengan server aplikasi aplikasi berdasarkan NT dan menggunakan sistem akses terminal.

Mari kita pertimbangkan bagaimana pengguna bekerja di domain MSVS heterogen. Pengguna memasuki domain melalui lengannya. Untuk mengakses server aplikasi Windows NT, pengguna mengacu pada klien Akses Terminal. Dalam database khusus yang tersimpan di server aplikasi, ada korespondensi antara nama pengguna dan nama komputernya, yang digunakan saat menghubungkan drive jaringan untuk pengguna ini. Akibatnya, bekerja di sesi NT, pengguna sebagai disk jaringan di tempat kerjanya hanya melihat konten direktori home-nya, serta sumber daya domain bersama (server file dan printer). Ini dapat menjalankan aplikasi Windows, tetapi hanya akan bekerja dengan banyak file (nya atau umum) yang disimpan pada komputer dengan MSV 3.0.

Untuk mengatur pencetakan dokumen rahasia dalam domain, server cetak berdasarkan MSV dialokasikan, yang bertanggung jawab atas implementasi dan pemeliharaan pencetakan, yang mencegah reproduksi yang tidak tepat dari dokumen rahasia output. Untuk mencetak tidak ada informasi rahasia, menghubungkan printer lokal ke lengan. Pengguna, bekerja dengan aplikasi Windows atau ASW, mengirimkan dokumen pencetakan, dan tidak masalah di mana dokumen tersebut berada pada mesin lokal atau pada server file. Dengan bantuan dana ISWW, kerahasiaan dokumen dianalisis. Jika dokumen tersebut dirahasiakan, tugas dialihkan ke server cetak, jika tidak, dokumen tersebut dicetak secara lokal.

Opsi yang diusulkan memungkinkan Anda untuk mengatur transisi bertahap dari infrastruktur informasi Berdasarkan Windows NT untuk mengamankan sistem pemrosesan informasi otomatis berdasarkan MSV 3.0.

literatur

1. Gostekomissi Rusia. Dokumen kemudi. Perangkat komputer. Perlindungan terhadap akses tanpa izin ke informasi. Indikator perlindungan dari akses tidak sah ke informasi. Moskow, 1992.

2. D.V. Efanov. Sistem Pencetakan Dokumen // ACS dan Pengendali. 2001, №1.

Andrei Trewin - Karyawan Kementerian Pertahanan Federasi Rusia. Igor Zhukov, Dmitry Efanov ([Dilindungi Email]) - Karyawan dari Institut Penelitian All-Rusia Otomatisasi Kantor dalam Musim Semi Immocipasi (Moskow).

Dalam ulasan ini, saya akan mencoba untuk membuat salinan RedHat Enterprice Linux untuk kebutuhan RF Mo untuk melihat cara kerjanya pada perangkat keras modern. Isu terakhir ISWS sudah pada tahun 2011, tetapi masih terus "berguna" di pasukan Federasi Rusia:

Mulai menginstal

Kami akan menginstal di Laptop Fujitsu Lifebook N532, yang berfungsi secara stabil di Linux dan di Windows. Laptop ini dirilis pada 2012, hanya setahun lebih lambat dari MSV 5.0.

Booting Window - Cut-up Copy RedHat Enterprice Linux:

Mereka bahkan malas membuat jendela pemuatan normal, mengubah latar belakang / logo, menghapus tombol yang tidak perlu dan hanya itu.
Untuk melanjutkan instalasi, cukup tekan enter:

Pemasang dimuat dalam MS-DOS gaya retro, tetapi sebelum rilis Issu 5, hampir semua distribusi memiliki installer grafis. Di Debian, ada juga installer teks, tetapi jauh lebih mudah dan lebih jelas dari ini. Mereka bertanya kepada kami, periksa dvd instalasi atau tidak. Mari kita periksa untuk berjaga-jaga:

Disk direkam secara normal, tidak ada kesalahan. Selanjutnya kami diminta untuk memeriksa media tambahan, tetapi saya tidak memilikinya.

Boot alat penandaan disk dengan opsi penghapusan yang dipilih untuk semua bagian. Bagaimana jika petugas, berharap pada pikiran industri TI domestik cukup menekan Enter?
Sekarang lanjutkan ke markup disk. Di komputer ini menginstal dua OS lain dan saya memilih "Buat partisi Anda sendiri"

Kami memiliki 30GB ruang yang tidak diformat yang tidak digunakan, pilih "Gunakan ruang kosong dan buat partisi default" dan dapatkan kesalahan istirahat: Tidak mungkin untuk mendistribusikan bagian yang diminta

Klik "Ya" dan dapatkan kesalahan partisi otomatis:
Klik "Ya" dan pilih "Buat partisi Anda sendiri"
Karena "dosovsky fdisk" ini tidak menunjukkan seberapa sibuk dan gratis, sehingga saya tidak sengaja menghapus apa pun, saya memutuskan untuk melihat bagian-bagian di OS lain dan menekan reboot (Alt + Ctrl + Del yang saya ingat dari MSSO).
Komputer hanya digantung pada kata-kata ini, tetapi bereaksi terhadap kapslock. Kami sedang menunggu 15 menit dan cukup klik Reset. Kami memuat OS lain, kami yakin akan kebenaran pilihan partisi gratis, kami melanjutkan instalasi dan bereaksi terhadap langkah penandaan disk. Pemilihan sistem file tidak kaya di sini, hanya ext2, ext3 dan vfat (yang belum dipasang di layar).
Mari kita tinggalkan semuanya secara default, yaitu, kita akan menggunakan grub:
Cukup tekan enter.

Selanjutnya kami diminta untuk membuat kata sandi untuk mengubah parameter pemuatan grub

saya harus memasukkan kata sandi yang panjang

Sekarang lanjutkan untuk menginstal bootloader. Di laptop dipasang versi terbaru. Debiana dan Ubunti, tetapi installer tidak menemukannya. Akibatnya, setelah menginstal MSVA, menu pemilihan sistem operasi akan hilang dan Anda harus mengembalikan grub melalui LiveCD.
Slider dari daftar sistem operasi di bagian paling bawah, seolah-olah mengatakan bahwa sesuatu yang lain adalah. Saya mencoba memindahkannya dengan menekan Tab, Ctrl, Ctrl + Tab dan kombinasi utama lainnya. Tetapi slider dalam posisi apa, dalam hal ini dan tetap:

Klik Ya dan lanjutkan instalasi:

Pilih tempat menginstal bootloader. Saya mengatur pengunduh ke catatan boot utama MBR, yaitu, pada / dev / sda, tetapi untuk pengguna Windows terbaru, ini adalah pertanyaan yang sulit. Atau semua militer Rusia tahu Unixes?

Berikutnya adalah pengaturan jaringan.

Kami tidak memiliki koneksi jaringan, pilih "Tidak" dan klik Enter

membuka jendela dengan permintaan untuk masuk opsi tambahan Pengaturan jaringan:

Seperti yang Anda lihat, tombol "Batal" dan "Tidak" tidak diperlukan, tidak ada. Hanya ada "ya" dan "kembali". Akan logis jika kami memasang sistem melalui jaringan, tetapi kami memiliki DVD dengan satu set program lengkap. Klik Enter.

Anda meninggalkan bidang kosong "Gateway". Tergantung pada lingkungan jaringan Anda, mungkin ada masalah di masa depan

klik untuk melanjutkan dan sekali lagi meminta kami untuk memasukkan parameter jaringan tambahan. Secara umum, kami kembali ke jendela pertama pengaturan jaringan dan menentukan bahwa Anda perlu mengkonfigurasi antarmuka jaringanMeskipun kami tidak memilikinya.

Mereka meminta untuk memasukkan nama jaringan. Pilih "Secara Manual" dan Temukan Nama Jaringan

Pilih zona waktu Anda:

Pilih kata sandi pengguna root (tidak kurang dari enam karakter):

Pilih daftar paket untuk instalasi. Saya memilih segalanya

Ketergantungan lebih lanjut aktif, setelah itu jendela telah dibuka dengan alamat log instalasi:

Proses instalasi:

Saya tidak mengerti, apakah masalah ini dengan font atau dengan encoding?

Instalasi muncul hingga 100% dan installer dengan senang hati menyambut kami tentang penyelesaian instalasi, meminta untuk mematikan media yang dapat dilepas dan tekan Enter untuk reboot. Tekan Enter dan komputer hanya hang seperti terakhir kali.

Tekan tombol daya, tunggu beberapa menit dan oh, horor, semuanya dalam bahasa Inggris. Atau apakah itu bahasa Rusia di Angkatan Darat Rusia?

Di mana Debian dan Ubunta kita? Hanya ada satu MSV. Tapi tidak ada yang mengerikan, itu dapat dikoreksi dengan menginstal ulang loader grub melalui LiveCD.

Cukup tekan ENTER untuk mengunduh

Sistem ini bodoh 15 detik dan menunjukkan kesalahan: memori untuk kernel crash (0x0 hingga 0x0) notwithin diizinkan; Tidak dapat meminta perangkat keras Synaptics (saya tidak dapat mewawancarai touchpad)

dan terus mengunduh, menu pengaturan terbuka selama proses pengunduhan.

Cukup pilih "output" dan klik Enter. Setelah 10 detik, layar ini terbuka, di mana tidak ada petunjuk tunggal pada jadwal. Kami memasukkan login dan kata sandi dan sistem siap untuk bekerja:

By the way, perhatikan, kernel dipasang di sini 2.6.18. Kernel ini keluar, lima tahun lebih awal dari MSV 5.0. Ya, dalam lima tahun dimungkinkan untuk membangun seluruh industri, seperti pada piring lima tahun Stalin, tetapi hampir 10 tahun telah berlalu! Pada waktu yang jauh, saya baru saja mulai tertarik pada Linux. Meskipun mereka dapat lima tahun menghabiskan audit keamanan dari kode tersebut.
Oke, cobalah untuk menggunakan apa itu.
Kami berusaha menjalankan grafik. Di Nix untuk memulai grafik, Anda biasanya perlu memasukkan startx, masukkan startx:
#startx.
dan dapatkan kesalahan:

Di sini saya secara khusus membuka log kesalahan /var/log/xorg.0.log sehingga jelas ada apa: Sistem tidak dapat mengunduh driver FBDEV dan VESA standar.

Kami hanya perlu memulai kembali sistem dan kembali ke OS yang berfungsi, masukkan reboot dan sekali lagi beku saat reboot:

Kami mencoba menginstal melalui VirtualBox:

Kami juga memasukkan root login, kata sandi dan startx

Tentu saja, Vniin untuk alasan keamanan tidak merekomendasikan menjalankan rongga administrator. Dan mengapa kemudian setelah peluncuran pertama atau di installer itu sendiri, itu tidak disarankan untuk tujuan keamanan untuk membuat pengguna sederhana, seperti pada banyak distribusi lainnya?

O_O, ternyata berfungsi.

Meja kerja MSV 5.0

Jadi, yang kita lihat - desktop ringan yang indah, mensimulasikan jendela lama dan kde. Tapi itu hanya desktop makanan penutup yang dihiasi

File Manager, dirilis 11 tahun yang lalu, sangat mirip dengan Konquugror yang dipangkas

Dalam sistem Tre, indikator waktu dengan kalender, sakelar tata letak keyboard dan indikator tingkat ketersediaan (tetapi lebih dari pengembang MSV).

Pengaturan MSV 5.0.

Di Linux, beberapa program (misalnya kromium) tidak berjalan dari pengguna root, pada saat ini kami pertama kali membuat pengguna baru dan pergi ke sistem melalui itu:

Mulai - Pengaturan - Panel Kontrol Elk, Manajemen Pengguna - Tambahkan Pengguna Baru:

Kata sandi harus minimal 8 karakter!

Atribut keselamatan mengesankan, tetapi kami tidak akan menyentuh mereka:

Pengguna berhasil dibuat. Kami meninggalkan sesi dan langsung masuk ke akun root, di mana sekelompok kesalahan menyambut kami:

Kami berangkat dari akun ini dengan menekan Ctrl + D, masuk oleh pengguna baru dan jalankan Startx. Ikers mulai, tetapi mouse bergerak dan kombinasi keyboard tidak bereaksi. Mengulang kembali mesin virtual Itu tidak membantu, rongga di akun ini juga tidak berfungsi. Nah, Anda harus bekerja dari root, yang merupakan gangguan keamanan.

Resolusi layar dari AS 800x600, cobalah untuk mengubahnya. Buka "Control Panel" dan pilih ikon "Monitor". Jendela terbuka dengan pesan bahwa kami tidak memiliki file Xorg.conf dan layar akan gelap selama pembuatannya. Buat atau tidak?

Klik "Ya"

Kesalahan inisialisasi konfigurasi:

Setelah itu, jendela dengan pengaturan monitor terbuka. Kami mencoba mengubah apa pun kecuali tidak ada reaksi. Perlu dicatat bahwa jendela ini menunjukkan contoh layar Windows 95. Dan ketika Anda menekan tombol "Ya" dan "Batal", jendela tidak menutup dan tidak ada yang terjadi. Tutup jendela hanya bisa ditekan di kayu salib.

Di menu "Sistem", ada item "Pergantian Layar Switching". Kami memilihnya dan kami menawarkan program di Tre dengan hanya dua poin: 800x600 dan 640x480 dan frekuensi 60Hz. Tetapi di OS Freedos, saya bisa meletakkannya dan bahkan mengubah frekuensi. Karenanya kesimpulan bahwa dalam jadwal perangkat lunak ISWS lebih buruk daripada di DOS!

Kami melihat informasi peralatan:

Setelah mengklik "OK", jendela ini terbuka:

Program MSVS 5.0.

Menariknya, ketika kami menerjemahkan pointer mouse dari program EDE di KDE, perubahan warna pointer mouse.
Ini karena desktop HSS adalah campuran desktop EDE dan KDE.
Bersih. Total sepuluh program dalam kategori ini, termasuk Observer Elk, IRC, Wireshark, GFTP, Mailing Monitor, Monitor Jaringan dan Pengaturan PPP dan Manajemen Perangkat Jaringan.

Manajemen Perangkat Jaringan

Klien surat tidak memulai:

Browser Elk Browser adalah salinan yang tepat dari browser Aurora. Lihat, mereka menamainya untuk rusa, tetapi lupa mengubah logo:

Browser Elk:

Keperluan
Dalam utilitas, serta 4 terminal: elk-terminal, X-terminal, konsol dan terminal dalam mode superuser. Apakah Anda tahu mengapa ada begitu banyak dari mereka? Karena desktop WSA adalah campuran EDE dengan KDE. Mereka bahkan dihuni untuk menghilangkan utilitas yang tidak perlu, semua sebagai defaultnya sehingga mereka pergi.

Untuk alasan ini, ada banyak program dari dua desktop yang berbeda, tetapi dengan fitur yang sama. Ini terutama berlaku untuk melihat gambar, dokumen (PDF, DJVU, dll) dan editor teks.

Teks Editor Teks Emacs di MSV:

Ilmiah. Dalam ilmiah, hanya kalkulator KDE, yang dirilis pada tahun 2005:
Grafik. Di bagian ini, semua program dari KDE + XSANE 2007 rilis.
Permainan. Dalam game, satu set game dari KDE, di antaranya game militer adalah Saper dan Parasut:
Multimedia.. Pemutar media sederhana, pemutar audio, K3B (entri CD / DVD), regulator suara dan program perekaman suara.
Untuk memeriksa suara, Anda perlu mengunduh beberapa film ke dalam sistem virtual .. Suara dan video tidak berfungsi sama sekali. Saya memasukkan pengaturan VirtualBox ALSA, OSS, SoundBlaster16 - tidak ada yang berfungsi. Saya mencoba OGV, OGG, MP4 - dalam beberapa kasus perlu menginstal codec, pada yang lain - menunjukkan kesalahan:
Mari kita coba instal FFMPEG:
Buka Mulai - Panel Kontrol Elk - Manajer Program
sebelum mulai beberapa detik, daftar paket diperiksa.
mari kita coba cari FFMPEG.
Ini adalah bahasa Rusia di Angkatan Darat Rusia!

fFMPEG ada dalam daftar paket yang diinstal. Dan pencarian OSS dan ALSA (Sound Systems) tidak memberikan hasil apa pun. Permintaan kantor dan firefox juga tidak memberikan hasil apa pun.

k3B Ketika memulainya memberikan kesalahan bahwa gagal menemukan tipe MIME. Anda perlu menekan 10 kali ok dan kemudian dimulai:

Mematikan sistem:
Output ...
1. Pada peralatan modern, ISW tidak berfungsi
2. Inti sistem karena seluruh perangkat lunak dirilis 11 tahun yang lalu, masing-masing peralatan modern Tidak didukung
3. Resolusi layar diatur ke 800x600 dan tidak berubah
4. Sistem video hanya berfungsi pada emulator, tetapi menunjukkan kesalahan setelah menyelesaikan pekerjaan.
5. Suara tidak berfungsi sama sekali
6. Graphics hanya berfungsi oleh pengguna root, yang merupakan gangguan keamanan
7. Perintah shutdown dan reboot default hanya tersedia melalui konsol dan beroperasi hanya dalam emulator.

Kesimpulan umum.

MSVS5.0 - RedHat Enterprice Linux5.0 (2007) disalin pada tahun 2011 (2007), berfungsi dengan benar pada komputer yang dikeluarkan pada tahun 2011. Ya, di Angkatan Darat Rusia, umumnya terlihat untuk barang antik tua yang dalam, misalnya, Aviance Cruiser "Admiral Kuznetsov" dengan loncatannya alih-alih ketapel, karena pesawat itu dipaksa terbang dengan amunisi yang tidak lengkap dan kadang-kadang Jatuh ke dalam air saat diturunkan untuk pesawat terbang dan dengan instalasi bahan bakar minyak, membutuhkan pengisian bahan bakar selama kenaikan ...

Tentunya setidaknya beberapa pembaca kami berpikir tentang sistem operasi mana yang digunakan dalam angkatan bersenjata kami. Lagi pula, kita semua mengerti bahwa itu tidak dapat pada kompleks rudal yang ada di tugas tempur, berdiri jendela. Hari ini kami meminimalkan tirai misteri dan menceritakan tentang ISA OS. Ini disebut Sistem seluler Lingkup aplikasi berbicara namanya, tetapi tentang bagaimana secara umum, kami akan memberi tahu.

Prasyarat untuk Menciptakan

Untuk pertama kalinya, kriteria keselamatan untuk sistem komputer dirumuskan pada akhir 60-an abad terakhir. Pada pertengahan 1980-an, di AS, semua perkembangan ini dikumpulkan dalam satu dokumen. Jadi "buku oranye" dari Kementerian Pertahanan lahir - standar keamanan sistem komputer pertama. Menyusul dokumen-dokumen tersebut muncul di negara-negara Eropa dan Kanada. Pada tahun 2005, atas dasar mereka, standar keamanan internasional ISO / IEC 15408 "kriteria perlindungan umum" disiapkan.

Di Rusia, studi serupa dilakukan di Institut Penelitian Pusat ke-22 Kementerian Pertahanan. Hasil akhir dari perkembangan adalah tanda terima pada tahun 2002 dari ISA OS di angkatan bersenjata Federasi Rusia. Versi Status Status berdasarkan persyaratan ISO / IEC diadopsi pada 2008.

Mengapa Petugas Militer

Sistem operasional yang kami gunakan setiap hari tidak cocok untuk digunakan di fasilitas penyimpanan negara. Gostekomissia di bawah presiden Federasi Rusia merumuskan mereka sebagai berikut:

• Informasi tersebut harus dilindungi dari akses yang tidak sah, baik dari dalam maupun di luar.
• Sistem tidak boleh mengandung kemampuan tidak berdokumen, dengan kata lain, seharusnya tidak ada "telur paskah" dalam kode OS.

Selain itu, sistem operasi yang dilindungi harus memiliki struktur akses hierarkis multi-level dan memiliki fungsi administrasi yang terpisah.

Dengan demikian, tugas membuat OS tertutup khusus tidak sesederhana yang terlihat pada pandangan pertama. Tidak adanya kemampuan yang tidak berdokumen mengasumsikan bahwa kode sumber dan deskripsi teknis dari semua prosedur kerja akan dipelajari secara menyeluruh di pusat sertifikasi. Dan ini adalah area rahasia komersial perusahaan pemilik atau hak milik intelektual pengembang. Paradoks semacam itu membuat Anda menarik mata ke arah OS terbuka, karena hampir tidak mungkin untuk mendapatkan dokumentasi teknis penuh untuk perangkat lunak berpemilik.

Persyaratan GOST R.

FSTEC, sebagai layanan yang bertanggung jawab atas keamanan informasi pada skala negara, didirikan oleh pemisahan OS sesuai dengan tingkat perlindungan informasi yang diproses. Untuk kenyamanan, semua data dikurangi menjadi satu tabel.

Dari tabel, dapat dilihat bahwa, untuk sejumlah persyaratan, tiga kelompok dan sembilan kelas keamanan didirikan dari akses yang tidak sah, dan pada mereka ada pemisahan lebih lanjut untuk mengakui berbagai jenis informasi rahasia.

Di jantung Linux

Apa yang sangat nyaman untuk Linux, apa yang akan dengan senang hati melayani dalam aparatur negara? Lagi pula, sebagian besar, pengguna sederhana takut padanya, seperti fitur Ladan. Mari kita cari tahu. Untuk memulainya, perhatikan lisensi di mana "Linux" didistribusikan. Ini adalah apa yang disebut GPL2 - universal publik, atau gratis, lisensi. Siapa pun dapat memperoleh kode sumber dan berdasarkan pada TI untuk membuat produk sendiri. Dengan kata lain, tidak ada yang mengganggu untuk mengambil distribusi Linux terbaik dan menggunakannya dalam mengembangkan OS mereka sendiri.

Pengalaman kerja dunia institusi publik Ini menunjukkan bahwa transisi ke perangkat lunak bebas terjadi di mana-mana, idenya diminati dan cukup membenarkan. Negara-negara terkemuka di dunia, seperti Amerika Serikat, Jerman, Jepang dan dengan cepat mendekati Cina dan India, secara aktif menggunakan Linux di Gosfere dan Pendidikan.

ISWS dan isinya

Sistem Seluler Versi 3.0 Bekerja di pasukan sepuluh tahun, produk yang lebih sempurna datang untuk menggantikannya, dan kami dapat dengan tenang melihat veteran "kap". Jadi, ini adalah sistem operasi jaringan yang bekerja di multipemain menggunakan antarmuka pengguna grafis. Mendukung platform perangkat keras:

• Intel.

Spapc / "elbrus".

• Sistem IBM / 390.

Ini didasarkan pada distribusi Linux terbaik yang tersedia pada saat itu. Banyak modul sistem dipinjam dari RedHat Linux dan dikompilasi ulang dengan mempertimbangkan persyaratan Kementerian Pertahanan. Dengan kata lain, sistem angkatan bersenjata bergerak adalah Linux distribusi RPM dengan semua aplikasi terkait dan alat pengembangan.

Dukungan sistem file adalah pada awal abad ini, tetapi karena yang paling umum dari mereka kemudian ada, indikator ini tidak penting.

Versi MSV.

Terlepas dari kenyataan bahwa ini adalah jaringan OS, itu tidak memiliki repositori perangkat lunak yang akrab untuk linuxoid apa pun. Semua perangkat lunak disediakan lengkap pada CD instalasi. Setiap program yang digunakan dalam sistem ini telah disertifikasi sebelumnya di Kementerian Pertahanan. Dan karena prosedur ini jauh dari cepat, untuk semuanya dan setengah lusin tahun kerja, sejumlah terbatas versi dan perubahan pada mereka dikeluarkan.

Pengembang ISMS adalah Institut Penelitian Automasi All-Rusia dari Manajemen di Sphere yang tidak bergerak. Di halaman resminya, Anda dapat menemukan data pada versi MSV, yang saat ini didukung dan memiliki sertifikat keamanan yang diperlukan dari Kementerian Pertahanan.

Sistem seluler angkatan bersenjata untuk 2017 diwakili oleh dua majelis yang didukung:

OS MSV 3.0 FLIR 80001-12 (Ubah No. 4).

• OS MSV 3.0 Flir 80001-12 (Ubah No. 6).

Versi 5.0, terletak di situs web Vniins, memiliki sertifikat keamanan MO, tetapi secara resmi untuk memasok ke pasukan tidak diterima.

MSV Premier.

OS terlindungi berikutnya, yang disajikan sebagai pengganti MSV yang berusia sepuluh tahun, adalah Astra Linux. Berbeda dengan pendahulunya, sertifikat keamanan hanya dari Kementerian Pertahanan, Astra menerima semua sertifikat yang mungkin di Rusia, dan ini adalah dokumen dari MO, FSTT. Karena ini, dapat digunakan di lembaga pemerintah mana pun, dan keberadaan beberapa versi beradaptasi dengan berbagai platform perangkat keras bahkan lebih memperluas ruang lingkup penggunaannya. Akibatnya, ia dapat menggabungkan semua perangkat di bawah kendali -nya - dari peralatan server ke stasioner.

Astra Linux adalah distribusi Linux modern berdasarkan paket deb, ia menggunakan versi segar dari kernel dan perangkat lunak saat ini. Daftar prosesor yang didukung dan arsitekturnya juga diperluas dan termasuk sampel modern. Daftar versi yang dipublikasikan secara resmi memungkinkan Anda untuk berharap untuk keberhasilan ini. produk perangkat lunak Setidaknya di gosfere dan pertahanan.

Akhirnya

Dalam materi ini, kami berbicara tentang sistem ICA - sistem operasi utama dari angkatan bersenjata Federasi Rusia, dengan setia melayani "di pangkat" 15 tahun dan masih masih pada "pertempuran". Selain itu, suksesi ditandai secara singkat. Mungkin seseorang dari pembaca kami akan mendorongnya untuk melihat apa itu Linux, dan membuat pendapat yang tidak memihak tentang produk.

1. 
   Bagaimana cara menentukan apakah sistem operasi didukung oleh peralatan komputer ini?
2. 
   Opsi instalasi apa yang menyediakan OS 3.0?
3. 
   Protokol jaringan apa yang mendukung program instalasi?
4. 
   Dalam kasus apa diperlukan untuk membuat disket boot?
5. 
   Daftar langkah-langkah utama instalasi?
6. 
   Bootloader apa yang digunakan untuk memuat kernel OS?
7. 
   Daftar tahapan utama pemuatan kernel?
8. 
   Apa itu Lilo dan Lilo.conf?
9. 
   Bagaimana cara menghapus LILO dan mengembalikan loader sumber?
10. 
    Apa mekanisme modul kernel?
11. 
    Dalam kasus mana diperlukan untuk menggunakan disk RAM?
12. 
    Bagaimana cara mengkonfigurasi penggunaan disk RAM saat memuat?
13. 
    Apa yang bervariasi boot floppy disk, bootnet, dan driver? Bagaimana cara membuatnya? Bagaimana cara memeriksanya?
14. 
    Apa paket perangkat lunak, dependensi paket?
15. 
    Apa kemampuan manajer paket?
16. 
    Manajer paket apa yang digunakan untuk mengelola perangkat lunak?
17. 
    Bagaimana cara menginstal paket dari CD di jaringan?

1. Instalasi OS MSV 3.0

1. Tahap utama instalasi

Instalasi dari CD termasuk langkah-langkah berikut:

undangan ke instalasi dan pengingat dokumentasi;

pemilihan manipulator mouse;

disk partisi ke bagian;

tuning Loader;

konfigurasi jaringan;

menginstal nama komputer;

pilihan zona waktu;

pemilihan kompleks untuk instalasi;

instalasi paket;

menginstal kata sandi pengguna root;

membuat disket boot;

mengatur kartu video dan monitor;

Setiap item sesuai dengan satu atau lebih kotak dialog.

Saat menginstal melalui jaringan menggunakan server, Anda harus menghasilkan beberapa preset tambahan:

• 
  industri satu set disket untuk mengunduh komputer dan mengatur akses jaringan ke server;
• 
  memilih opsi instalasi jaringan;
• 
  pengaturan jaringan dan akses jaringan ke server.

Setelah mengakses jaringan ke CD yang diinstal dalam drive pada server akan diinstal, program instalasi akan mulai melakukan langkah yang sama dengan saat diinstal dari CD, mulai dari langkah kedua ("undangan untuk instalasi"). Anda tidak perlu mengkonfigurasi jaringan, hanya perlu untuk mengkonfirmasi pengaturan.

1. Instalasi dari CD

Sebelum memulai instalasi, Anda perlu mengkonfigurasi BIOS komputer sehingga yang pertama dalam daftar perangkat pemuatan adalah CD, dan memasukkan CD dengan modul boot ISWS 3.0 ke dalam drive CD-ROM.

Jika BIOS tidak mendukung boot dari CD, Anda juga harus memasukkan disket boot dan mengkonfigurasi BIOS komputer sehingga yang pertama dalam daftar perangkat pemuatan adalah floppy disk. Komputer modern cenderung mendukung boot dari CD, sehingga kebutuhan untuk disket boot dapat terjadi hanya ketika menginstal ISP 3.0 pada komputer "lama".

Maka Anda harus me-restart komputer. Undangan akan muncul di layar monitor:

Dalam format undangan ini, dimungkinkan untuk mentransfer pengaturan tambahan untuk program instalasi. Misalnya, tim:

boot: MCBC MEM \u003d 128m

melaporkan program instalasi bahwa jumlah RAM komputer ini adalah 128 MB.

Untuk mulai memuat installer, Anda perlu menekan tombol. Memuat kernel MSA 3.0, diikuti oleh pesan diagnostik, kemudian memulai program instalasi, yang secara otomatis memuat driver drive CD dan driver hard drive yang ada di komputer dan didukung oleh Ass 3.0.

Jika inisialisasi telah berakhir dengan kesalahan, itu berarti untuk jenis CD drive ini atau hard disk. Anda harus mengunggah driver tambahan. Pemasang akan menawarkan daftar driver di mana Anda ingin memilih driver yang sesuai, dan klik tombol "Ya".

Jika unduhan dibuat dari boot floppy disk, setelah memulai program instalasi, kotak dialog Driver Disc muncul menunjukkan disket driver dengan driver untuk dikendarai. Pada saat yang sama, boot disket harus dilepas dan menempelkan floppy disk driver.

Setelah mengunduh driver yang diperlukan, undangan muncul di layar monitor (Gbr. 9-1).

1.1.41. Manipulator mouse

Berikut ini setelah undangan OS 3.0 akan muncul kotak dialog "Mouse Selection" (Gbr. 9-2).

Pilih jenis "mouse", misalnya, "Mouse normal PS / 2" dan, jika "mouse" memiliki dua tombol, Anda dapat menggunakan emulasi mode tiga tombol. Untuk melakukan ini, Anda perlu mengaktifkan emulasi tombol ketiga dan klik tombol "Ya".

1.1.42. Pemutusan hard disk ke bagian

Kotak dialog "Keputusan" (Gbr. 9-3) muncul dan pemilihan utilitas partisi hard disk akan dipilih: "pemisahan otomatis", disk druid atau fdisk.

Dalam kebanyakan kasus, pemisahan hard drive, array disk, volume LVM terjadi pada program Disk Druid. Selain itu, mode "partisi otomatis" adalah kasus khusus bekerja dengan disk druid dengan perhitungan otomatis proporsi ruang disk sesuai dengan nyata peralatan yang diinstal. Jika perlu, pekerjaan tingkat rendah dengan hard disk perlu menggunakan utilitas fdisk.

Pilih Disk Druid dan tekan tombol.

Di kotak dialog "Memperbesar" muncul (Gbr. 9-4), daftar disk yang tersedia dan bagian yang ada akan muncul.

Juga di jendela ini ada tombol untuk bekerja dengan bagian: "Baru", "Edit", "Hapus", "RAID", "YA", "Kembali".

Di garis bawah, petunjuk untuk menggunakan hotkey diberikan: "f1-help, f2-new, f3-delete, f4-reset, f12-ya."

Dalam kasus umum, MSV 3.0 diinstal pada komputer dengan hard disk murni. Dalam hal ini, Anda dapat menangani atau menggunakan program DRUID disk, atau dengan memilih partisi otomatis.

Untuk instalasi pantat 3.0 yang sukses, cukup untuk membuat dua partisi: bagian root "/" dan bagian swap (swap). Ukuran bagian root harus setidaknya 1.200 MB.

Katalog / boot, / rumah, / var, / tmp dan lainnya dapat dibuang pada bagian yang terpisah. Ini memungkinkan Anda untuk mengisolasi, misalnya, direktori pengguna rumah dari sistem file root.

PERHATIAN. Di Ass 3.0, Anda tidak dapat ditempatkan di direktori bagian yang terpisah / usr!

Untuk membuat direktori ke bagian terpisah, Anda harus membuat bagian dengan sistem file "ext3" dan tetapkan titik pemasangan yang sesuai dengan nama katalog.

Untuk membuat bagian, pilih tombol baru dan tekan tombol. Di kotak dialog "Tambahkan Bagian" yang muncul (edit bagian baru) (Gbr. 9-5):

• 
  pilih jenis sistem file (untuk bagian swap - "swap", dalam kasus lain - "ext3").
• 
  ukuran bagian dalam megabytes (jika perlu, Anda dapat "meregangkan" partisi ke seluruh disk);
• 
  titik pemasangan, untuk bagian root - ini adalah "/", untuk bagian swap, titik pengaturan tidak diperlukan.

Untuk mengedit partisi yang ada, Anda harus memilihnya dan klik tombol "Edit". Setelah menekan tombol Edit, kotak dialog Edit / Dev / Hda1 muncul, jika bagian / dev / hda1 dipilih.

Setelah menyelesaikan pekerjaan pada penciptaan partisi, di jendela "Break", klik tombol "Ya".

Kotak dialog Simpan Perubahan muncul di layar monitor.

Tekan tombol "Ya".

Langkah selanjutnya adalah memformat bagian yang dibuat. Kotak dialog dengan judul "Perhatian!" Akan muncul di layar MNIT. dan daftar partisi yang akan diformat ketika tombol "Ya" ditekan (Gbr. 9-6).

1.1.43. Opsi bootloader

Kotak dialog konfigurasi "loader" muncul di layar (Gbr. 9-7). Di jendela ini, Anda harus memilih opsi instalasi dengan atau tanpa loader. Bootloader memungkinkan Anda untuk memiliki beberapa opsi untuk memulai sistem, atau memilih OS yang dimuat (jika lebih dari satu). Dalam mode tanpa loader, kernel ISP 3.0 akan memuat monopulasi dalam sistem ini.

Tekan tombol "Ya".

Selanjutnya, kotak dialog (Gambar 9-8) muncul di layar dengan saran untuk memasukkan parameter tambahan yang akan digunakan saat memuat. Secara default, Mode LBA32 diinstal di jendela ini (menggunakan alamat logis 32-bit dari blok hard disk), karena mode ini di sebagian besar kasus diperlukan untuk mendukung disk kontainer besar.

Jika Anda memiliki IDE Writer-Drive IDE, di bidang entri parameter, installer akan menempatkan string dari jenis "HDC \u003d IDE-SCSI" (misalnya, jika drive terhubung dalam mode master ke pengontrol IDE kedua ).

Jika tidak ada parameter lain yang tidak perlu mengirimkan parameter lain, disarankan untuk tidak mengubah parameter yang diajukan oleh program instalasi, dan klik tombol "Ya".

Prosedur berikut dalam pengaturan bootloader adalah akses tugas kata sandi ke perubahan dalam parameter awal sistem. Karena jika ada bootloader, dimungkinkan untuk mentransfer parameter kernel khusus dari keyboard saat memulai sistem, kemudian untuk memastikan tingkat keamanan yang diperlukan, fitur ini dilindungi oleh kata sandi. Di kotak dialog berikut yang muncul (Gbr. 9-9), masukkan kata sandi, ukurannya tidak boleh kurang dari 8 karakter. Konfirmasikan kata sandi dengan berulang kali memperkenalkannya baris berikutnya jendela.

Tekan tombol "Ya".

Kotak dialog kotak dialog Muncul di layar (Gbr. 9-10), dengan proposal untuk menentukan yang lain bagian boot.yang dapat diunduh menggunakan bootloader ASWS 3.0. Misalnya, jika ada OS lain di komputer, Anda dapat menetapkan label untuk itu dan mengunggah menggunakan bootloader OS 3.0.

Masukkan data yang diperlukan dalam baris yang sesuai dan klik tombol Ya.

Di jendela berikutnya (Gbr. 9-11), lokasi bootloader diatur ke disk. Dua opsi dimungkinkan: catatan boot utama (MBR) dari hard disk (direkomendasikan dalam banyak kasus), atau sektor boot (catatan boot) dari partisi yang sesuai di mana instalasi dibuat.

Pilih dan tekan tombol "Ya".

1.1.44. Jaringan Jaringan

Dalam hal deteksi program instalasi setidaknya satu kartu jaringan, urutan kotak dialog "Pengaturan Jaringan untuk Etx" muncul di layar (Gbr. 9-12), di mana X adalah nomor urut di mana parameter dikonfigurasi untuk setiap kartu jaringan.

Pengaturan pengaturan otomatis dari pengaturan jaringan BootP dan DHCP digunakan jika ada server khusus di jaringan yang menyediakan layanan konfigurasi otomatis atas permintaan mesin klien.

Jika server DHCP hilang, Anda harus menginstal parameter jaringan secara eksplisit, yang memilih "Aktifkan saat booting". Setelah itu, beberapa baris akan disorot di jendela di mana parameter koneksi jaringan harus ditentukan.

Alamat jaringan disajikan dalam format titik-dekade (misalnya, 192.168.1.1). Informasi pengisian lapangan harus disediakan oleh administrator jaringan.

Alamat Jaringan - Alamat IP komputer di jaringan.

Mask jaringan adalah parameter yang mengkarakterisasi kelas segmen jaringan.

Gateway default adalah simpul yang melayani komunikasi jaringan lokal ini dengan segmen jaringan eksternal.

Server Nama Utama - Node yang mendukung layanan Resolusi Nama Domain melalui Protokol DNS di alamat IP. Di bidang yang sesuai, masukkan alamat IP server nama tambahan (DNS). Jika satu server nama digunakan pada jaringan, bidang ini dapat dibiarkan kosong.

Tekan tombol "Ya".

Ara. 9-13. Menginstal nama komputer.

Ara. 9-14. Memilih zona waktu.

Maka Anda perlu mengatur nama komputer. Kotak dialog "instal nama komputer" berikut ini muncul di layar (Gbr. 9-13), di mana bidang yang sesuai harus diisi. Nama juga harus dikoordinasikan dengan administrator jaringan.

Tekan tombol "Ya".

1.1.45. Pemilihan sabuk jam

Kotak dialog Seleksi Zona Waktu berikut muncul di layar, yang menggunakan pengaturan waktu sistem. Di Ass 3.0, hitungan mundur dilakukan dalam mode lokal, I.E. Jam sistem perangkat keras pasti menentukan waktunya tanpa konversi tambahan relatif terhadap titik mundur yang berbeda dari tipe UTC.

Di jendela, Anda harus memilih yang paling sesuai untuk lokasi sabuk waktu komputer, menunjukkan perbedaan waktu sabuk relatif terhadap sabuk "nol" - Eropa / Moskow (Gbr. 9-14).

Tekan tombol "Ya".

1.1.46. Pemilihan dan pemasangan paket

Kotak dialog "Pilih Kompleks" muncul di layar (Gbr. 9-15).

Di kotak dialog ini, Anda dapat memilih kompleks berikut:

• 
  Konfigurasi OS dasar;
• 
  Subsistem antarmuka grafis;
• 
  Alat pengembangan.

Untuk memilih opsi yang paling khas - tiga kompleks pertama yang ditandai secara default, sudah cukup tanpa menghasilkan tindakan lain, klik tombol "Ya". Jika hanya grup "Graphic Interface Subsystem" diperlukan atau hanya sekelompok alat pengembangan, harus dicatat bidang yang sesuai.

Pemilihan grup "OS konfigurasi dasar" diperlukan, itu berisi semua komponen yang diperlukan untuk operasi OS 3.0 OS dalam versi dasar (tanpa dana tambahan).

Mode instalasi "Semua (termasuk opsional)" berarti instalasi semua paket distribusi, termasuk modifikasi dari kernel OS, nonspesifik untuk komputer ini dan satu set paket yang diperlukan untuk pembuatan disk boot ISWS 3.0.

Untuk pemilihan paket yang lebih rinci (mungkin, untuk menghemat ruang disk yang ditempati OS), perlu untuk mencatat opsi "Pemilihan individu paket" dan klik tombol "Ya". Jendela "Pilih Paket" (Gbr. 9-16) muncul dengan daftar grup paket dan paket sendiri.

Grup dapat dilipat / dikerahkan jika Anda membawa garis lampu latar untuk itu dan tekan tombol. Untuk mendapatkan informasi tentang paket, Anda perlu membawa garis backlight ke sana dan tekan tombol. Menghidupkan / mematikan paket ke daftar untuk instalasi dilakukan dengan menekan tombol.

Setelah menyelesaikan pemilihan paket, klik tombol "Ya".

Jika masing-masing daftar paket telah dipilih untuk instalasi, suatu situasi dapat terjadi ketika dependensi yang tidak terpenuhi akan muncul. Ini berarti bahwa ada paket dalam daftar yang dipilih, yang memerlukan paket lain dari disk boot ISWS 3.0, yang tidak ditandai. Resolusi dependensi paket akan diproduksi secara otomatis oleh program instalasi.

Setelah pemilihan paket selesai, kotak dialog Start Setup muncul di layar. Jendela ini akan berisi informasi tentang file / root / log, yang installer setelah penyelesaian pekerjaan akan menyimpan daftar paket yang diinstal.

Partisi aktual dari disk dan instalasi paket akan dimulai hanya setelah menekan tombol "Ya" di jendela "Mulai Instalasi". Jika perlu, hingga titik ini, Anda masih dapat mengganggu proses instalasi dengan mem-boot ulang komputer. Dalam hal ini, semua data pada hard drive akan tetap tidak berubah.

Untuk mulai menginstal paket, klik tombol "Ya".

Jendela "Paket Instalasi" akan muncul di layar (Gbr. 9-17).

Pada tahap ini, Anda dapat mengamati proses instalasi paket yang dipilih, yang secara otomatis diproduksi. Deskripsi singkat ditampilkan untuk setiap paket, dan informasi statistik tentang proses menginstal paket saat ini dan semua paket bersama ditampilkan.

1.1.47. Pemasangan kata sandi superuser

Kotak dialog Kata Sandi Pengguna Root muncul di layar (Gbr. 9-18). Atur kata sandi di baris "Kata Sandi" dan konfirmasikan entri di baris "Konfirmasi Kata Sandi" (batasan pada tampilan dan ukuran kata sandi ditentukan oleh persyaratan keamanan untuk sistem; secara default, ukuran kata sandi setidaknya delapan karakter). Ketika Anda menentukan kata sandi dari keyboard, untuk alasan keamanan, alih-alih karakter input, tanda bintang ditampilkan. Tekan tombol "Ya".

1.1.48. Penciptaan boot floppy disk

Kotak dialog berikut "Set disket boot" muncul di layar (Gbr. 9-19). Kit boot diskette mungkin diperlukan jika Anda merusak catatan boot hard disk.

Untuk membuat disket boot, tekan tombol "Ya". Selanjutnya, ikuti instruksi yang ditawarkan dalam kotak dialog.

Jika pembuatan boot kit tidak diperlukan, klik tombol "Tidak". Di masa depan, Anda dapat membuat disk boot menggunakan utilitas grafis atau perintah mkbootdisk.

1.1.49. Meningkatkan kartu video dan monitor

Pada langkah selanjutnya, Anda perlu mengkonfigurasi sistem grafis. Untuk melakukan ini, dalam kotak dialog, mengikuti instruksi, masukkan informasi tentang kartu video dan monitor.

Jika installer akan secara otomatis menentukan jenis kartu video, informasi tentang itu akan muncul (Gbr. 9-20).

Ara. 9-19. Membuat disket boot.

Ara. 9-20. Pilih kartu video.

Jika tidak, kotak dialog "Pilih Peta" muncul. Pilih jenisnya dari daftar. Jika daftar tidak memiliki kartu video yang diinginkan, pilih "kartu yang tidak ditentukan".

Di jendela pemilihan server, pilih server X, yang mampu berfungsi sebagai kartu video yang ada.

Setelah itu, kotak dialog Setup Monitor muncul (Gbr. 9-21). Jika program instalasi tidak secara otomatis menentukan jenis monitor, pilih monitor yang sesuai dari daftar perubahan.

Jika perlu, Anda dapat menentukan parameter monitor manual. Untuk melakukan ini, pilih item tipe "Lainnya" dalam daftar dan atur frekuensi operasi gambar vertikal dan horizontal (60 ~ 100 Hz).

Tekan tombol "Ya".

Setelah memilih monitor, jendela "canggih" akan muncul di layar (Gbr. 9-22). Pilih kedalaman warna yang diinginkan dan resolusi monitor di jendela. Selain itu, di jendela ini Anda dapat memilih mode login ke sistem "grafik" (disarankan) atau "teks". Jika Anda memilih login grafis ke sistem, sistem antarmuka grafis akan dimulai secara default. Pilih dan tekan tombol "Ya".

Setelah menyiapkan sistem grafis, pesan "instalasi selesai" muncul (Gbr. 9-23) dengan pesan "Selamat, menginstal ISWS 3.0 selesai."

Tekan tombol "Ya" untuk reboot. Komputer akan mulai reboot. Selama reboot, baki dengan CD akan secara otomatis maju. Lepaskan disk dari baki.

Ara. 9-23. Instalasi selesai.

Ara. 9-24. Metode Instalasi