Em guarda de informações confidenciais. Sistema de Forças Armadas móveis (OS MSVS): Sistema operacional protegido de sistema operacional de uso geral MSVS 3.0

Este capítulo discute as seguintes perguntas:

Comercial;

Diferenças entre usuários privilegiados e privilegiados;

Arquivos de login;

Arquivo / etc / passwd;

Arquivo / etc / Sombra;

Arquivo / etc / gshadow;

Arquivo /etc/login.defs;

Modificação de informações sobre a obsolescência da senha;

A base da segurança do MSAs é o conceito de usuários e grupos. Todas as decisões sobre o que é permitido ou não é permitido fazer com que o usuário seja feita com base em quem o usuário digitou o sistema a partir do ponto de vista do kernel do sistema operacional.

Visão geral dos usuários

O MSVS é um sistema multiplayer multitarefa. Os deveres do sistema operacional incluem isolamento e proteção dos usuários uns dos outros. O sistema monitora cada um dos usuários e, com base em quem é esse usuário, determina se é possível fornecer acesso a um arquivo específico ou permitir o lançamento de um programa ou outro.

Ao criar um novo usuário, ele é colocado em linha com um nome exclusivo

NOTA

O sistema determina os privilégios do usuário com base no ID do usuário (UID). Ao contrário do nome de usuário, o UID pode não ser único, caso em que o primeiro nome encontrado é feito para corresponder ao nome do usuário, cujo UID coincide com os dados.

Cada novo gravado no sistema, o usuário é como conformidade com determinados elementos do sistema.

Usuários privilegiados e sem privilégios

Ao adicionar um novo usuário ao sistema, um número especial é destacado, chamado identificador de usuários. (USERID, UID). No Caldera MSVA, a alocação de identificadores para novos usuários começa com 500 e continua em direção a grandes números, até 65.534. Os números de até 500 são reservados para contas do sistema.

Em geral, os identificadores com números menores que 500 não são diferentes de outros identificadores. Muitas vezes, o programa para o funcionamento normal requer um usuário especial com acesso total a todos os arquivos.

A numeração de identificadores começa com 0 e continua a 65 535. UID 0 é um UID especial. Qualquer processo ou usuário com identificador zero é privilegiado. Tal pessoa ou processo tem poder ilimitado sobre o sistema. Nada pode servir como proibição. Conta raiz (conta, uid que é 0), também chamada de conta superusuário, Faz entrado com seu uso, se não o proprietário, pelo menos seu administrador.

O UID permanece igual a 65.535. Também não é do comum. Este UID pertence a ninguém (ninguém).

Às vezes, uma das formas de hackear o sistema era criar um usuário com um identificador de 65.536, como resultado do qual ele recebeu os privilégios do superusuário. De fato, se você fizer algum UID e traduzir o número correspondente em um formulário binário, receberá uma combinação de dezesseis descargas binárias, cada uma das quais é 0 ou 1. O número esmagador de identificadores inclui zeros e unidades. A exceção é o superusuário uid zero que consiste em alguns zeros e uidnobody, igual a 65535 e consistindo de 16 unidades, ou seja, 11111111111111. O número 65 536 não pode ser colocado em 16 dígitos - para representar este número de forma binária, você precisa usar 17 descargas. A descarga mais antiga será igual à unidade (1), todo o resto são zero (0). Então, o que acontece ao criar um usuário com um identificador de um comprimento de 17 descargas binárias - 10000000000000000? Teoricamente, o usuário com um identificador zero: já que apenas 16 descargas binárias são dadas ao identificador, 17 dígitos não são conhecidos e são descartados. Portanto, a única unidade do identificador é perdida, e alguns zeros permanecem, e o sistema aparece novo usuário com o identificador, e, portanto, privilégios, superusuário. Mas agora não há programas em ASVs que permitam instalar UID em 65.536.

NOTA

Usuários com identificadores superiores a 65.536, é possível criar, mas não será usado sem substituição / bin / login.

Qualquer hacker definitivamente tentará obter os privilégios do superusuário. Assim que ele os recebe, o outro destino do sistema dependerá totalmente de suas intenções. Talvez ele, satisfeito com o fato de hacking, não fará nada de mal com ela e, enviando uma carta com uma descrição dos buracos encontrados por ele no sistema de segurança, irá sempre deixá-lo sozinho, e talvez, e não. Se as intenções de hacker hackeadas não estiverem tão limpas, então o melhor, o que pode ser esperado é ter um sistema de falha.

Arquivo / etc / passwd

Desejando fazer login no sistema deve inserir o nome de usuário e a senha marcados no banco de dados do usuário armazenado no arquivo / etc / passwd. Nele, entre outras coisas, senhas de todos os usuários são armazenadas. Ao conectar-se ao sistema, a senha digitada é verificada com uma senha que corresponde a esse nome e, se o usuário for permitido no sistema, após o qual o programa especificado para este nome de usuário está lançado. Se este for um shell de comando, o usuário recebe a capacidade de inserir comandos.

Considere a listagem 1.1. Este é um arquivo passwd no estilo antigo.

Listagem 1.1. Arquivo / etc / passwd no estilo antigo

root: *: 1i DywromhMebu: 0: 0: raiz :: / root: / bin / bash

bIN: *: 1: 1: bin: / bin:

daemon: *: 2: 2: Daemon: / sbin:

adm: *: 3: 4: ADM: / VAR / ADM:

lP: *: 4: 7: lp: / var / spool / lpd:

sincronização: *: 5: 0: Sync: / sbin: / bin / sincronizar

desligamento: *: 6: 11: desligamento: / sbin: / sbin / desligamento

halt: *: 7: 0: halt: / sbin: / sbin / parada

correio: *: 8: 12: mail: / var / spool / mail:

notícias: *: 9: 13: notícias: / var / spool / notícias:

uUCP: *: 10: 14: UUCP: / var / spool / uucp:

operador: *: 11: 0: operador: / root:

jogos: *: 12: 100: Jogos: / usr / jogos:

gopher: *: 13: 30: Gopher: / USR / 1IB / GOPHER-DADOS:

fTP: *: 14: 50: Usuário FTP: / Home / FTP:

homem: *: 15: 15: manuais proprietário: /:

majordom: *: 16: 16: Majordomo: /: / bin / falsa

postgres: * 17: 17: Usuário Postgres: / Home / Postgres: / Bin / Bash

mySQL: *: 18: 18: Usuário MySQL: / usr / local / var: / bin / false

silvia: 1idywromhmebu: 501: 501: Silvia Bandel: / Home / Silvia: / Bin / Bash

ninguém: *: 65534: 65534: Ninguém: /: / bi n / false

david: 1idywromhmebu: 500: 500: David A. Bandel: / Home / David: / Bin / Bash

O arquivo de senha tem uma estrutura digitalmente especificada. O conteúdo do arquivo é uma tabela. Cada linha de arquivo é uma entrada de tabela. Cada entrada consiste em vários campos. Os campos de arquivo passwd são separados por um cólon, portanto, o cólon não pode ser usado em nenhum dos campos. No total, existem sete campos: nome de usuário, senha, ID do usuário, identificador de grupo, campo Gecos (é o campo de comentários), diretório inicial e login do shell de comando.

Leia mais sobre / etc / grupo

Cada entrada do arquivo / etc / grupo consiste em quatro campos separados por cólon. O primeiro campo define o nome do grupo. Como um nome de usuário.

O segundo campo é geralmente vazio, já que o mecanismo de senha de senha geralmente não é usado, mas se este campo não estiver vazio e contém uma senha, qualquer usuário pode participar do grupo. Para fazer isso, você precisa executar o comando newgrp com o nome do grupo como um parâmetro, após o qual você insere a senha correta. Se a senha do grupo não for especificada, somente os usuários listados na lista de membros do grupo podem participar.

O terceiro campo define o identificador de grupo (GroupID, GID). O significado disso é o mesmo que o ID do usuário.

O último campo é uma lista de nomes de usuários pertencentes ao grupo. Os usuários estão listados através de uma vírgula sem espaços. O grupo de usuários principal é indicado (obrigatório) no arquivo passwd e atribui quando o usuário está conectado ao sistema com base nessas informações. Assim, se você alterar o grupo de usuários principal no arquivo Passwd, o usuário não poderá mais participar de seu antigo grupo primário.

Arquivo /etc/login.defs.

Você pode adicionar um novo usuário ao sistema de várias maneiras. Na bunda, os seguintes programas são usados \u200b\u200bpara isso: Coastool, Lisa, useradd. Algo adequado para qualquer um deles. O utilitário CoAS usa seu próprio arquivo. Os programas useradd e lisa fazem valores padrão para os campos Passwd e Shadow File no arquivo /etc/login.defs. O conteúdo deste arquivo na forma abreviada é mostrado na Listagem 1.4.

Listagem 1.4. Arquivo abreviado /etc/login.defs.

# O número máximo de dias durante os quais a senha é permitida:

# (- 1 - A mudança de senha não é necessária) Pass_Max_Days-1

Número mínimo de dias entre os turnos de senha: pass_min_dayso

# Por alguns dias antes da data da mudança de senha, um aviso deve ser emitido: Pass_Warn_age7

# Que número de dias deve passar após a expiração da senha expirar antes que a conta seja bloqueada: Pass_inactive-1

# Força a expiração da utilização de senha no dia especificado:

# (a data é identificada pelo número de dias após 70/1/1, -1 \u003d não forçando) Pass_Expire -1

# Valores dos campos de conta integrados para useradd

# Padrão da equipe: Group100

# Catálogo de casa:% s \u003d nome de usuário) Nome / home /% s

# Comando Bainha Padrão: Shell / Bin / Bash

Catálogo em que o esqueleto do catálogo de casa está localizado: Skel / etc / skel

# Mínimo I. valores máximos. Para a seleção automática do gid no grupoaddgid_min100

O conteúdo deste arquivo define os valores padrão para os campos Passwd e Shadow File. Se você não os substituir da linha de comando, eles serão usados. Como ponto de partida, esses valores são bastante adequados, no entanto, para implementar a Password Outdate, alguns deles precisarão ser alterados. Um valor igual a -1 significa sem restrições.

No programa COAS, a distribuição da Caldera é usada pela interface gráfica do usuário

Para alterar as informações sobre a senha, para um ou dois usuários, você pode usar o comando CHAGE (changeagem - alterar desatualizado). Os usuários não privilegiados podem ser executados apenas com os parâmetros -l e seu próprio nome de usuário, isto é, para solicitar informações sobre a obsoletria apenas sua própria senha. Para alterar as probabilidades, basta especificar o nome de usuário, os parâmetros restantes serão solicitados na caixa de diálogo. Chamar Cadeia sem parâmetros dará uma breve referência a usar.

O programa CoAS pode ser usado para alterar os parâmetros de compartilhamento de senha para cada uma das contas separadamente. Neste caso, os valores são indicados em dias. A interface do programa é óbvia.

Observação -

Para obter informações sobre a senha desatualizada do usuário ou forçando esse processo, você pode usar o comando de expiração.

Sistema de segurança de Rams.

A ideia principal do quadro é que você sempre pode escrever um novo módulo de segurança que seria endereçado a um arquivo ou dispositivo para obter informações e devolveu o resultado da execução do procedimento de autorização: sucesso (sucesso), falha (falha ) ou ignorar (ignorar). E RAM, por sua vez, retornará o sucesso (sucesso) ou fracasso (falha) que o causou. Assim, não importa quais senhas, sombra ou ordinária são usadas no sistema, se houver quadros: todos os quadros de apoio funcionarão perfeitamente com aqueles e outros.

Agora nos voltamos para a consideração dos princípios básicos da operação da RAM. Considere a listagem 1.6. O diretório /etc/pam.d contém arquivos de configuração para outros serviços, como su, passwd, etc., dependendo de qual software é instalado no sistema. Cada serviço de restrição de serviço (restritoService) corresponde ao seu arquivo de configuração. Se não houver ninguém, este serviço com a restrição de acesso entra na categoria "Outra", com o outro arquivo de configuração. (Um serviço de restrição de serviço é chamado de qualquer serviço ou programa para uso que é necessário para se submeter a autorização. Em outras palavras, se em condições normais, o serviço solicita seu nome de usuário e senha, é um serviço de restrição de serviço.)

Listagem 1.6. Login de configuração de arquivo.

aUTH Necessário Pam_Securetty.So.

aUTH NECESSÁRIO PAM_PWDB.SO.

aUTH Necessário Pam_nologin.So.

#Auth requerido pam_dialup.so.

auth opcional pam_mail.so.

conta necessária pam_pwdb.so.

sessão necessária pam_pwdb.so.

sessão opcional pam_lastlog.so.

senha obrigatória pam_pwdb.so.

Como pode ser visto na listagem, o arquivo de configuração consiste em três colunas. Linhas começando com o símbolo de lattice (#) são ignorados. Portanto, o módulo PAM_DIALUP (a quarta linha de listagem 1.6) será perdida. O arquivo tem linhas com o mesmo terceiro campo - PAM_PWD.SO e primeiro - AUTH. O uso de várias linhas com o mesmo primeiro campo é chamado de acumulação (empilhamento) dos módulos e permite obter autorização multi-passo (pilha de módulos), que inclui vários procedimentos de autorização diferentes.

A primeira coluna é uma coluna de tipo. O tipo é determinado por uma das quatro marcas de caracteres: autenticação, conta, sessão e senha. O conteúdo de todas as colunas é considerado sem registrar.

Tipo Auth (Autenticação - Autenticação) é usado para esclarecer se o usuário é aqueles que se entregaram. Como regra, isso é conseguido comparando senhas inseridas e armazenadas, mas outras opções também são possíveis.

Tipo de conta (conta) Verifica se o serviço é permitido usar este usuário, em quais condições não é a senha e assim por diante.

Digite Senha (Senha) é usada para atualizar os marcadores de autorização.

O tipo de sessão (sessão) executa determinadas ações quando o usuário efetua login e quando o usuário é emitido do sistema.

Gerenciando bandeiras

A segunda coluna é o campo da bandeira de controle, que é determinar o que fazer depois de retornar do módulo, isto é, a reação da RAM para os valores do sucesso (sucesso), ignorar (ignorar) e falha (ignorar) Falha). Valores permitidos: Requisito, requerido, suficiente e opcional. Do valor neste campo depende se as outras linhas de arquivo serão processadas.

A bandeira requisita define o comportamento mais rígido. Processando qualquer linha com o sinalizador requerido, cujo módulo devolvido o valor da falha (falha) será descontinuado e o serviço que o causou será retornado à falha. Nenhuma outra lixa será considerada. Esta bandeira é rara o suficiente. O fato é que se o módulo marcado por eles for executado o primeiro, os módulos após ele podem ser executados, incluindo os responsáveis \u200b\u200bpelo registro, portanto, o sinalizador necessário (obrigatório) é geralmente aplicado.

O sinalizador requerido não interrompe a execução de módulos. Seja qual for o resultado da implementação do módulo marcado por eles: sucesso (sucesso), ignorar (ignorar) ou falha (falha), os quadros sempre prossiga para o processamento do próximo módulo. Este é o sinalizador mais utilizado, uma vez que o resultado do módulo não é retornado até que todos os outros módulos funcionem, o que significa que os módulos responsáveis \u200b\u200bpelo registro são definidos.

A bandeira suficiente (suficiente) leva a uma conclusão imediata do processamento de linha e retornando o valor do sucesso (sucesso), desde que o módulo marcasse o valor retornado o valor de sucesso (sucesso) e anteriormente não atendia ao módulo com o sinalizador necessário que retornou o status de falha (falha). Se tal módulo tiver cumprido, o sinalizador suficiente é ignorado. Se o módulo marcado com este sinalizador retornou o valor para ignorar (ignorar) ou falha (falha), o sinalizador suficiente é visto de forma semelhante ao sinalizador opcional.

O resultado da execução do módulo com o sinalizador opcional (opcional) é levado em conta apenas quando é o único módulo na pilha que retornou o valor do sucesso (sucesso). Caso contrário, o resultado de sua execução é ignorado. Assim, o cumprimento malsucedido do módulo marcado por ele não implica o fracasso de todo o processo de autorização.

Para garantir que o usuário possa acessar o sistema, os módulos marcados pelos sinalizadores necessários e necessários não devem retornar os valores de falha (falha). O resultado da execução do módulo com o sinalizador opcional é assumido apenas se for o único módulo na pilha que retornou sucesso (sucesso).

Módulos RAM.

A terceira coluna contém o nome completo do arquivo do módulo associado a esta string. Em princípio, os módulos podem ser localizados em qualquer lugar, mas se forem colocados em um diretório predefinido para módulos, você poderá especificar apenas um nome, caso contrário, o caminho é necessário. Em ISPs, o catálogo predefinido é / lib / segurança.

A quarta coluna é projetada para transmitir parâmetros adicionais para o módulo. Nem todos os módulos têm parâmetros e, se houver, eles não podem ser usados. A transmissão do módulo de parâmetro permite que você mude seu comportamento de uma forma ou de outra.

A Listagem 1.7 contém uma lista de módulos de quadro que fazem parte do MSVS.

Listagem 1.7. A lista de módulos dos quadros incluídos no MSVS

pam_rhosts_auth.so.

pam_securetty.so.

pam_unix_acct.so.

pam_unix_auth.so.

pam_unix_passwd.so.

pam_unix_session.so.

Sobre módulos mais detalhes

O módulo Pam_Access.so é usado para fornecer / proibir o acesso com base no arquivo /etc/security/access.conf. As linhas deste arquivo têm o seguinte formato:

direitos: Usuários: De onde

Direitos + (permitir) ou - (proibir)

Usuários - Todos, Nome de usuário ou User @ nó, onde o nó corresponde ao nome da máquina local, caso contrário, o registro é ignorado.

De onde é um ou mais nomes de arquivos terminal (sem prefixo / dev /), nomes nó, nomes de domínio (A partir do ponto), endereços IP, todos ou locais.

O módulo pam_cracklib.so verifica as senhas do dicionário. Ele é projetado para verificar uma nova senha e permitir que você evite o uso no sistema facilmente senhas rachadas, que são consideradas palavras comuns, senhas contendo caracteres de repetição e senhas muito curtas. Existem parâmetros opcionais: depuração, digite \u003d e retry \u003d. O parâmetro Debug inclui informações de depuração para o arquivo de log. O parâmetro Type, seguido pela string, altera no convite NewUnixPassword padrão: a palavra UNIX para a string especificada. O parâmetro Repetir define o número de tentativas fornecidas ao usuário para inserir a senha, que o erro é retornado à exaustão (uma tentativa é dada por padrão).

Considere a listagem 1.8. Ele mostra o conteúdo do arquivo / etc / pam.d / outro. Este arquivo contém uma configuração usada pelo mecanismo de frameworks para serviços que não possuem seus próprios arquivos de configuração no diretório /etc/pam.d. Em outras palavras, este arquivo se aplica a todos os serviços desconhecidos para o sistema de quadros. Apresenta todos os quatro tipos de autorização, autenticação, conta, senha e sessão, cada um dos quais faz com que o módulo PAM_DENY.SO marcado pelo sinalizador refilado. Assim, a execução de um serviço desconhecido é proibida.

Listagem 1.8. Arquivo /etc/pam.d/outras.

aUTH Necessário Pam_deny.So.

aUTH Necessário Pam_Warn.so.

conta necessária pam_deny.so.

senha obrigatória pam_deny.so.

senha obrigatória pam_warn.so.

sessão necessária pam_deny.so.

O módulo Pam_DialUp.so verifica se deve especificar uma senha para acessar um terminal ou terminais remotos, que usa o arquivo / etc / segurança / ttys.dialup. O módulo é aplicável não apenas para TTYs, mas em geral a qualquer terminal TTY. Quando uma senha é necessária, ele é verificado com o arquivo / etc / segurança / passwd.dialup. Alterações no arquivo Passwd.Dialup são realizadas pelo programa DICPASTWD.

O módulo Pam_Group.so é verificado de acordo com o conteúdo do arquivo /etc/security/group.conf. Este arquivo indica grupos cujo membro do qual pode ser o usuário especificado no arquivo ao executar determinadas condições.

O módulo Pam_Lastlog.so entra nas informações do arquivo Lastlog sobre quando e de onde o usuário digitou o sistema. Normalmente, este módulo é marcado com o tipo de sessão e o sinalizador opcional.

O módulo PAM_LIMITS.SO permite impor várias restrições aos usuários logados. Essas restrições não se aplicam ao usuário raiz (ou qualquer outro usuário com um identificador zero). As limitações são definidas no nível de login e não são globais ou permanentes, agindo apenas dentro da mesma entrada.

O módulo pam_lastfile.so aceita algum registro (item), compara-o a uma lista no arquivo e com base nos resultados da comparação, retorna o sucesso (sucesso) ou falha (falha). Os parâmetros deste módulo são os seguintes:

Item \u003d [usuário terminal | Remote_uzel | Usuário remoto | Grupo | bainha]

Sentido \u003d (status para retornar; quando a gravação é encontrada na lista, caso contrário, o status é oposto ao especificado)

arquivo \u003d / completo / caminho / e / file_name - onerr \u003d (qual status é retornado em caso de erro)

Arr1U \u003d [Usuário | @ grupo] (especifica o usuário ou grupo à qual restrições são aplicadas. Faz sentido apenas para registros de exibição de item \u003d [terminal | remote_uelle | Bainha], Para registros de visualização do item \u003d [Usuário | Usuário remoto | Grupo] ignorado)

O módulo Pam_Nologin.so é usado ao autorizar o tipo de autenticação com o sinalizador necessário. Este módulo verifica se o arquivo / etc / nologin existe e, se não, retorne o valor do sucesso (sucesso), caso contrário, o conteúdo do arquivo é mostrado ao usuário e retorna o valor de falha (falha). Este módulo é geralmente usado nos casos em que o sistema ainda não está totalmente inserido em operação ou temporariamente fechado para manutenção, mas não desconectado da rede.

O módulo PAM_PERMIT.SO é opcional para o módulo PAM_DENY.SO. Sempre retorna o valor do sucesso (sucesso). Quaisquer parâmetros transmitidos pelo módulo são ignorados.

O módulo Pam_PWDB.SO fornece uma interface para passwd e sombra de arquivos. Os seguintes parâmetros são possíveis:

Depurar - gravar informações de depuração para o arquivo de log;

Auditoria - informações de depuração adicionais para aqueles que não são informações de depuração ordinárias suficientes;

Use_first_pass - Nunca solicite uma senha para um usuário e tire-a de módulos de pilha anteriores;

TENTE_FIRST_PASS - Tente obter uma senha de módulos anteriores, em caso de falha em solicitar um usuário;

Use_authtok - Retorna o valor da falha (falha) Se pam_authtok não tiver sido instalado, não solicite uma senha para o usuário e leve-a de módulos de pilha anteriores (apenas para pilha de módulos de senha);

NOT_SET_PASS - Não instale uma senha deste módulo como uma senha para módulos subseqüentes;

Shadow - Manter um sistema de senhas de sombra;

UNIX - Coloque as senhas para arquivar / etc / passwd;

MD5 - Na próxima mudança de senha, use senhas MD5;

Bigcrypt - Com a próxima mudança de senha, use senhas decc2;

Nodelay - desativar um atraso único da Acrean com autorização malsucedida.

O módulo Pam_RHosts_auth.so permite / proíbe o uso de arquivos.rhosts ou hosts.equiv. Além disso, também permite / proíbe o uso de entradas "perigosas" nesses arquivos. Os parâmetros deste módulo são os seguintes:

No_hosts_equiv - ignore o arquivo /etc/hosts.equiv;

No_rHosts - ignore o arquivo / etc / rhosts ou ~ / .rhosts;

Depurar - para registrar informações de depuração;

Nowarn - não exibir avisos;

Suprimir - não produza nenhuma mensagem;

Promiscuoso - Permita o uso do símbolo curinga "+" em qualquer campo.

Módulo pam_rootok.so retorna o valor do sucesso (sucesso) para qualquer usuário com identificador zero. Sendo marcado com o sinalizador suficiente, este módulo permite acesso ao serviço sem especificar a senha. O parâmetro no módulo é apenas um: depuração.

O módulo Pam_Securetty.so só pode ser usado para superucaturas. Este módulo funciona com o arquivo / etc / securetty, permitindo que o superusuário faça login no sistema apenas através dos terminais listados neste arquivo. Se você quiser permitir a entrada superusuário ao sistema via telnet (ttyp pseudo-terminal), então você deve adicionar uma string a este arquivo para ttyp0-255 ou para comentar a chamada Pam_Securetty.so no arquivo de login.

O módulo Pam_Shells.so retorna o valor de sucesso se o shell do usuário especificado no arquivo / etc / passwd estiver presente na lista Shell do arquivo / etc / shells. Se o arquivo / etc / passwd não atribuir nenhum shell, ele será iniciado / bin / sh. Se o arquivo / etc / passwd especificar um shell que está faltando na lista / etc / shells, o módulo retorna o valor da falha (falha). O direito de escrever para arquivar / etc / shell deve ter apenas superusuário.

O módulo Pam_Stress.so é usado para controlar senhas. Ele tem muitos parâmetros, incluindo uma depuração constante, mas em geral, apenas dois interesses são de todos os parâmetros:

Rojak - Permitir que o superusuário altere as senhas de usuário sem inserir a senha antiga;

Expirado - Com este parâmetro, o módulo é executado como se a senha do usuário for válida já expirada.

Os outros parâmetros do módulo permitem desativar qualquer um desses dois modos, use uma senha de outro módulo ou passe a senha para outro módulo, etc. Aqui não vou considerar todos os parâmetros do módulo, por isso, se você precisar usar o Recursos especiais deste módulo, leia a descrição na documentação do módulo.

O módulo Pam_Tally.so nos arquivos /etc/pam.d não é usado por padrão. Este módulo calcula as tentativas de aprovação de autorização. Com a passagem bem sucedida da autorização, o número de tentativas pode ser redefinido. Se o número de tentativas de conexão malsucedidas excederem algum limite, o acesso pode ser proibido. Por padrão, informações sobre tentativas são colocadas no arquivo / var / log / faillog. Parâmetros globais são os seguintes:

Onerr \u003d - O que fazer se ocorrer um erro, por exemplo, não foi possível abrir o arquivo;

Arquivo \u003d / completo / caminho / e / file_name - se não houver, o arquivo padrão será usado. O parâmetro a seguir faz sentido apenas para o tipo de autenticação:

No_magic_root - inclui a contagem do número de tentativas para o superusuário (padrão não é conduzido). Útil se a entrada superusuário for permitida ao sistema via telnet. Os seguintes parâmetros fazem sentido apenas para o tipo de conta:

Negar \u003d n - recusar o acesso após n tentativas. Ao usar este parâmetro, o comportamento do módulo de reset / no_reset varia por padrão com NO_RESET no reset. Isso acontece para todos os usuários, com exceção do usuário raiz (UID 0), a menos que o parâmetro No_magic_root não seja usado;

No_magic_root - Não ignore o parâmetro Negar para tentativas do usuário raiz. Quando usado em conjunto com o parâmetro Negar \u003d (consulte anteriormente), o comportamento de redefinição é definido por padrão para o usuário raiz, como para todos os outros usuários;

Even_deny_root_account - Permite o bloqueio da conta Superuser se houver parâmetro No_magic_root. Este é emitido um aviso. Se o parâmetro No_Magic_root não for usado, então, independentemente do número de tentativas malsucedidas, a conta Superuser, em contraste com os usuários comuns, nunca será bloqueado;

Redefinir - redefina o contador do número de tentativas de uma entrada bem-sucedida;

NO_RESET - para não redefinir o número de tentativas de uma entrada bem-sucedida; Usado por padrão, a menos que o parâmetro Negar seja especificado \u003d.

O módulo Pam_Time.so permite restringir o acesso ao serviço dependendo do tempo. Todas as instruções para sua configuração podem ser encontradas no arquivo / etc / time.conf. Ele não possui parâmetros: tudo é definido no arquivo de configuração.

O módulo Pam_UNIX está envolvido em problemas da autorização usual do ISWS (geralmente em vez do módulo usa Pam_pwdb.so). O fisicamente este módulo consiste em quatro módulos, cada um dos quais corresponde a um dos tipos de quadros: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so e pam_unix_passwd.so. Módulos para os tipos de conta e parâmetros de autenticação não possuem. O módulo para o parâmetro Type Passwd é apenas um: rigoroso \u003d falso. Se disponível, o módulo não verificará senhas para resistência ao hacking, permitindo que você use as senhas arbitrárias, incluindo as senhas inseguras (facilmente adivinhando ou selecionadas). O módulo do tipo de sessão entende dois parâmetros: depuração e rastreamento. As informações de depuração do parâmetro Debug são colocadas em um arquivo de log de informações de depuração, conforme indicado no Syslog.conf, e as informações do parâmetro de rastreamento são devidas à sua sensibilidade - no log de AuthPriv.

O módulo Pam_Warn.so registra uma mensagem sobre sua chamada para syslog. Parâmetros não tem.

O módulo Pam_Wheel.so permite ao superusuário apenas aos membros do grupo de rodas. O grupo de rodas é um grupo especial do sistema cujos membros têm grandes privilégios do que os usuários comuns, mas menores que o superusuário. Sua presença reduz o número de usuários do sistema com os privilégios do superusuário, tornando-os membros do grupo de rodas e, assim, aumentando a segurança do sistema. Se o superusuário só puder ser conectado usando o terminal, este módulo pode ser usado para fazer um trabalho inacessível para usuários via telnet com privilégios superususer, recusando-os a acessar se eles não pertencerem ao grupo Wheelmoduil usa os seguintes parâmetros:

Depuração - log de informações de depuração;

Use_uid - Definição de pertencimento com base no ID do usuário atual e não foi atribuído ao entrar no sistema;

Confiança - no caso dos afiliados do usuário para o grupo de rodas, devolva o valor do sucesso (sucesso) e não ignore (ignore);

Negar - altera o significado do procedimento para o oposto (reembolso bem sucedido). Em combinação com o grupo \u003d permite que você negue o acesso a membros desse grupo.

Observação -

O catálogo / etc / segurança está diretamente relacionado ao diretório /etc/pam.d, desde que contém os arquivos de configuração de vários módulos de quadro causados \u200b\u200bem arquivos de /etc/pam.d.

Entradas de RAM em arquivos de log

Listagem 1.9. Content / var / log / seguro

11 de janeiro 16:45:14 Chiriqui PAM_PWDB: (su) Sessão aberta para raiz do usuário

11 de janeiro 16:45:25 Chiriqui Pam_pwdb: (su) Sessão fechada para o usuário raiz

Jan 11 17:18:06 Chiriqui Login: Falha no login 1 de (null) para David,

Falha de autenticação.

11 de jan 17:18:13 Chiriqui Login: Falha no login 2 de (null) para David.

Falha de autenticação.

11 de jan 17:18:06 Chiriqui Login: Falha no login 1 de (null) para David.

Falha de autenticação.

11 de janeiro 17:18:13 Chiriqui Login: Falha no login 2 de (null) para David,

Falha de autenticação.

11 de janeiro 17:18:17 Chiriqui Pam_PWDB: (Login) Sessão aberta para o usuário David

Jan 11 17:18:17 Chiriqui - David: Faça o login no ttyl por david

11 de janeiro 17:18:20 Chiriqui PAM_PWDB: (login) Sessão fechada para o usuário David

Cada gravação começa a partir da data, hora e nome do nó. Depois disso, o nome do módulo de quadro e o identificador de processo incluído em colchetes quadrados. Então, entre parênteses, o nome da restrição de serviço está chegando. Para a listagem 1.9 é su ou login. Após o nome do serviço, "sessão" (a sessão é aberta) ou "SessionClosed" (sessão é fechada).

A entrada que segue o registro com "SessionOpence" é uma mensagem sobre a entrada no sistema da qual você pode descobrir quem e de onde ele digitou o sistema.

As seguintes perguntas são consideradas:

Qual é o grupo de usuários padrão e grupos de usuários privados;

Alterar usuário / grupo;

Como alterar o usuário / grupo afeta a interface gráfica;

Segurança e usuários;

Segurança e senhas;

Proteção de senha;

Escolhendo uma boa senha;

Hacking Senhas.

Grupo padrão.

Atualmente, restrições ao usuário simultâneo pertencente apenas a um grupo não existe mais. Qualquer usuário pode pertencer simultaneamente a vários grupos. No comando Newgrp, o usuário se torna um membro do grupo especificado no grupo, enquanto este grupo se torna para este usuário. grupo de login (Logingroup). Ao mesmo tempo, o usuário continua a ser um membro dos grupos nos quais ele inseriu antes do comando Newgrp. O grupo de login é um grupo que se torna o proprietário do grupo dos arquivos do usuário.

A diferença entre o grupo padrão e os grupos de usuários privados é o grau de abertura desses dois esquemas. No caso de um esquema padrão, qualquer usuário pode ler (e muitas vezes alterar) outros arquivos de usuário. Com os grupos privados, ler ou escrever um arquivo criado por outro usuário é possível apenas se o seu proprietário forneceu explicitamente os direitos dessas operações para outros usuários.

Se for necessário que os usuários possam participar e deixar o grupo sem a intervenção do administrador do sistema, a senha pode ser atribuída a este grupo. O usuário pode usar os privilégios de um grupo específico somente se ele pertencer a ele. Existem duas opções aqui: pertence ao grupo a partir do momento do login no sistema, ou se torna um membro do grupo posteriormente, depois de começar a trabalhar com o sistema. Para que o usuário possa participar do grupo para o qual ele não pertence, a senha deve ser atribuída a este grupo.

Por padrão, as senhas do grupo não são usadas no ASWS, para que o arquivo GSHadow no diretório / etc não seja.

Se você estiver constantemente usando apenas um dos programas para administrar usuários, você está constantemente usando um dos programas - useradd, lisa ou coas, - os arquivos de configurações do usuário são obtidos mais consistentes e mais fáceis acompanhados.

A vantagem do esquema padrão com o grupo padrão é que facilita o compartilhamento de arquivos, uma vez que não precisa cuidar dos direitos de acesso. Este esquema implica uma abordagem aberta ao sistema de acordo com o princípio "Tudo o que não é proibido é permitido".

Configurando os parâmetros do usuário por padrão é uma tarefa de alta prioridade que segue imediatamente quando você define o sistema.

Grupos privados de usuários

Grupos de usuários privados têm nomes que coincidem com os nomes de usuários. O grupo privado é feito no grupo de login, portanto, por padrão, ou seja, se os atributos de diretório não prescreverem mais nada, ele será atribuído como um proprietário de grupo de todos os arquivos deste usuário.

A vantagem dos grupos privados do usuário é que os usuários não precisam pensar em restringir o acesso aos seus arquivos: por acesso padrão a arquivos de usuário Desde o momento de sua criação será limitado. No ISWS, ao usar grupos privados, o usuário pode ler ou alterar apenas arquivos pertencentes a ele. Além disso, só pode criar arquivos somente no seu diretório inicial. Esse comportamento padrão pode ser alterado por um administrador ou usuário do sistema e ambos no nível do arquivo individual e no nível de diretório.

Existem vários comandos, com os quais o usuário pode controlar seu nome e / ou o grupo ao qual ele pertence, ou pelo nome ou grupo, sobre a pessoa da qual o programa é executado. Um desses programas é Newgrp.

O comando newgrp pode ser executado por qualquer usuário. Ele permite que ele participe do grupo ao qual não pertence, mas apenas se uma senha for atribuída a este grupo. Este comando não permitirá que você participe do grupo sem uma senha, se você não for um membro deste grupo.

O comando newgrp pode ser usado em relação ao grupo, cujo membro já é o usuário. Nesse caso, a Newgrp faz o grupo de login especificado. Grupos de usuários são divididos em dois tipos: grupo de login e todos os outros grupos para os quais este usuário pertence. O usuário pode pertencer a vários grupos, no entanto, um grupo de grupo de login neste usuário será sempre atribuído a um grupo - proprietário dos arquivos baseados em usuário.

Além dos comandos NewGrp, Chown e Chgrp também podem ser usados \u200b\u200bpara gerenciar a afiliação de arquivos para um arquivo ou outro usuário ou grupo.

A área de comando newgrp no ambiente Xwindow é limitada ao programa Xterm em que foi concluído: no contexto do novo grupo, apenas os programas que executam através deste terminal serão executados e, portanto, o usuário não pode alterar o grupo de login para programas correndo pelo despachante da janela. Um programa que sempre precisa ser realizado no contexto do grupo secundário pode ser executado através do script definindo o grupo de login necessário para ele.

O sistema Xwindow sempre introduz dificuldades adicionais. DENTRO este caso Essas dificuldades não estão diretamente relacionadas ao X, e seguem da lógica de trabalho / etc / grupos e / etc / gshadow. Aqueles que não usam senhas de sombra para grupos, preocupando-se especialmente sobre o que. No caso de X, defina um grupo protegido por senha a partir de um simples script, no entanto, para grupos de usuários secundários que não exigem entrada de senha, a mudança do grupo é extremamente simples. O seguinte é o seguinte cenário:

sG - GIFS -C / USR / X11R6 / BIN / XV &

Como resultado do início deste script, o programa XV será lançado, cujo grupo principal será o grupo GIFS. O que foi necessário para conseguir.

Mais difícil para aqueles que usam senhas do grupo Shadow, porque neste caso, ao executar esse script, uma mensagem de erro aparece na tela. Quando os usuários estão listados no arquivo / etc / Grupos, qualquer um deles é automaticamente considerado um membro imediatamente após o login no sistema. No entanto, no caso de uma senha de sombra, a lista de usuários do grupo é movida para arquivar / etc / gshadow, para que o usuário logado no sistema não seja creditado pela máquina para seus membros, mas pode se juntar a ele o comando newgrp ou para executar qualquer programa de seu nome com o comando usando o comando sg. O problema é que, a partir do ponto de vista do X, este usuário (que não é necessariamente o usuário, iniciado pela sessão de trabalho X), não tem o direito de instalar a conexão. Portanto, para grupos de senha desprotegidos, o cenário anteriormente reduzido altera da seguinte forma:

xHosts + lozalhost.

sG - GIFS -C / USR / X11R6 / BIN / XV &

String adicionada permite acessar a tela. novo grupo (Gifs). Para a maioria das estações de trabalho, isso não deve levar a nenhum problema de segurança significativo, já que esta string permite apenas acessar a tela para os usuários do nó local (para obter mais informações sobre X e XHost, consulte o bom manual do administrador do sistema Linux).

NOTA

O uso do servidor X (especialmente em particular com o XDM ou o KDM) implica várias suas sutilezas, ainda mais exacerbadas por aplicativos gráficos, pois eles podem ser lançados não apenas através da linha de comando, mas também usando o ícone na área de trabalho gráfico.

Alterando o usuário

NOTA

Um usuário comum não pode causar tanto o sistema como um superusuário descuidado pode fazer. As conseqüências do seu tipografia como superusuário podem ser bastante fatais, até o ponto de que todos os seus arquivos do sistema (e em geral, todos os arquivos armazenados no sistema podem dizer adeus. Em algumas empresas, depois disso, eles podem dizer "adeus" e você.

A transformação de um usuário em outro é o comando su. A equipe recebeu seu nome de « substituto. do utilizador. » (substituição do usuário), mas já que a maioria das vezes é usada para se tornar um superusuário ..

O comando SU causado sem argumentos vai pedir à senha do usuário, após o qual (recebendo a senha correta em resposta) fará de você um usuário root. Este comando é um serviço de restrição de serviço, portanto, todos os aspectos de sua segurança podem ser configurados através do arquivo /etc/pam.d/su.

Observação -

SU Circulação sem especificar o nome de usuário (com ou sem ou sem defis ou sem), como uma indicação de fazer um usuário root.

Este comando sudo permite aos favoritos que os usuários realizem alguns programas nos direitos de superstuser e, no usuário que apelam para este comando não é solicitado como uma senha do superusuário, mas sua própria senha. Usado sudo como um comando sg. O usuário insere o sudo team_fer_mill, então sua senha e, se for permitida, o comando especificado é executado no contexto dos privilégios superusus.

Segurança e usuários

Os usuários geralmente estão interessados \u200b\u200bapenas em como fazer login e iniciar os programas necessários. O interesse pela segurança aparece apenas depois de perder arquivos importantes. Mas ele dura muito tempo. Tendo aprendido que as medidas foram aceitas, os usuários esquecem rapidamente de qualquer precaução.

De um modo geral, não seu cuidado - segurança. O administrador do sistema deve considerar, implementar e manter uma política de segurança que permitiria que os usuários façam seu trabalho sem se distrair com os problemas de proteção para eles.

O principal perigo para o sistema, por via de regra, vem do interior, e não fora. Sua fonte (especialmente em grandes sistemas) pode ser, por exemplo, um usuário irritado. No entanto, é necessário evitar suspeitas excessivas quando o dano causado pela ignorância é tomado para a intenção do mal. Sobre como proteger os usuários de danos não intencionais em seus arquivos e arquivos externos é descrito na primeira parte do livro. Como mostra a prática, o usuário médio não é capaz de danificar o sistema. Só é necessário se preocupar com os usuários que são capazes de encontrar uma brecha nos mecanismos de proteção e são realmente capazes de causar danos direcionados ao sistema. Mas esses usuários são geralmente poucos e ao longo do tempo eles se tornam conhecidos, especialmente se você sabe o que prestar atenção. O grupo de risco inclui usuários que, em virtude de sua posição ou, graças aos seus relacionamentos, podem acessar o nível dos privilégios raiz. Como você dominará o material deste livro, descobrirá exatamente o que exatamente deve ser considerado como sinais de problemas iminentes.

Por padrão, os usuários recebem controle total sobre seus catálogos em casa. Se você estiver usando o grupo padrão, todos os usuários do sistema pertencem ao mesmo grupo. Qualquer usuário tem o direito de acessar os diretores de outros usuários e os arquivos localizados neles. Ao usar um esquema com grupos privados de usuários, qualquer um dos usuários do sistema tem acesso apenas ao seu próprio diretório inicial, e diretórios domésticos de outros usuários não estão disponíveis para ele.

Se todos os usuários do sistema forem obrigados a fornecer acesso compartilhado a alguns arquivos comunsRecomenda-se criar um catálogo geral especificamente para esses fins, para iniciar um grupo cujos membros seriam todos os usuários (isso pode ser um grupo de usuários ou qualquer outro grupo que você criou) e forneça este grupo com os direitos de acesso relevantes este catálogo comum. Se o usuário quiser disponibilizar alguns de seus arquivos para outros usuários, basta copiá-los para esse diretório e garantir que esses arquivos pertençam ao mesmo grupo que todos os usuários são membros.

Alguns usuários precisam ser usados \u200b\u200bou simplesmente não podem fazer sem programas que não estão incluídos no ASC Kit. A maioria dos usuários acabará por adquirir uma infinidade de arquivos próprios: documentos, arquivos de configuração, cenários, etc. O sistema OpenLinux não fornece aos usuários cuidados especiais na organização de seus arquivos, deixando esta tarefa para o administrador do sistema.

A estrutura dos diretórios criada no diretório inicial de cada novo usuário é determinada pelo conteúdo do diretório / etc / skel. Os seguintes diretórios geralmente são presentes em típico / etc / skel:

Esses diretórios são usados \u200b\u200bpara armazenar (respectivamente) arquivos binários, arquivos de origem, arquivos de documentos e outros arquivos variados. Muitos programas padrão oferecem para salvar os arquivos de determinados tipos em um desses subdiretórios. Tendo recebido uma explicação da nomeação dos catálogos disponíveis à sua disposição, os usuários geralmente começam a usá-los, pois os eliminá-los da necessidade de inventar algo. Não se esqueça de fazer o diretório ~ / bin como um dos diretórios mais recentes listados na variável de usuário do caminho.

Segurança e senhas

Dizem que, onde está tudo bem, lá e quebra - esta afirmação é muitas vezes lembrada quando se trata do significado das senhas no sistema de segurança. De um modo geral, a confiabilidade do sistema de segurança é determinada pela multiplicidade de fatores, em particular, o que os serviços do sistema MSV tornam acessíveis a usuários externos (se é usado como um servidor da Web, se for possível inseri-lo usando Telnet, etc .).). Outro fator definidor é senhas de usuário, o que nos leva a outro fator - conformidade com as políticas do usuário. Um usuário simples não sabe nada sobre segurança. Se respeitarmos o usuário e não queremos mudar sua atitude em relação aos métodos forçados de segurança, devemos tornar o sistema de segurança conveniente e compreensível para isso. O mais difícil de fornecer conveniência. Tudo seguro geralmente não é muito conveniente (uma vez que a conveniência de previsibilidade e elementaridade não é combinada com segurança) e, portanto, entra no conflito com o comportamento habitual de pessoas que preferem todas as formas possíveis. No final, os usuários trabalham com o sistema para realizar o trabalho confiado a eles e não adicionar um novo. Em ordem, os usuários deliberadamente não acompanham o caminho de menor resistência ao trabalhar com senhas, geralmente tento explicar a eles, para as quais as senhas são necessárias e por que é importante manter sua segurança. É importante não a partir de posições gerais como "Um sistema de segurança baixo pode hackear e roubar ou danificar arquivos importantes", e da posição de interesses pessoais do usuário.

A maioria dos usuários entende a importância do e-mail para o seu trabalho. No entanto, eles não percebem que qualquer entrada no sistema sob o nome tenha a oportunidade de usar seu email em seu nome contra eles. Pergunte ao usuário, se ele usa e-mail para fins pessoais. Muito provavelmente, ele responderá que sim. Então pergunte a ele se ele teve que resolver problemas importantes por email. Não há menos do que aqueles que respondem "não" todos os dias. Mas mesmo em caso de resposta negativa, alguns dos parceiros de negócios podem considerar a transação por e-mail como vinculação como uma transação por telefone.

Depois disso explicar ao usuário que sua e-mails. Às vezes, tem o mesmo que sua assinatura pessoal. E, embora a manchete da mensagem eletrônica possa ser substituída, na maioria dos casos, tal substituição também é ilegal como uma assinatura falsa. Mas se alguém, de uma forma ou de outra, tendo aprendido a senha de outro usuário, entrará no sistema em seu nome, então é, figurativamente falando, será capaz de subscrever a assinatura de outra pessoa. Qualquer e-mail enviado para eles será tecnicamente indistinguível do correio enviado pelo próprio usuário. A prática de fornecer aos recursos de entrada de alguém sob um nome diferente é indesejável e deve ser evitado (a exceção é que os administradores do sistema que usam esse recurso para testar os cenários de login e os parâmetros do usuário, mas para isso não precisam saber a senha deste do utilizador). Os fenômenos indesejados devem ser atribuídos ao sistema sob o nome de outra pessoa (mesmo com a permissão de outro usuário). Quão indesejável é? A resposta a esta questão é determinada pela gravidade da política de segurança da empresa.

No entanto, os usuários precisam entender que há outras maneiras não menos perigosas de obter acesso não autorizado à sua conta. O caso é o mais comum quando o usuário, temendo esquecer a senha, torna simples memorizar, o que significa adivinhar ou registra uma senha em um pedaço de papel que é frequentemente ligado ao monitor. O sistema de segurança de senha é baseado em duas coisas: um nome de usuário constante e uma senha alterada periodicamente. A maioria das pessoas não dirá um código PIN para qualquer pessoa para acessar sua conta bancária, mas sua senha de usuário está longe de ser tão ciumento. Embora, ao contrário da situação com uma conta bancária, onde a parte constante, isto é, um cartão de crédito é um objeto físico, o acesso a que ainda é necessário para obter, a parte constante do sistema de segurança da senha, ou seja, o nome de usuário é conhecido por todos (pelo menos todos nas empresas e aqueles com os quais esse usuário realizou correspondência por email). Portanto, se a parte variável for registrada em algum lugar ou facilmente adivinhada ou for selecionada pelo programa que engole palavras de um dicionário, então essa conta não pode ser considerada bem protegida.

Finalmente, os usuários devem estar cientes da existência desse método de receber uma senha como "Engenharia Social" (Sociaalenginering). A maioria de nós se reuniu em suas vidas, pelo menos, com uma pessoa que pode dizer "escorregadio como já". Essas pessoas têm a capacidade de convencer outras pessoas recorrendo ao argumento lógico, para fornecer-lhes as informações necessárias. Mas este não é o único método possível Descubra a senha de outra pessoa. Às vezes é suficiente derramar.

Um meio de oposição a tais incidentes é a mudança regular de senha. Você pode, obviamente, mudar o tempo de senha em dez anos, mas é melhor não tomar lacunas entre os turnos por muito tempo, bem como melhor não fazê-los e muito curtos, por exemplo, uma vez por hora. Não mude a senha por muito tempo significa expor-se a hackear o risco.

NOTA-

A penetração dos estranhos no sistema sob o disfarce de um usuário regular pode ter consequências tristes não apenas para os arquivos deste usuário, mas também para todo o sistema como um todo, já que mais este estranho saberá sobre o seu sistema, o mais fácil será encontrar os cortes em sua proteção.

Observe que antes de iniciar o trabalho, o script executa algumas verificações: se está sendo executado no nível de privilégio raiz, se o UID inicial está ocupado e assim por diante. No entanto, é impossível dizer que ele verifica tudo.

Hackear senhas

Uma das maneiras de verificar a segurança do sistema implica que se colocar no local de um atacante e tente pensar e agir como uma pessoa tentando quebrar a defesa. Isso significa que é necessário andar entre os usuários, verificando se a senha gravada não está conectada a qualquer monitor, alguém deixou ninguém na mesa com um pedaço de dados de identificação ou "passar" apenas naquela manhã Os usuários inserem o sistema (talvez, seja possível perceber como qualquer um deles discará a senha no teclado).

Ele também significa que você deve prestar atenção à orientação do monitor do usuário, ter acesso a informações confidenciais, a fim de descobrir se é visível para outra pessoa. Em seguida, quando esses usuários saem de seu local de trabalho, se eles lançam o programa Screensaver bloqueado por senha, e talvez saia do sistema ou não faça nada?

mas melhor maneira Verifique se há segurança de senha e relacionamentos de usuários para ele - tente hackear senhas de usuário. A execução regular do programa de hackers de senha pode dar uma boa avaliação da fortaleza do seu sistema de proteção por senha.

MSVS 3.0.- sistema multitarefa multiplayer protegido com uma separação de tempo desenvolvida com base no Linux. O sistema operacional fornece um sistema de prioridade de vários níveis com o deslocamento de multitarefa, organização de memória virtual e suporte total de rede; Funciona com multiprocessador (SMP - multiprocessamento simétrico) e configurações de cluster em plataformas Intel, MIPS e Sparc. Características do MSVS 3.0 - Meios internos de proteção contra acesso não autorizado que atendam aos requisitos do Conselho Estadual da Comissão Técnica Estadual no presidente da Federação Russa para 2 Fundos de Tecnologia de Computação. As ferramentas de proteção incluem controle obrigatório de acesso, listas de controle de acesso, modelo de função e ferramentas de auditoria desenvolvidas (log de eventos).

O sistema de arquivos ISWS 3.0 oferece suporte a nomes de arquivos até 256 caracteres com a capacidade de criar nomes e diretórios de arquivos russos, links simbólicos, cotas e listas de direitos de acesso. Existe a capacidade de montar sistemas de arquivos FAT e NTFS, bem como ISO-9660 (CDs). O mecanismo de cota permite que você controle o uso de usuários de espaço em disco, o número de processos em execução e a quantidade de memória alocada para cada processo. O sistema pode ser configurado para emitir avisos quando o usuário solicitado pelo usuário é abordado para uma determinada cota.

O MSVS 3.0 inclui um sistema gráfico com base na janela X. Dois gerentes de janela são fornecidos para trabalhar no ambiente gráfico: IcewM e KDE. A maioria dos programas no ISWS está focada em trabalhar em um ambiente gráfico, que cria condições favoráveis \u200b\u200bnão apenas para a operação dos usuários, mas também para sua transição para o sistema operacional Windows em MSVs.

O MSVS 3.0 é entregue em uma configuração, que exceto o kernel inclui um conjunto de produtos de software adicionais. Em si sistema operacional Usado como elemento básico da organização de locais de trabalho automatizados (armas) e a construção de sistemas automatizados. O software adicional pode ser instalado na escolha e é focado na administração máxima de automação e domínio e administração, o que reduz o custo de manutenção da Armm e concentra-se em usuários de sua tarefa de destino. O programa de instalação permite instalar o sistema operacional do CD de inicialização ou na rede através do protocolo FTP. Normalmente, o servidor de instalação é instalado e configurado a partir dos discos e, em seguida, a instalação de outros computadores é instalada pela rede. O servidor de instalação no domínio de trabalho executa a tarefa de atualizar e restaurar o software em locais de trabalho. A nova versão é adiada apenas no servidor e, em seguida, ocorre uma atualização automática nos locais de trabalho. Quando danificados por locais de trabalho (por exemplo, quando você exclui um arquivo de programa ou incurdação das somas de verificação de arquivos executáveis \u200b\u200bou de configuração), o software correspondente se refere automaticamente.

Ao instalar o administrador, é proposto escolher um dos tipos padrão de instalação ou instalação personalizada. Os tipos de padrão são usados \u200b\u200bquando instalados em tarefas padrão e abrangem as principais opções padrão para organizar trabalhos com base na Bunda 3.0 (Fig. 1). Cada tipo padrão define um conjunto de produtos de software instalados, uma configuração de disco, um conjunto de sistemas de arquivos e várias configurações do sistema. A instalação personalizada nos permite definir explicitamente todas as características indicadas do sistema final até a seleção de pacotes de software individuais. Quando você seleciona uma instalação personalizada, você pode instalar o ASW 3.0 para um computador com um já instalado por outro sistema operacional (por exemplo, Windows NT).

O MSVS 3.0 inclui um sistema de documentação unificado (ECD) com informações sobre uma variedade de aspectos do funcionamento do sistema. ESD consiste em um servidor de documentação e um banco de dados contendo descrições de descrições, acesso a que é possível através dos navegadores. Ao instalar software adicional no banco de dados do ECD, as seções de referência apropriadas são definidas. A ESD pode ser colocada localmente em cada local de trabalho, ou um servidor de documentação especial pode ser alocado no domínio do MSVS. A última opção é útil para usar dimensão grande nos domínios do ISWS para salvar o espaço total em disco, simplificar o processo de gerenciamento e atualizar a documentação. O acesso à documentação de outros trabalhos é possível por meio de um navegador da Web fornecido com o MSVS 3.0.

O MSVS 3.0 é russified tanto em modos alfanuméricos e gráficos. Os terminais virtuais são suportados, alternando entre os quais são realizados usando a combinação de teclas.

O ponto chave do ponto de vista da integridade do sistema é a operação de registro de novos usuários do Isww, quando os atributos do usuário são definidos, incluindo atributos de segurança, de acordo com os quais o sistema de controle de acesso continuará a controlar o usuário Operação. A base para o modelo de mandato é as informações inseridas ao registrar um novo usuário.

Para implementar o controle de acesso discricionário, os mecanismos tradicionais são usados \u200b\u200bpara mecanismos UNIX de Direitos de Acesso e Listas de Direitos de Acesso (Lista de Controle de Acesso ACL). Ambos os mecanismos são implementados no nível sistema de arquivo MSVS 3.0 e servem para definir os direitos para acessar os objetos do sistema de arquivos. Os bits permitem que você determine os direitos de três categorias de usuários (proprietário, grupo, outros), no entanto, isso não é um mecanismo bastante flexível e é aplicado ao especificar direitos para a maioria dos arquivos do sistema operacional, a parte mais usada dos usuários é igualmente usada. Com a ajuda das listas do ACL, você pode definir direitos no nível de usuários individuais e / ou grupos de usuários e, assim, obter detalhes significativos na tarefa dos direitos. As listas são aplicadas ao trabalhar com arquivos para os quais é necessário, por exemplo, para definir diferentes direitos de acesso para vários usuários específicos.

Uma das desvantagens essenciais dos sistemas tradicionais Unix, em termos de segurança, é a disponibilidade de um superusuário que tem os poderes mais amplos possíveis. Recurso MSVS 3.0 - Descentralização das funções do superusuário. A tarefa de administração do sistema é dividida em várias partes, para executar as configurações, os administradores de segurança e auditoria existem. Do ponto de vista do sistema operacional, esses administradores são usuários comuns que têm a oportunidade de lançar programas administrativos especiais e acesso aos arquivos de configuração apropriados. A criação de contas de administradores do sistema ocorre na instalação da Fase 3.0 de instalação.

Cada um dos administradores é responsável por executar apenas suas tarefas, por exemplo, o administrador de configuração gerencia sistemas de arquivos, interfaces de rede, configurações de serviço do sistema, etc. O administrador de segurança é responsável pela política de segurança e controla as configurações de segurança relacionadas à segurança: o comprimento mínimo de senha, o número de tentativas malsucedidas do login do usuário e similares. Ao mesmo tempo, todos os eventos relacionados à segurança, incluindo administradores, são registrados. Um administrador de auditoria que pode, por exemplo, logs de auditoria "limpo" é responsável por gerenciar a auditoria.

A descentralização das funções do superusuário permite implementar o princípio dos "quatro olhos". Por exemplo, o registro de um novo usuário MSVS 3.0 é realizado em duas etapas. Primeiro, o administrador de configuração cria uma conta para um novo usuário e, em seguida, o administrador de segurança registra um novo usuário no banco de dados do sistema de proteção. Somente depois disso, torna-se possível inserir um novo usuário no sistema.

Para executar tarefas de administração para a distribuição, o pacote "Ferramentas de administração" inclui programas para gerenciar usuários, arquivos, segurança, auditoria, instalações de todo o sistema e de rede.

A primeira tarefa a ser executada após a instalação do ISW3.0 é formar o administrador da política de segurança implementada nesta organização. Um dos componentes dessa tarefa é configurar o mecanismo do controle obrigatório de acesso. Na Fig. 2 mostra a forma de um programa de gerenciamento de mecanismo obrigatório que permite configurar o conjunto de atributos do mandato de assuntos e objetos do MSVS 3.0. Na parte superior da janela do programa, os níveis de segurança são configurados, cujos valores possíveis podem ser, por exemplo, "não confidenciais" e "confidencialmente". A parte inferior cria um conjunto de categorias descrevendo a área de assunto ao qual as informações incluem: "funcionários" "meios técnicos", etc. É possível criar artes de categorias (por exemplo, "category_1_2"), incluindo várias categorias separadas e outros verts. Trabalhar com níveis é mais conveniente ao apresentá-los na forma decimal, uma vez que os níveis têm uma organização hierárquica. Por sua vez, ao trabalhar com categorias, é conveniente representá-los em forma binária, uma vez que as categorias não são um conjunto hierárquico.

Na Fig. 3 é uma visão de um dos programas de gerenciamento do Windows. Iniciar este programa é possível apenas por administradores de configuração e segurança. Nesse caso, cada um deles pode estabelecer ou alterar apenas os atributos do usuário, que estão incluídos em sua competência.

Na Fig. 4 mostra um exemplo da janela do programa de gerenciamento de arquivos que permite visualizar e alterar os valores do atributo de arquivo. A visualização da estrutura de árvores do sistema de arquivos no lado esquerdo da janela facilita a navegação e selecione o arquivo desejado. Os atributos do arquivo selecionado agrupados de acordo com sua finalidade funcional são mostrados no lado direito. Para cada grupo alocou uma guia separada. A guia "Basic" apresenta tais atributos de arquivo tradicionais, como tipo, tamanho, número de referências rígidas, atributos discricionários e tags de tempo. Um recurso dos arquivos ISWS 3.0 é a presença de atributos obrigatórios e expandir atributos discricionários para a lista de direitos de acesso. Os atributos do mandato são apresentados na guia "Mandate Tag". Para gerenciar o arquivo ACL destacou a guia "Direitos de acesso". Além disso, quando você seleciona diretórios para os quais o ACL padrão é possível, a guia "Direitos de acesso padrão" é ativada. Na Fig. 5 mostra a janela Exibir do arquivo ACL. Você pode adicionar uma única entrada para o usuário ou grupo e muitas entradas com os mesmos direitos de acesso. Como no caso do programa anterior, o lançamento do programa de gerenciamento de arquivos é possível apenas por administradores de configuração e segurança. Cada um deles só pode alterar os atributos do arquivo que são controlados por sua competência.

Serviços do MSVS 3.0.

ASA, como qualquer outro sistema operacional, é usado para criar condições ideais para executar serviços e aplicativos que fornecem automação e melhorando a eficiência dos usuários.

Um dos principais serviços de qualquer sistema operacional é o serviço de impressão. O MSVS 3.0 inclui um sistema de impressão que permite imprimir documentos de acordo com os requisitos para sistemas protegidos. Entre as características do sistema de impressão do MSVS 3.0, que o distingue de sistemas semelhantes está suportando o mecanismo de controle de acesso, que permite definir o nível de privacidade do documento e direcionar automaticamente a tarefa para uma determinada impressora de acordo com as regras de impressão adotadas nesta organização. Cada folha impressa é marcada automaticamente pelos atributos de contabilidade do documento, incluindo o nome do usuário, impresso pelo documento e o nome do computador do qual a tarefa é enviada. Uma das vantagens do sistema de impressão é a sua invariância em relação aos aplicativos que se voltam para o serviço de impressão. Isso significa que não está vinculado a aplicativos existentes e não altera quando novos aplicativos aparecem. Como resultado, os aplicativos exibidos devem levar em conta a marcação de folhas e deixar espaço livre para isso. O fato da impressão é registrado em um diário especial para levar em conta documentos impressos. Para trabalhar com esta revista, é usado um programa especial, permitindo visualizar, editar alguns campos de registros e imprimi-los (Fig. 6).

Um elemento importante do sistema de proteção do ISWS 3.0 é o sistema de identificação / autenticação. Para autenticação bem-sucedida, o usuário deve inserir a senha correta. Obviamente, a qualidade da senha selecionada define a resistência do sistema para penetrar nos intrusos. Para a geração de senhas de usuário no MSA 3.0, um programa especial está incluído (Fig. 7).

Para monitorar os computadores de domínio, o sistema de funcionamento (CF), consistindo de um servidor e agentes especiais, é aplicado. Os agentes são instalados em computadores de domínio e relatam ao servidor de sua condição. O sistema CF permite receber informações sobre vários aspectos do funcionamento do computador (estado de processos, subsistema de disco, subsistemas do kernel) e monitorar o desempenho de serviços de rede (FTP, SSH, etc.). As informações que entram no servidor são acumuladas em periódicos especiais, o que permite observar não apenas o estado atual do domínio, mas também estudar sua condição para todo o período de funcionamento do sistema.

Domínio msvs.

O MSVS 3.0 é usado para criar domínios com base em sistemas automatizados protegidos. Fisicamente Domínio é implementado como uma rede local de computadores, a maioria dos quais serve para organizar trabalhos de usuário. Alguns deles são necessários para organizar recursos públicos, como um servidor de arquivos, servidor de banco de dados, servidor de impressão, servidor de email. Logicamente, o domínio MSVS é uma variedade de computadores que implementam uma única política de segurança e formando um único espaço de administração. Uma única política de segurança implica que todos os computadores são suportados por conjuntos únicos de assuntos e acessos, atributos de segurança e existem regras únicas para controle de acesso discricionário e obrigatório. Nesse sentido, o domínio MSVS também é um domínio de segurança.

Um espaço de administração unificado implica uma administração uniforme de recursos de informação (computadores) do domínio MSVS. Sua fundação é o espaço unificado dos usuários do domínio MSVS.

Para cada usuário de domínio, uma conta é suportada, que inclui as informações necessárias do usuário (nome lógico, senha, nome completo e atributos de segurança do usuário). Essa informação Usado para realizar procedimentos de identificação / autenticação do usuário em sua entrada para o domínio MSVS.
Em cada domínio de computador com recursos comuns (servidor) no qual esse usuário pode funcionar, existe exatamente a mesma conta para ele como no seu local de trabalho.
No local de trabalho do administrador de segurança, um banco de dados com informações sobre todos os usuários do domínio é suportado, que inclui sua conta, informações aprimoradas (por exemplo, posição, nome / número de departamento), bem como o nome de seu computador e todos os servidores que tem acesso.

Assim, a conta é uma para um determinado usuário como parte do domínio MSVS e é através dela que o acesso do usuário é controlado pelos recursos de informações do domínio.

Domínios heterogêneos

No este momento Ao desenvolver um sistema automatizado protegido, as redes locais existentes são tomadas como base, nas quais servidores e empregos são dominados por banco de dados do Windows. Nt. A impossibilidade de uma transição instantânea de uma organização na plataforma MSVS gera o problema de sua integração com o Windows. Aqui você pode alocar dois aspectos: a escolha de uma estratégia ideal para a transição para as dificuldades técnicas e técnicas que acompanham essa transição.

Como resultado da análise dos fluxos de informação em um sistema automatizado seguro, as áreas são mais importantes em termos de segurança. Em primeiro lugar, essas áreas incluem fluxos de informação importação / exportação, uma vez que é através desses fluxos que as informações confidenciais (ambos do exterior e geradas dentro) caem no mundo exterior: servidores de impressão e informações de exportação em discos e fitas. As segundas áreas mais importantes do armazenamento de informações são: servidores de arquivos e estações de trabalho do usuário.

No processo de transformar uma rede do Windows para um sistema automatizado protegido, essas áreas da rede devem ser modificadas principalmente, que são mais críticas em termos de segurança. O primeiro passo é minimizar e monitorar os fluxos de informações de saída. Como mencionado, o ISWS 3.0 possui um sistema desenvolvido de contabilidade e controlando a impressão de documentos e permite que a rede seja baseada em sua base para implementar os requisitos para a emissão de documentos impressos a uma cópia sólida.

O segundo passo é transferir servidores de arquivos da plataforma Windows. No MSVS 3.0, um sistema de controle de acesso ao usuário desenvolvido é fornecido aos recursos de informação do sistema operacional, que permite organizar a proteção dos dados do usuário no nível adequado.

Ao integrar o ISWU e o Windows, surgiram vários problemas técnicos, os mais importantes são os problemas de problemas de autenticação de usuários / de autenticação do usuário, os princípios dos controles de acesso ao usuário usados \u200b\u200bnesses sistemas de cilindros cirílicos.

Os dois primeiros problemas são que no ambiente do Windows NT, o circuito de login do usuário é suportado no domínio NT com base em um único banco de dados armazenado em um servidor de controle especial - controlador de domínio. Este esquema é fundamentalmente diferente do esquema usado em MSVs. Além disso, na arquitetura do Windows NT, não há suporte para o controle de acesso do mandato e não é possível exibir um conjunto de atributos de segurança do sistema operacional ASW. Os sistemas Windows usam codificação CP1251, enquanto o KOI8-R é usado no MSVS 3.0, no entanto, os dados acumulados (para trabalhar com os quais o ambiente do Windows é necessário) é geralmente armazenado no CP1251. Neste caso, a apresentação desses usuários, sua entrada e edição ocorre no ambiente MSVS, portanto, é necessário transcodificar "na mosca". Além disso, para resolver tarefas de gerenciamento de dados (por exemplo, a tarefa de classificação de dados) CP1251 codificação é mais aceitável do que o Koi8-R.

Para construir um sistema automatizado seguro com base no MSVS 3.0 com a possibilidade de compatibilidade temporária com NT, foi desenvolvido um sistema de acesso terminal (Fig. 8). Este sistema Permite organizar operações com aplicativos do Windows da seguinte forma: servidores de arquivos e impressões, bem como locais de clientes são incorporados com base no MSVS 3.0, e para trabalhar com aplicativos do Windows, há um servidor de aplicativos com base na edição do NT Terminal Server, acesso a que é realizado de uma maneira especial.. Uma das vantagens dessa opção é a flexibilidade na organização do trabalho do usuário, que realmente tem a oportunidade de trabalhar simultaneamente em dois ambientes operacionais e usar aplicativos de cada um deles. A desvantagem é a necessidade de criar um servidor de aplicativos com acesso especial, que leva ao surgimento de restrições às políticas de segurança. Como resultado, a tarefa de integrar o MSVS e o Windows NT é resolvida criando um domínio MSVS com um servidor de aplicativos de aplicativo com base no NT e usando um sistema de acesso de terminal.

Vamos agora considerar como o usuário funciona no domínio do MSVS Heterogêneo. O usuário insere o domínio através do braço. Para acessar o Windows NT Application Server, o usuário se refere ao cliente de acesso do terminal. Em um banco de dados especial armazenado no servidor de aplicativos, há uma correspondência entre o nome de usuário e o nome de seu computador, que é usado ao conectar unidades de rede para este usuário. Como resultado, trabalhando na sessão NT, o usuário como um disco de rede em seu local de trabalho vê apenas o conteúdo do diretório inicial, bem como os recursos de domínio compartilhados (servidores de arquivos e impressoras). Ele pode executar aplicativos do Windows, mas funcionará apenas com uma multiplicidade limitada de arquivos (é geral) armazenada em computadores com o MSVS 3.0.

Para organizar a impressão de documentos confidenciais no domínio, um servidor de impressão com base no MSVS é alocado, o que é responsável pela implementação e manutenção da impressão, que impede a reprodução inadequada de documentos confidenciais de saída. Para imprimir informações confidenciais, conectar impressoras locais a armar. O usuário, trabalhando com aplicativos Windows ou ASW, envia um documento de impressão e não importa onde o documento está localizado na máquina local ou no servidor de arquivos. Com a ajuda dos fundos ISWW, a confidencialidade do documento é analisada. Se o documento for confidencial, a tarefa é redirecionada para o servidor de impressão, se não, o documento é impresso localmente.

As opções propostas permitem que você organize uma transição gradual de infraestrutura de informações Com base no Windows NT para proteger sistemas automatizados de processamento de informações com base no MSVS 3.0.

Literatura

1. Gostekomissões da Rússia. Documento de direção. Equipamento de informática. Proteção contra acesso não autorizado à informação. Indicadores de proteção contra acesso não autorizado à informação. Moscou, 1992.

2. D.V. Efanov. Sistema de impressão de documentos // ACS e controladores. 2001, №1.

Andrei Trewin. - Empregado do Ministério da Defesa da Federação Russa. Igor Zhukov., Dmitry Efanov. ([E-mail protegido]) - Funcionários do Instituto de Pesquisa All-Russo da Automação de Office na mola de imocipação (Moscou).

Nesta revisão, tentarei estabelecer uma cópia do RedHat Enterice Linux para as necessidades do RF MO para ver como ele funciona no hardware moderno. A última edição do ISWS já estava em 2011, mas ainda continua sendo "útil" no exército da Federação Russa:

Chegando a instalar

Nós vamos instalar no laptop fujitsu lifebook n532, que funciona de forma estável em Linux e no Windows. Este laptop foi lançado em 2012, apenas um ano depois do MSVS 5.0.

Inicializando a janela - Copiar Copy RedHat Nome Linux:

Eles ainda preguiçosos para fazer uma janela normal de carregamento, alteraram o plano de fundo / logotipo, remove os botões desnecessários e é isso.
Para continuar a instalação, basta pressionar ENTER:

O instalador foi carregado no MS-DOS estilo retro, mas antes da liberação do ISWS 5, quase todas as distribuições tiveram um instalador gráfico. No Debian, há também um instalador de texto, mas é muito mais fácil e mais claro que isso. Eles nos perguntam, verifique o DVD de instalação ou não. Vamos verificar apenas no caso:

O disco é gravado normalmente, sem erros. Em seguida, somos solicitados a verificar a mídia adicional, mas eu não os tenho.

A ferramenta de marcação de disco inicializa com a opção de exclusão selecionada para todas as seções. E se o oficial, esperando para a mente da indústria doméstica de TI simplesmente pressione Enter?
Agora prossiga para a marcação do disco. Neste computador instalou dois outros sistemas operacionais e eu escolhemos "Crie sua própria partição"

Temos 30GB de espaço não formatado não utilizado, selecione "Usar espaço livre e criar uma partição padrão" e obter um erro de interrupção: é impossível distribuir as seções solicitadas

Clique em "Sim" e obtenha um erro de partição automática:
Clique em "Sim" e escolha "Crie sua própria partição"
Como este "dosovsky fdisk" não mostra o quanto ocupado e livre, para que eu acidentalmente excluo qualquer coisa, decidi visualizar as seções em outro sistema operacional e pressionamos a reinicialização (Alt + Ctrl + Del, lembro da MSSO).
O computador é simplesmente pendurado nessas palavras, mas reage ao Capslock. Estamos esperando por mais 15 minutos e apenas clique em redefinir. Carregamos outro sistema operacional, estamos convencidos da exatidão da escolha da partição livre, continuamos a instalação e reagem ao passo de marcação de disco. A seleção de sistemas de arquivos não é rica aqui, apenas ext2, ext3 e vfat (que não se encaixou na tela).
Vamos deixar tudo por padrão, isto é, vamos usar o GRUB:
Basta pressionar ENTER.

Em seguida, pedimos para criar uma senha para alterar os parâmetros do carregamento do grub

eu tive que digitar uma longa senha

Agora prossiga para instalar o bootloader. Em um laptop instalado Últimas versões Debiana e ubunti, mas o instalador não os encontrou. Como resultado, após a instalação do MSVA, o menu de seleção do sistema operacional desaparecerá e você terá que restaurar grub via LiveCD.
O controle deslizante da lista de sistemas operacionais na parte inferior, como se dissesse que outra coisa é. Eu tentei movê-lo pressionando a guia, Ctrl, Ctrl + Tab e outras combinações-chave. Mas o controle deslizante em que posição era, nisso e permaneceu:

Clique em Sim e continue a instalação:

Escolha onde instalar o bootloader. Eu defini o downloader para o registro de inicialização principal MBR, isto é, em / dev / sda, mas para usuários recentes do Windows, esta é uma questão difícil. Ou todos os russos militares sabem unixes?

Em seguida é a configuração de rede.

Nós não temos nenhuma conexão de rede, escolha "não" e clique em Enter

janela aberta com uma solicitação para entrar opções extras Configurações de rede:

Como você pode ver, os botões "Cancelar" e "No" não são necessários, não há. Há apenas "sim" e "de volta". Seria lógico se instalamos o sistema pela rede, mas temos um DVD com um conjunto completo de programas. Clique em Enter.

Você deixou o campo vazio "gateway". Dependendo do seu ambiente de rede, pode haver problemas no futuro

clique para continuar e novamente nos pedir para inserir parâmetros de rede adicionais. Em geral, retornamos à primeira janela da configuração de rede e especificamos que você precisa configurar interface de redeEmbora não tenhamos isso.

Eles pedem para inserir o nome da rede. Selecione "manualmente" e invente o nome da rede

Selecione seu fuso horário:

Selecione uma senha de usuário raiz (não menos de seis caracteres):

Selecione uma lista de pacotes para instalação. Eu escolhi tudo

A outra dependência está ligada, após a qual a janela abriu com o endereço de log de instalação:

Processo de instalação:

Eu não entendo, são esses problemas com fontes ou com codificações?

A instalação apresenta até 100% e o instalador nos congratula-nos alegremente sobre a conclusão da instalação, peça para desativar a mídia removível e pressione ENTER para reinicializar. Pressione ENTER e o computador simplesmente trava como da última vez.

Pressione o botão Power, aguarde alguns minutos e oh, horror, tudo está em inglês. Ou é uma língua tão russa no exército russo?

Onde estão nosso Debian e Ubunta? Existe apenas um MSVS. Mas nada terrível, pode ser corrigido reinstalando o carregador de grub através da LiveCD.

Basta pressionar ENTER para baixar

O sistema é estúpido 15 segundos e mostra erros: memória para kernel de colisão (0x0 a 0x0) não é prejudicial; Não é possível consultar hardware synaptics (eu não posso entrevistar o touchpad)

e continua a baixar, o menu de configurações é aberto durante o processo de download.

Basta escolher a "saída" e clique em Enter. Após 10 segundos, esta tela é aberta, onde não há dica única na programação. Entramos no login e senha e o sistema está pronto para funcionar:

A propósito, preste atenção, o kernel é instalado aqui 2.6.18. Este kernel saiu, cinco anos antes do MSVS 5.0. Sim, em cinco anos, foi possível construir indústrias inteiras, como nas placas de cinco anos de Stalin, mas quase 10 anos se passaram! Nesse momento distante, eu estava apenas começando a estar interessado em Linux. Embora eles possam cinco anos gastarem a auditoria de segurança do código.
Ok, tente usar o que é.
Estamos tentando executar gráficos. Em Nixes para iniciar gráficos, você geralmente precisa inserir startx, insira startx:
#stex.
e obter erros:

Aqui eu abri especificamente o log de erros /var/log/xorg.0.log para que fosse claro Qual é o problema: o sistema não pode baixar os drivers padrão do FBDEV e VESA.

Temos apenas que reiniciar o sistema e retornar ao sistema operacional de trabalho, insira a reinicialização e novamente obter congelamento ao reinicializar:

Nós tentamos instalar via VirtualBox:

Nós também entramos na raiz de login, senha e startx

Claro, vniins por motivos de segurança não recomenda a execução das cavidades do administrador. E por que, depois do primeiro lançamento ou no próprio instalador, não foi sugerido para fins de segurança para criar usuários simples, como em muitas outras distribuições?

O_O, acaba por estar funcionando.

Mesa de trabalho msvs 5.0

Então, que vemos - um lindo desktop leve, simulando janelas antigas. e kde. Mas é apenas um desktop de sobremesa embelezado

Gerenciador de arquivos, lançado há 11 anos, é muito semelhante ao Konquerror aparado

No sistema TRE, o indicador de tempo com o calendário, o interruptor de layout do teclado e o indicador de nível de disponibilidade (mas é bastante a partir dos desenvolvedores do MSVS).

Configurações MSVS 5.0.

No Linux, alguns programas (por exemplo, Chromium) não estão sendo executados no usuário raiz, sobre isso primeiro criamos um novo usuário e vemos ao sistema através dele:

Iniciar - Configurações - Painel de controle ELK, Gerenciamento de usuários - Adicionar novo usuário:

A senha deve conter pelo menos 8 caracteres!

Atributos de segurança são impressionantes, mas não vamos tocá-los:

O usuário foi criado com sucesso. Deixamos a sessão e recebemos diretamente na conta raiz, onde um monte de erros nos recebe:

Deixamos dessa conta pressionando Ctrl + D, efetue login por um novo usuário e execute STARTX. Ikers começou, mas o mouse se move e as combinações de teclado não reagem. Reiniciar máquina virtual Não ajudou, as cavidades nessa conta também não funcionam. Bem, você terá que trabalhar na raiz, que é um transtorno de segurança.

Resolução de tela de US 800x600, tente mudá-la. Vá para "Painel de Controle" e selecione o ícone "Monitor". A janela é aberta com a mensagem que não temos um arquivo xorg.conf e que a tela ficará escura durante sua criação. Criá-lo ou não?

Clique em "Sim"

Erro de inicialização de configuração:

Depois disso, a janela com as configurações do monitor é aberta. Nós tentamos mudar tudo menos nenhuma reação. Vale ressaltar que esta janela mostra um exemplo da tela do Windows 95. E quando você pressiona os botões "Sim" e "Cancelar", a janela não fecha e nada acontece. Feche a janela só pode ser pressionada na cruz.

No menu "Sistema", há um item "Comutação de permissões de tela". Nós escolhemos e oferecemos um programa em TRE com apenas dois pontos: 800x600 e 640x480 e 60Hz frequência. Mas no sistema operacional freedos, eu poderia colocar e até mesmo mudar a frequência. Daí a conclusão de que, na programação do software ISWS, pior do que em DOS!

Nós olhamos para as informações do equipamento:

Depois de clicar em "OK", esta janela é aberta:

Programas MSVS 5.0.

Curiosamente, quando traduzimos o ponteiro do mouse dos programas EDE no KDE, a cor do ponteiro do mouse muda.
Isso ocorre porque o Desktop HSS é uma mistura de desktops EDE e KDE.
Líquido. Total de dez programas nesta categoria, incluindo o Observador ELK, IRC, Wireshark, GFTP, Monitor de Mailing, Monitor de Rede e Configuração PPP e Gerenciamento de Dispositivos de Rede.

Gerenciamento de dispositivos de rede

O cliente de email não inicia:

O navegador ELK Browser é uma cópia exata do navegador Aurora. Veja, eles renomearam para alces, mas esqueceu de mudar o logotipo:

Navegador Elk:

Serviços de utilidade pública
Em Utilitários, bem como 4 terminal: terminal elk, X-terminal, console e terminal no modo superusuário. Você sabe por que há tantos deles? Porque a área de trabalho do WSA é uma mistura EDE com o KDE. Eles até habitaram para remover utilitários desnecessários, tudo como o padrão era para que eles saísse.

Por esse motivo, existem muitos programas de dois desktops diferentes, mas com os mesmos recursos. Isso é especialmente verdadeiro para visualizar fotos, documentos (PDF, DJVU, etc.) e editores de texto.

Editor de texto emacs de texto em MSVs:

Científico. Em científico, apenas a calculadora KDE, que foi lançada em 2005:
Gráficos. Nesta seção, todos os programas do lançamento do KDE + XSane 2007.
Jogos. Nos jogos, um conjunto de jogos do KDE, entre os quais os jogos militares são sapadores e pára-quedas:
Multimídia. Um simples leitor de mídia, reprodutor de áudio, k3b (entrada de CD / DVD), regulador de som e programa de gravação de som.
Para verificar o som, você precisa baixar algum filme no sistema virtual. O som e o vídeo não funcionam. Eu coloquei as configurações da VirtualBox ALSA, OSS, SoundBlaster16 - nada funciona. Eu tentei OGV, OGG, MP4 - em alguns casos requer para instalar codecs, em outros - mostra o erro:
Vamos tentar instalar ffmpeg:
Início aberto - Painel de Controle Elk - Gerenciador de Programas
antes de começar alguns segundos, as listas de pacotes são verificadas.
vamos tentar encontrar ffmpeg.
Esta é essa linguagem russa no exército russo!

o FFMPEG estava na lista de pacotes instalados. E a busca por OSS e ALSA (sistemas de som) não deu nenhum resultado. As solicitações de escritório e firefox também não dão nenhum resultado.

k3B Ao iniciar, dá um erro que não encontra o tipo MIME. Você precisa pressionar 10 vezes ok e então começará:

Desligando o sistema:
Resultado ...
1. Em equipamentos modernos, o ISWS não funciona
2. Núcleo do sistema como todo o software lançado há 11 anos, respectivamente equipamento moderno Não suportado
3. A resolução da tela é definida como 800x600 e não muda
4. O sistema de vídeo funciona apenas no emulador, mas mostra erros depois de completar o trabalho.
5. O som não funciona em tudo
6. Os gráficos funcionam apenas pelo usuário raiz, que é um transtorno de segurança
7. Os comandos de desligamento padrão e reinicialização estão disponíveis apenas através do console e operam apenas no emulador.

Conclusões gerais.

MSVS5.0 - RedHat Enterice Linux5.0 (2007) copiado em 2011 (2007), funciona incorretamente em computadores emitidos em 2011. Sim, no exército russo, é geralmente perceptível a uma antiguidade profunda, por exemplo, o vianciance cruiser "almirante Kuznetsov" com seu trampolim em vez de uma catapulta, por causa da qual a aeronave é forçada a voar com uma munição incompleta e às vezes Cair na água quando derrubar para aeronaves e com a instalação do óleo combustível, precisando de reabastecimento durante a caminhada ...

Certamente, pelo menos, alguns dos nossos leitores pensaram em qual sistema operacional é usado em nossas forças armadas. Afinal, todos nós entendemos que não pode estar em algum complexo de mísseis que está em serviço de combate, suporte de janelas. Hoje minimizamos a cortina do mistério e conte sobre o ISA OS. Este é o chamado Sistema móvel O escopo da aplicação fala seu nome, mas sobre como é em termos gerais, diremos.

Pré-requisitos para criar

Pela primeira vez, os critérios de segurança para sistemas de computadores foram formulados no final dos anos 60 do século passado. Em meados da década de 1980, nos EUA, todos esses desenvolvimentos foram coletados em um documento. Assim, o "Look Orange" do Ministério da Defesa nasceu - o primeiro padrão de segurança dos sistemas de computadores. Após esses documentos apareceram nos países europeus e no Canadá. Em 2005, à sua base, foi preparado o norma de segurança internacional ISO / IEC 15408 "critérios gerais de proteção".

Na Rússia, estudos semelhantes foram realizados no 22º Instituto de Pesquisa Central do Ministério da Defesa. O resultado final do desenvolvimento foi o recebimento em 2002 do ISA OS nas forças armadas da Federação Russa. A versão do Standard Standard baseada em requisitos ISO / IEC foi adotada em 2008.

Por que o oficial militar

Sistemas operacionais que usamos diariamente não são adequados para uso em instalações de armazenamento do estado. Gostekomissia sob o presidente da Federação Russa os formulou da seguinte forma:

As informações devem ser protegidas contra acesso não autorizado, tanto de dentro como fora.
O sistema não deve conter capacidades indocumentadas, ou seja, não deve haver "ovos de Páscoa" no código do sistema operacional.

Além disso, o sistema operacional protegido deve ter uma estrutura de acesso hierárquico multi-nível e ter funções de administração separadas.

Assim, a tarefa de criar um sistema operacional fechado especializado não é tão simples quanto parece à primeira vista. A ausência de capacidades indocumentadas assume que o código-fonte e a descrição técnica de todos os procedimentos de trabalho serão cuidadosamente estudados no Centro de Certificação. E esta é a área de segredos comerciais das corporações do proprietário ou propriedade intelectual desenvolvedores. Tal paradoxo faz você desenhar os olhos em direção ao sistema operacional aberto, porque é quase impossível obter uma documentação técnica completa para o software proprietário.

Requisitos GOST R.

O FSTEC, como um serviço responsável pela segurança da informação na escala do país, é estabelecido pela separação do sistema operacional de acordo com o grau de proteção das informações processadas. Por conveniência, todos os dados são reduzidos a uma tabela.

Da tabela, pode-se ver que, por vários requisitos, três grupos e nove classes de segurança são estabelecidos a partir de acesso não autorizado, e neles há mais separação para admitir vários tipos de informações confidenciais.

No coração do Linux

O que é tão conveniente para o Linux, o que ficará feliz em servir no aparato do estado? Afinal, na maior parte, os usuários simples têm medo dele, como as características de Ladan. Vamos descobrir. Para começar, preste atenção à licença em que "Linux" é distribuído. Este é o chamado GPL2 - público universal ou livre, licença. Qualquer pessoa pode obter o código-fonte e com base nele para criar seu próprio produto. Em outras palavras, ninguém incomoda a melhor distribuição do Linux e usá-los no desenvolvimento de seu próprio sistema operacional protegido.

Experiência do trabalho mundial instituições públicas Ele mostra que a transição para software livre ocorre em todos os lugares, a ideia está em demanda e justifica bastante. Os principais países do mundo, como os Estados Unidos, a Alemanha, o Japão e a China e a Índia se aproximando rapidamente, estão usando ativamente o Linux na Gosfere e a educação.

Isws e seu conteúdo

O System Mobile versão 3.0 trabalhou nas tropas dos dez anos, um produto mais perfeito vem substituí-lo, e podemos ver calmamente o veterano "Hood". Então, este é um sistema operacional de rede que trabalha no multiplayer usando a interface gráfica do usuário. Suporta plataformas de hardware:

Intel.

SPAPC / "Elbrus".

Sistema IBM / 390.

É baseado nas melhores distribuições do Linux disponíveis no momento. Muitos módulos do sistema foram emprestados do RedHat Linux e recompilados levando em conta os requisitos do Ministério da Defesa. Em outras palavras, o sistema Mobile Armed Force é um Linux de distribuição de RPM com todas as aplicações relacionadas e ferramentas de desenvolvimento.

O suporte do sistema de arquivos é no início do nível do século, mas desde que os mais comuns existissem, este indicador não é crítico.

Versões do MSVS.

Apesar do fato de que este é um sistema operacional de rede, ele não tem repositórios de software familiares a qualquer Linuxóide. Todo o software é fornecido completo em CDs de instalação. Qualquer programa usado neste sistema é pré-certificado no Ministério da Defesa. E como esse procedimento está longe de ser rápido, para tudo e meia dúzia de anos de trabalho, um número limitado de versões e mudanças para eles foram emitidos.

O desenvolvedor do ISMS é o Instituto de Pesquisa Todo Russo de Automação da Administração na esfera de imocimento. Em sua página oficial, você pode encontrar dados sobre versões de MSVs, que são atualmente suportados e têm os certificados de segurança necessários do Ministério da Defesa.

O sistema móvel das forças armadas para 2017 é representado por dois conjuntos suportados:

OS MSVS 3.0 FLIR 80001-12 (alteração nº 4).

OS MSVS 3.0 FLIR 80001-12 (alteração nº 6).

A versão 5.0, localizada no site da VNIINS, tem um certificado de segurança de mo, mas oficialmente para fornecer às tropas não foi aceito.

MSVs Premier.

O próximo sistema operacional protegido, que foi apresentado como substituto do MSVs de dez anos, foi Astra Linux. Ao contrário do antecessor, o certificado de segurança apenas do Ministério da Defesa, Astra recebeu todos os certificados possíveis na Rússia, e estes são documentos de MO, FSB e FSTEC. Devido a isso, pode ser usado em quaisquer agências governamentais, e a presença de várias versões adaptadas a diferentes plataformas de hardware é ainda mais expandindo o escopo de seu uso. Como resultado, ele pode combinar todos os dispositivos sob seu controle - do equipamento para dispositivos móveis para estacionários.

A Astra Linux é uma distribuição moderna do Linux com base em pacotes de Deb, usa uma nova versão do kernel e do software atual. A lista de processadores suportados e suas arquiteturas também são expandidas e inclui amostras modernas. A lista de versões oficialmente publicadas permite que você espere pelo sucesso disso. produto de software Pelo menos na Gosfere e da defesa.

Finalmente

Neste material, falamos sobre o sistema da ICA - o principal sistema operacional das forças armadas da Federação Russa, serviu fielmente "na classificação" de 15 anos e ainda ainda no "combate". Além disso, a sucessão foi brevemente caracterizada. Talvez alguém de nossos leitores o empurre para ver o que Linux é, e fazer uma opinião imparcial sobre o produto.

Como determinar se o sistema operacional é suportado pelo equipamento deste computador?
Quais opções de instalação fornecem um sistema operacional Ass?
Quais protocolos de rede suportam o programa de instalação?
Em que casos é necessário para criar disquetes de inicialização?
Listar as principais etapas da instalação?
Qual carregador é usado para carregar o kernel do sistema operacional?
Listar os principais estágios do carregamento do kernel?
O que é lilo e lilo.conf?
Como remover lilo e restaurar o carregador de origem?
Qual é o mecanismo dos módulos do kernel?
Em quais casos são obrigados a usar o disco RAM?
Como configurar o uso do disco RAM ao carregar?
O que variam disquetes de inicialização, bootnet e drivers? Como criá-los? Como checá-los?
O que é um pacote de software, dependências de pacotes?
Quais são as capacidades dos gerentes de pacotes?
Qual gerenciador de pacotes é usado para gerenciar software?
Como instalar um pacote de um CD na rede?

Instalação OS MSVS 3.0

Os principais estágios da instalação

A instalação de um CD inclui as seguintes etapas:

convite para a instalação e lembrete da documentação;

seleção do manipulador de rato;

disco de particionamento para seções;

tuning Loader;

configuração de rede;

instalando um nome de computador;

escolha do fuso horário;

seleção de complexos para instalação;

instalação de pacotes;

instalando a senha do usuário raiz;

criando disquetes de inicialização;

definir a placa de vídeo e monitor;

Cada item corresponde a uma ou mais caixas de diálogo.

Ao instalar uma rede usando o servidor, você deve produzir várias predefinições adicionais:

fabrico de um conjunto de disquetes para baixar um computador e organizar acesso à rede ao servidor;
selecionando uma opção de instalação de rede;
configuração de rede e acesso à rede ao servidor.

Depois de acessar a rede para o CD instalado na unidade no servidor será instalado, o programa de instalação começará a executar as mesmas etapas como instalado a partir de um CD, a partir do segundo passo ("Convite para instalação"). Você não precisará configurar a rede, será necessário apenas confirmar as configurações.

Instalação de um CD

Antes de iniciar a instalação, você precisa configurar o BIOS do computador para que o primeiro na lista de dispositivos de carregamento seja um CD e insira um CD com o módulo de inicialização do ISWS 3.0 na unidade de CD-ROM.

Se o BIOS não suportar a inicialização a partir do CD, você também deverá inserir o disquete de inicialização e configurar o BIOS do computador para que o primeiro na lista de dispositivos de carregamento seja um disquete. Computadores modernos tendem a suportar a inicialização do CD, portanto, a necessidade de um disquete de inicialização pode ocorrer apenas ao instalar o ISP 3.0 no computador "Old".

Então você deve reiniciar o computador. Um convite aparecerá na tela do monitor:

No formato deste convite, é possível transferir configurações adicionais para o programa de instalação. Por exemplo, a equipe:

boot: mcbc mem \u003d 128m

relata o programa de instalação que a quantidade de RAM deste computador é de 128 MB.

Para começar a carregar o instalador, você precisa pressionar a tecla. O carregamento do kernel MSA 3.0, seguido por mensagens de diagnóstico, então inicia o programa de instalação, que carrega automaticamente os drivers de unidade de CD e os drivers do disco rígido presentes no computador e suportados pela Bunda 3.0.

Se a inicialização terminou com um erro, isso significa que, para este tipo de unidade de CD ou disco rígido Você deve fazer upload de um driver adicional. O instalador oferecerá uma lista de drivers em que você deseja selecionar o driver apropriado e clique no botão "Sim".

Se o download foi feito a partir do disquete de inicialização, depois de iniciar o programa de instalação, a caixa de diálogo Driver Disc aparecerá indicando o disquete de driver com drivers para dirigir. Ao mesmo tempo, o disquete de inicialização deve ser removido e colado o disquete de drivers.

Depois de baixar os drivers necessários, um convite aparece na tela do monitor (Fig. 9-1).

1.1.41. O manipulador de mouse

O seguinte após o convite do OS 3.0 aparecerá a caixa de diálogo "Seleção do Mouse" (Fig. 9-2).

Selecione o tipo de "mouse", por exemplo, o "Normal Mouse PS / 2" e, se o "Mouse" tiver dois botões, você poderá usar a emulação de um modo de três botões. Para fazer isso, você precisa ativar a emulação do terceiro botão e clicar no botão "Sim".

1.1.42. Desconexão do disco rígido para seções

A caixa de diálogo "Decisão" (Fig. 9-3) é exibida e a seleção de utilitário de partição de disco rígido será selecionada: "Automatic Splitting", Disco Druid ou FDisk.

Na maioria dos casos, a divisão de discos rígidos, matrizes de disco, volumes de LVM ocorre no programa Disco Druid. Além disso, o modo "Partição automática" é um caso especial de trabalhar com disco druida com um cálculo automático das proporções de espaço em disco de acordo com equipamento instalado. Se necessário, o trabalho de baixo nível com um disco rígido precisa usar o utilitário FDisk.

Selecione Disco Druid e pressione a tecla.

Na caixa de diálogo "Breaking" aparece (Fig. 9-4), uma lista de discos disponíveis e seções existentes aparecerão.

Também nesta janela há botões para trabalhar com seções: "Novo", "Editar", "Excluir", "RAID", "Sim", "Voltar".

Na linha inferior, as dicas para uso de teclas de atalho são fornecidas: "Ajuda F1, F2-NOVO, F3-EDIT, F4-Delete, F5-RESET, F12-YES."

No caso geral, o MSVS 3.0 é instalado em um computador com um disco rígido puro. Nesse caso, você pode lidar ou usar o programa DRUID de disco ou selecionando uma partição automática.

Para uma instalação bem-sucedida do Ass 3.0, basta criar duas partições: a seção raiz "/" e a seção de troca (swap). O tamanho da seção raiz deve ser pelo menos 1.200 MB.

Catálogos / inicialização, / home, / var, / tmp e outros podem ser descartados em seções separadas. Isso permite que você isole, por exemplo, diretórios de usuário residenciais do sistema de arquivos raiz.

ATENÇÃO. No Ass 3.0, você não pode ser colocado em um diretório separado / USR!

Para tornar o diretório para uma seção separada, você deve criar uma seção com o sistema de arquivos "ext3" e atribuí-lo um ponto de montagem correspondente ao nome do catálogo.

Para criar uma seção, selecione o botão Novo e pressione a tecla. Na caixa de diálogo "Adicionar seção" que aparece (edite uma nova seção) (Fig. 9-5):

selecione o tipo de sistema de arquivos (para a seção de swap - "Swap", em outros casos - "ext3").
tamanho da seção em megabytes (se necessário, você pode "esticar" a partição para todo o disco);
ponto de montagem, para a seção raiz - isso é "/", para a seção de swap, o ponto de ajuste não é necessário.

Para editar uma partição existente, você deve selecioná-lo e clicar no botão "Editar". Depois de pressionar o botão Editar, a caixa de diálogo Editar / dev / hDA1 será exibida, caso a seção / dev / hDA1 foi selecionada.

Após a conclusão do trabalho na criação de partições, na janela "Break", clique no botão "Sim".

A caixa de diálogo Salvar alterações aparece na tela do monitor.

Pressione o botão "Sim".

O próximo passo é formatar as seções criadas. Uma caixa de diálogo com o título "Atenção!" Aparecerá na tela MNIT. e uma lista de partições que serão formatadas quando o botão "Sim" for pressionado (Fig. 9-6).

1.1.43. Opção do Bootloader

A caixa de diálogo Configuração de "carregador" aparece na tela (Fig. 9-7). Nesta janela, você deve selecionar a opção de instalação com ou sem um carregador. O bootloader permite que você tenha várias opções para o início no sistema ou selecione o sistema operacional carregado (se mais de um). No modo sem carregador, o kernel do ISP 3.0 será monopulatamente carregará neste sistema.

Pressione o botão "Sim".

Em seguida, uma caixa de diálogo (Figura 9-8) aparece na tela com uma sugestão para inserir parâmetros adicionais que serão usados \u200b\u200bao carregar. Por padrão, o modo LBA32 é instalado nesta janela (usando endereços lógicos de 32 bits dos blocos de disco rígido), já que este modo na maioria dos casos é necessário para suportar um disco de contêiner grande.

Se você tiver um IDE-drive do escritor, no campo de entrada do parâmetro, o instalador colocará a seqüência do tipo "HDC \u003d IDC-SCSI" (por exemplo, se a unidade estiver conectada no modo mestre ao segundo controlador IDE ).

Se nenhum outro parâmetro não precisar transmitir quaisquer outros parâmetros, recomenda-se não alterar os parâmetros propostos pelo programa de instalação e clique no botão "Sim".

O procedimento a seguir na configuração do bootloader é um acesso à tarefa de senha a uma alteração nos parâmetros iniciais do sistema. Como se houver um bootloader, é possível transferir parâmetros de kernel especializados no teclado ao iniciar o sistema, para garantir o nível de segurança necessário, esse recurso é protegido por uma senha. Na caixa de diálogo a seguir, aparece (Fig. 9-9), insira a senha, cuja dimensão não deve ser inferior a 8 caracteres. Confirme a senha repetidamente, introduzindo-a a próxima linha janela.

Pressione o botão "Sim".

Uma caixa de diálogo de seleção de caixa de diálogo aparece na tela (Fig. 9-10), com a proposta para especificar o outro seções de inicializaçãoque pode ser baixado usando um bootloader ASWS 3.0. Por exemplo, se houver outro sistema operacional no computador, você poderá atribuir um rótulo a ele e upload usando um bootloader Ass. 3.0 OS.

Digite os dados necessários nas linhas apropriadas e clique no botão Sim.

Na próxima janela (Fig. 9-11), a localização do bootloader é definida para o disco. Duas opções são possíveis: o registro de inicialização principal (MBR) do disco rígido (recomendado na maioria dos casos), ou o setor de inicialização (registro de inicialização) da partição correspondente, onde a instalação é feita.

Selecione e pressione o botão "Sim".

1.1.44. Rede de Rede

Em caso de detecção do programa de instalação pelo menos uma placa de rede, a sequência da caixa de diálogo "Configuração da rede para ETHX" aparece na tela (Fig. 9-12), onde X é o número de seqüência em que os parâmetros são configurados para cada placa de rede.

As configurações de configuração automática das configurações de rede BOOTP e DHCP são usadas se houver um servidor especial na rede fornecendo serviço de configuração automática, mediante solicitação da máquina do cliente.

Se o servidor DHCP estiver faltando, você deverá instalar explicitamente os parâmetros de rede, para os quais selecionar "ativar ao inicializar". Depois disso, várias linhas serão destacadas na janela na qual os parâmetros de conexão de rede devem ser especificados.

Os endereços de rede são apresentados em um formato de ponto de década (por exemplo, 192.168.1.1). As informações de preenchimento de campo devem ser fornecidas pelo administrador da rede.

Endereço de rede - o endereço IP do computador na rede.

Máscara de rede é um parâmetro que caracteriza a classe do segmento de rede.

O gateway padrão é um nó que atende às comunicações desta rede local com segmentos de rede externos.

Nome Primário Servidor - Nó que suporta o serviço de resolução de nomes de domínio via protocolo DNS em endereços IP. Nos campos apropriados, insira os endereços IP de servidores de nome adicionais (DNS). Se um servidor de nome for usado na rede, esses campos podem ser deixados vazios.

Pressione o botão "Sim".

FIG. 9-13. Instalando um nome de computador.

FIG. 9-14. Escolhendo um fuso horário.

Então você precisa definir o nome do computador. A caixa de diálogo seguinte "Install Computador" aparece na tela (Fig. 9-13), na qual o campo correspondente deve ser preenchido. O nome também deve ser coordenado com o administrador da rede.

Pressione o botão "Sim".

1.1.45. Seleção de um cinto de relógio

A caixa de diálogo A seguir a seleção de fuso horário é exibida na tela, que usa as configurações de horário do sistema. No Ass 3.0, a contagem regressiva é realizada no modo local, ou seja, O relógio de hardware do sistema definitivamente determina seu tempo sem conversão adicional em relação a diferentes pontos de contagem regressiva do tipo UTC.

Na janela, você deve escolher o mais adequado para a localização do cinturão de tempo do computador, indicando a diferença do tempo do cinto relativo ao cinto "zero" - Europa / Moscou (Fig. 9-14).

Pressione o botão "Sim".

1.1.46. Seleção e instalação de pacotes

A caixa de diálogo "Selecionar complexo" aparece na tela (Fig. 9-15).

Nesta caixa de diálogo, você pode escolher os seguintes complexos:

Configuração básica do sistema operacional;
Subsistema de interface gráfica;
Ferramentas de desenvolvimento.

Para selecionar a opção mais típica - os três primeiros complexos marcados por padrão, ele é suficiente sem produzir outras ações, clique no botão "Sim". Se apenas o grupo "Subsistema de interface gráfica" do grupo for necessário ou apenas um grupo de ferramentas de desenvolvimento, ele deve ser notado o campo correspondente.

A seleção do grupo "Basic Configuration OS" é necessária, contém todos os componentes necessários para a operação do ASS 3.0 OS na versão base (sem fundos adicionais).

Modo de instalação "Tudo (incluindo opcional)" significa a instalação de todos os pacotes de distribuição, incluindo modificações do kernel do sistema operacional, não específico para este computador e um conjunto de pacotes necessários para a fabricação do disco de inicialização ISWS 3.0.

Para uma seleção mais detalhada de pacotes (talvez, para economizar espaço em disco ocupado pelo sistema operacional), é necessário observar a opção "Seleção individual de pacotes" e clique no botão "Sim". Uma janela "Select Package" (Fig. 9-16) aparece com uma lista de grupos de pacotes e pacotes em si.

Um grupo pode ser dobrado / implantado se você trouxer a linha de fundo para ele e pressione a tecla. Para obter informações sobre o pacote, você precisa trazer a linha de fundo para ele e pressione a tecla. Ligar / desligar pacotes para a lista de instalação é executado pressionando a tecla.

Depois de concluir a seleção de pacotes, clique no botão "Sim".

Se uma lista individual de pacotes tiver sido selecionada para instalação, uma situação pode ocorrer quando as dependências não atendidas serão exibidas. Isso significa que existem pacotes na lista selecionada, que requer outros pacotes do disco de inicialização do ISWS 3.0, que não foram marcados. A resolução das dependências de pacotes será automaticamente fabricada pelo programa de instalação.

Após a conclusão da seleção do pacote, a caixa de diálogo Iniciar configuração aparece na tela. Esta janela conterá informações sobre o arquivo / raiz / log, que o instalador após a conclusão do trabalho salvará a lista de pacotes instalados.

A partição real do disco e a instalação dos pacotes irá começar somente após pressionar o botão "Sim" na janela "Iniciar instalação". Se necessário, até este ponto, você ainda poderá interromper o processo de instalação reiniciando o computador. Nesse caso, todos os dados sobre discos rígidos permanecerão inalterados.

Para começar a instalar pacotes, clique no botão "Sim".

A janela "Install Package" aparecerá na tela (Fig. 9-17).

Nesta fase, você pode observar o processo de instalação dos pacotes selecionados, que é produzido automaticamente. Uma breve descrição é exibida para cada pacote e informações estatísticas sobre o processo de instalação do pacote atual e todos os pacotes juntos são exibidos.

1.1.47. Instalação da senha do superusuário

A caixa de diálogo Password do usuário raiz aparece na tela (Fig. 9-18). Defina a senha na linha "Senha" e confirme sua entrada na linha "Confirmar senha" (restrições à exibição e o tamanho da senha são determinados pelos requisitos de segurança para o sistema; Por padrão, o tamanho da senha é pelo menos oito personagens). Quando você especifica uma senha do teclado, por motivos de segurança, em vez dos caracteres de entrada, as asteriscos são exibidas. Pressione o botão "Sim".

1.1.48. Criação de disquetes de inicialização

A seguinte caixa de diálogo "conjunto de disquetes" aparece na tela (Fig. 9-19). O kit de disquete de inicialização pode ser necessário se você danificar o registro de inicialização do disco rígido.

Para criar disquetes de inicialização, pressione o botão "Sim". Em seguida, siga as instruções oferecidas em caixas de diálogo.

Se a criação do kit de inicialização não for necessária, clique no botão "No". No futuro, você pode criar um disco de inicialização usando um comando Utilitário Gráfico ou MkBootDisk.

1.1.49. Aumento de placas de vídeo e monitor

Na próxima etapa, você precisa configurar o sistema gráfico. Para fazer isso, em caixas de diálogo, seguindo as instruções, insira informações sobre a placa de vídeo e monitorar.

Se o instalador determinar automaticamente o tipo de placa de vídeo, as informações sobre ele aparecerão (Fig. 9-20).

FIG. 9-19. Criando disquetes de inicialização.

FIG. 9-20. Selecione placa de vídeo.

Caso contrário, a caixa de diálogo "Selecionar mapa" será exibida. Selecione IT Digite na lista. Se a lista não tiver a placa de vídeo desejada, selecione o "cartão não especificado".

Na janela Selection Servidor, selecione o servidor X, que é capaz de funcionar como uma placa de vídeo existente.

Depois disso, a caixa de diálogo Configuração do monitor é exibida (Fig. 9-21). Se o programa de instalação não determinar automaticamente o tipo de monitor, selecione o monitor apropriado da lista de alterações.

Se necessário, você pode especificar os parâmetros do monitor manual. Para fazer isso, selecione o item "Outro" na lista e defina a freqüência de operação da imagem vertical e horizontal (60 ~ 100 Hz).

Pressione o botão "Sim".

Depois de selecionar o monitor, a janela "Avançado" aparecerá na tela (Fig. 9-22). Selecione a profundidade de cor desejada e monitore a resolução na janela. Além disso, nesta janela, você pode selecionar o modo de login para o sistema "gráfico" (recomendado) ou "TEXT". Se você selecionar um login gráfico para o sistema, o sistema de interface gráfica será iniciado por padrão. Selecione e pressione o botão "Sim".

Depois de configurar o sistema gráfico, a mensagem "Instalação concluída" aparece (Fig. 9-23) com a mensagem "Parabéns, a instalação de um ISWS 3.0 é concluída".

Pressione o botão "Sim" para reiniciar. O computador começará a ser reiniciado. Durante a reinicialização, a bandeja com um CD avançará automaticamente. Remova o disco da bandeja.