Táto kapitola sa zaoberá nasledujúcimi témami:
Používatelia;
Rozdiely medzi privilegovanými a neoprávnenými užívateľmi;
Prihlasovacie súbory;
Súbor / etc / passwd;
/ Etc / tieňový súbor;
Súbor / etc / gshadow;
Súbor /etc/login.defs;
Úprava informácií o uplynutí platnosti hesla;
Zabezpečenie WSWS je založené na koncepte používateľov a skupín. Všetky rozhodnutia o tom, čo užívateľ smie alebo nesmie, sa robia na základe toho, kto je prihlásený používateľ z pohľadu jadra operačného systému.
Celkový pohľad na používateľov
WSWS je viacúlohový systém pre viacerých používateľov. Operačný systém je zodpovedný za vzájomnú izoláciu a ochranu používateľov. Systém monitoruje každého z používateľov a podľa toho, kto je tento používateľ, určuje, či je možné mu udeliť prístup k určitému súboru alebo povoliť spustenie konkrétneho programu.
Pri vytváraní nového používateľa je mu priradené jedinečné meno
POZNÁMKA
Systém určuje užívateľské oprávnenia na základe ID užívateľa (userID, UID). Na rozdiel od používateľského mena nemusí byť UID jedinečné, v takom prípade sa na priradenie používateľského mena k nemu použije prvé nájdené meno, ktoré sa zhoduje s daným UID.
Každému novému používateľovi zaregistrovanému v systéme sú priradené určité prvky systému.
Privilegovaní a neprivilegovaní užívatelia
Keď je do systému pridaný nový používateľ, bude mu priradené špeciálne číslo ID používateľa(userID, UID). V Caldera WSWS začína prideľovanie ID novým používateľom od 500 a pokračuje smerom hore, až do 65 534. Čísla do 500 sú rezervované pre systémové účty.
Identifikátory s číslami nižšími ako 500 sa vo všeobecnosti nelíšia od ostatných identifikátorov. Na správnu funkciu programu často potrebuje špeciálny užívateľ s plným prístupom ku všetkým súborom.
Číslovanie ID začína na 0 a pokračuje až do 65 535. UID 0 je špeciálne UID. Akýkoľvek proces alebo užívateľ s nulovým identifikátorom je privilegovaný. Takáto osoba alebo proces má neobmedzenú moc nad systémom. Nič pre neho nemôže byť zákazom. Účet root (účet, ktorého UID je 0), nazývaný aj účet superužívateľ, robí z osoby, ktorá vstúpila s jej používaním, ak nie z majiteľa, tak prinajmenšom jeho správcu.
Zostáva UID rovné 65535. Nie je to tiež obyčajné. Toto UID patrí používateľovi nikomu (nikto).
Kedysi bol jedným zo spôsobov hackovania systému vytvorenie používateľa s ID 65536, v dôsledku ktorého získal oprávnenia superužívateľa. Ak vezmete akékoľvek UID a konvertujete zodpovedajúce číslo na binárne číslo, dostanete kombináciu šestnástich binárnych číslic, z ktorých každá je buď 0 alebo 1. Drvivý počet identifikátorov zahŕňa nuly aj jednotky. Výnimkou je UID superpoužívateľa s nulou, čo sú všetky nuly, a UIDnobody s číslom 65535, čo je 16, to znamená 1111111111111111. Číslo 65536 nemožno umiestniť na 16 bitov - na reprezentáciu tohto čísla v binárnom čísle je potrebných 17 bitov. Najvýznamnejšia číslica sa bude rovnať jednej (1), všetky ostatné sa budú rovnať nule (0). Čo sa teda stane, keď vytvoríte používateľa so 17 -bitovým dlhým identifikátorom - 1 000 000 000 000 000? Teoreticky používateľ s nulovým identifikátorom: pretože pre identifikátor je alokovaných iba 16 binárnych číslic, 17. bit nie je kam uložiť a je zahodený. Preto sa stratí jediná identifikačná jednotka, zostanú iba nuly a objaví sa systém Nový užívateľ s identifikátorom, a teda privilégiami, superužívateľa. Teraz však vo WSWS neexistujú žiadne programy, ktoré by vám umožnili nastaviť UID na 65536.
POZNÁMKA
Môžete vytvárať používateľov s ID vyšším ako 65 536, ale nebudete ich môcť používať bez nahradenia / bin / prihlásenia.
Akýkoľvek cracker sa určite pokúsi získať privilégiá superužívateľov. Len čo ich dostane, ďalší osud systému bude úplne závisieť od jeho zámerov. Možno jej, spokojný so samotným hackovaním, neurobí nič zlé a keď vám pošle list s popisom dier v bezpečnostnom systéme, ktorý našiel, nechá ju navždy samotnú, alebo možno nie. Ak úmysly hackerského hackera nie sú také čisté, potom najlepšie, v čo môžete dúfať, je deaktivácia systému.
/ Etc / passwd
Každý, kto sa chce prihlásiť, musí zadať používateľské meno a heslo, ktoré sú overené podľa databázy používateľov uloženej v súbore / etc / passwd. Obsahuje okrem iného heslá všetkých používateľov. Pri pripájaní k systému sa zadané heslo kontroluje proti heslu zodpovedajúcemu danému menu a v prípade zhody je používateľ povolený vstup do systému, po ktorom sa spustí program určený pre toto používateľské meno v súbore hesiel. Ak ide o príkazový shell, používateľ je schopný zadávať príkazy.
Zvážte zaradenie do zoznamu 1.1. Toto je súbor passwd starého štýlu.
Zoznam 1.1. Starý súbor / etc / passwd
koreň: *: 1i DYwrOmhmEBU: 0: 0: root :: / root: / bin / bash
bin: *: 1: 1: bin: / bin:
démon: *: 2: 2: démon: / sbin:
adm: *: 3: 4: adm: / var / adm:
lp: *: 4: 7: lp: / var / spool / lpd:
synchronizácia: *: 5: 0: synchronizácia: / sbin: / bin / synchronizácia
vypnutie: *: 6: 11: vypnutie: / sbin: / sbin / vypnutie
zastaviť: *: 7: 0: zastaviť: / sbin: / sbin / zastaviť
mail: *: 8: 12: mail: / var / spool / mail:
správy: *: 9: 13: novinky: / var / spool / správy:
uucp: *: 10: 14: uucp: / var / spool / uucp:
operátor: *: 11: 0: operátor: / root:
hry: *: 12: 100: hry: / usr / hry:
gopher: *: 13: 30: gopher: / usr / 1ib / gopher-data:
ftp: *: 14:50: Používateľ FTP: / home / ftp:
muž: *: 15: 15: Príručky Vlastník: /:
majordom: *: 16: 16: Majordomo: /: / bin / false
postgres: *: 17: 17: Postgres Užívateľ: / home / postgres: / bin / bash
mysql: *: 18: 18: MySQL User: / usr / local / var: / bin / false
silvia: 1iDYwrOmhmEBU: 501: 501: Silvia Bandel: / home / silvia: / bin / bash
nikto: *: 65534: 65534: Nikto: /: / bi n / false
david: 1iDYwrOmhmEBU: 500: 500: David A. Bandel: / home / david: / bin / bash
Súbor hesiel má naprogramovanú štruktúru. Obsahom súboru je tabuľka. Každý riadok v súbore je záznam v tabuľke. Každý záznam pozostáva z niekoľkých polí. Polia v súbore passwd sú oddelené dvojbodkami, takže dvojbodky nemožno použiť v žiadnom z polí. Celkom je sedem polí: používateľské meno, heslo, ID používateľa, ID skupiny, pole GECOS (alias pole komentára), domovský adresár a prihlasovací shell.
Viac na / etc / passwd
Prvé pole obsahuje používateľské meno. Musí byť jedinečný - nemôžete mať dvoch používateľov systému, ktorí majú rovnaké meno. Pole s názvom je jediné pole, ktorého hodnota musí byť jedinečná. V druhom poli je uložené heslo používateľa. Na ochranu systému je heslo uložené v hašovanej podobe. Pojem „hašovaný“ v tomto kontexte znamená „šifrovaný“. V prípade MSVS je heslo šifrované pomocou algoritmu DES (DataEncryption Standard). Hashované heslo v tomto poli má vždy 13 znakov a niektoré znaky, ako napríklad dvojbodka a jednoduchá úvodzovka, sa medzi nimi nikdy nezobrazia. Akákoľvek iná hodnota poľa ako správne hashované 13-znakové heslo znemožňuje tomuto používateľovi prihlásiť sa, s jednou mimoriadne dôležitou výnimkou: pole pre heslo môže byť prázdne.
Druhé pole nič nestojí, dokonca ani miesto, čo znamená, že príslušný používateľ nepotrebuje na prihlásenie heslo. Ak zmeníte heslo uložené v poli pridaním znaku, napríklad jednoduchej citácie, bude účet uzamknutý a príslušný používateľ sa nebude môcť prihlásiť. Faktom je, že po pridaní neplatného znaku do 14-znakového hašovaného hesla systém odmietol autentifikovať používateľa takýmto heslom.
Heslo je v súčasnosti obmedzené na osem znakov. Používateľ môže zadať dlhšie heslá, ale zmysluplných bude iba prvých osem znakov. Prvé dva znaky hašovaného hesla sú semienko(soľ). (Počiatočné číslo je číslo, ktoré sa používa na inicializáciu šifrovacieho algoritmu. Pri každej zmene hesla sa zárodok vyberie náhodne.) V dôsledku toho je počet všetkých možných permutácií dostatočne veľký, takže nie je možné zistiť, či existuje sú používatelia s rovnakými heslami v systéme jednoducho porovnaním hašovaných hesiel.
POZNÁMKA
Slovníkový útok (dictionaryattack) sa týka techník prelomenia hesla hrubou silou a zahŕňa použitie slovníka a známeho semena. Útok spočíva v iterácii všetkých slov v slovníku, ich zašifrovaní pomocou daného semena a porovnaní výsledku s prelomením hesla. Navyše, okrem slov zo slovníka, sa zvyčajne zvažujú aj niektoré z ich modifikácií, napríklad všetky písmená sú veľké, iba prvé písmeno je veľké a pridávanie čísel (zvyčajne iba 0-9) na koniec všetkých týchto kombinácie. Týmto spôsobom je možné prelomiť mnoho ľahko uhádnuteľných hesiel.
Tretie pole obsahuje ID užívateľa. ID užívateľa nemusí byť jedinečné. Okrem koreňového používateľa môže existovať predovšetkým ľubovoľný počet ďalších používateľov s nulovým identifikátorom a všetci budú mať oprávnenia superužívateľa.
Štvrté pole obsahuje identifikátor skupiny (GroupID, GID). Skupina zadaná v tomto poli sa nazýva primárna skupina užívateľov(primárna skupina). Používateľ môže patriť do niekoľkých skupín, ale jedna z nich musí byť primárnou skupinou.
Piate pole sa teraz nazýva pole komentárov, ale jeho pôvodný názov bol GECOS z „GEConsolidatedOperatingSystem“. Keď požadujete informácie o používateľovi prstom alebo iným programom, obsah tohto poľa sa teraz vráti ako skutočné používateľské meno. Pole pre komentár môže byť prázdne.
Šieste pole je domovský adresár používateľa. Každý používateľ musí mať svoj vlastný domovský adresár. Užívateľ sa obvykle prihlási do svojho domovského adresára, ale ak neexistuje, skončí v koreňovom adresári.
Siedme pole určuje prihlasovací shell. V tomto poli nie je možné zadať všetky škrupiny. V závislosti od systémových nastavení v ňom môže byť zadaný iba shell zo zoznamu platných shellov. Na serveri WSWS sa zoznam prijateľných shellov štandardne nachádza v súbore / etc / shells.
/ Etc / tieňový súbor
Súbor / etc / shadow je vo vlastníctve užívateľa root a je jediným používateľom oprávneným čítať súbor. Na jeho vytvorenie musíte vziať používateľské mená a hašované heslá zo súboru passwd a umiestniť ich do tieňového súboru, pričom všetky hašované heslá v súbore passwd nahradíte znakmi x. Ak sa pozriete na súbor passwd systému, vidíte, že namiesto hašovaných hesiel je x znakov. Tento symbol systému naznačuje, že heslo by sa nemalo zobrazovať tu, ale v súbore / etc / shadow. Prechod z jednoduchých hesiel na tieňové a naopak sa vykonáva pomocou troch nástrojov. Na prepnutie na tieňové heslá sa najskôr spustí nástroj pwck. Skontroluje v súbore passwd všetky anomálie, ktoré by mohli spôsobiť zlyhanie nasledujúceho kroku alebo jeho jednoduchú slučku. Po spustení programu pwck sa spustí nástroj pwconv na vytvorenie súboru / etc / shadow. Obvykle sa to robí po manuálna aktualizácia súbor / etc / passwd. Ak sa chcete vrátiť k normálnym heslám, spustite príkaz pwuncov.
Súbor tieňového hesla je v mnohých ohľadoch podobný bežnému súboru hesiel. Najmä prvé dve polia týchto súborov sú rovnaké. Okrem týchto polí však prirodzene obsahuje ďalšie polia, ktoré v bežnom súbore hesiel chýbajú. Zoznam 1.2. zobrazuje obsah typického súboru / etc / shadow.
Zoznam 1.2./ Etc / tieňový súbor
koreň: 1iDYwrOmhmEBU: 10792: 0 :: 7: 7 ::
kôš: *: 10547: 0 :: 7: 7 ::
démon: *: 10547: 0 :: 7: 7 ::
adm: *: 10547: 0 :: 7: 7 ::
lp: *: 10547: 0 :: 7: 7 ::
synchronizácia: *: 10547: 0 :: 7: 7 ::
vypnutie: U: 10811: 0: -1: 7: 7: -1: 134531940
zastaviť: *: 10547: 0 :: 7: 7 ::
mail: *: 10547: 0 :: 7: 7 ::
správy: *: 10547: 0 :: 7: 7 ::
uucp: *: 10547: 0 :: 7: 7 ::
operátor: *: 10547: 0 :: 7: 7 ::
hry: *: 10547: 0 :: 7: 7 ::
gopher: *: 10547: 0 :: 7: 7 ::
ftp: *: 10547: 0 :: 7: 7 ::
muž: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mysql: *: 10547: 0 :: 7: 7 ::
si1via: 1iDYwrOmhmEBU: 10792: 0: 30: 7: -l ::
nikto: *: 10547: 0 :: 7: 7 ::
david: 1iDYwrOmhmEBU: 10792: 0 :: 7: 7 ::
Viac na / etc / shadow
Účel prvého poľa v tieňovom súbore je rovnaký ako pre prvé pole v súbore passwd.
Druhé pole obsahuje hašované heslo. Implementácia tieňového hesla WSWS umožňuje hašované heslá od 13 do 24 znakov, ale program na šifrovanie hesiel krypt môže vytvárať iba 13-znakové hašované heslá. Znaky použité v haši pochádzajú zo sady 52 abecedných písmen (veľké a malé písmená), číslic 0-9, bodky a lomky (/). V poli hash hesla je celkovo povolených 64 znakov.
Semeno, ktoré tak, ako predtým, predstavuje prvé dva znaky, je možné vybrať z 4096 možných kombinácií (64 x 64). Na šifrovanie sa používa algoritmus DES s 56-bitovým kľúčom, to znamená, že kľúčový priestor tohto algoritmu má 2 56 kľúčov, čo je približne 72 057 590 000 000 000 alebo 72 kvadrillionov. Číslo vyzerá pôsobivo, ale v skutočnosti môžete za veľmi krátky čas iterovať cez všetky klávesy z priestoru tejto veľkosti.
Informácie o vypršaní platnosti hesla začínajú tretím poľom. Ukladá počet dní od 1. januára 1970 do dňa poslednej zmeny hesla.
Štvrté pole určuje minimálny počet dní, ktoré musia uplynúť, kým bude možné heslo znova zmeniť. Kým od poslednej zmeny hesla neuplynie toľko dní, ako je uvedené v tomto poli, nemôžete heslo znova zmeniť.
Piate pole nastavuje maximálny počet dní, počas ktorých je možné heslo používať, po ktorých je potrebné ho zmeniť. Ak je toto pole kladné, pokus používateľa prihlásiť sa po uplynutí platnosti hesla spôsobí, že príkaz na spustenie hesla nebude spustený ako obvykle, ale v režime povinnej zmeny hesla.
Hodnota zo šiesteho poľa určuje, koľko dní pred vypršaním platnosti hesla by ste na to mali začať vydávať upozornenie. Po upozornení môže používateľ začať zadávať nové heslo.
Siedme pole nastavuje počet dní od dátumu povinnej zmeny hesla, po ktorých je tento účet zablokovaný.
Predposledné pole ukladá deň, kedy bol účet zablokovaný.
Posledné pole je vyhradené a nepoužíva sa.
Viac na / etc / group
Každý záznam v súbore / etc / group pozostáva zo štyroch polí, oddelených dvojbodkami. Prvé pole je názov skupiny. Podobné používateľskému menu.
Druhé pole je zvyčajne vždy prázdne, pretože mechanizmus hesiel pre skupiny sa zvyčajne nepoužíva, ale ak toto pole nie je prázdne a obsahuje heslo, k skupine sa môže pripojiť ktorýkoľvek používateľ. Ak to chcete urobiť, spustite príkaz newgrp s názvom skupiny ako parametrom a potom zadajte správne heslo. Ak pre skupinu nie je zadané heslo, môžu sa k nemu pripojiť iba používatelia uvedení v zozname členov skupiny.
Tretie pole určuje identifikátor skupiny (GroupID, GID). Jeho význam je rovnaký ako pre ID užívateľa.
Posledné pole je zoznam používateľských mien, ktoré patria do skupiny. Používateľské mená sú oddelené čiarkami bez medzier. Primárna skupina používateľa je zadaná (bez zlyhania) v súbore passwd a je priradená, keď sa používateľ na základe týchto informácií pripojí k systému. Ak teda zmeníte primárnu skupinu používateľa v súbore passwd, používateľ sa už nebude môcť pripojiť k svojej bývalej primárnej skupine.
SÚBOR /etc/login.defs
Existuje niekoľko spôsobov, ako pridať nového používateľa do systému. Vo WSWS sa na to používajú tieto programy: coastooL, LISA, useradd. Každý z nich to urobí. Obslužný program COAS používa vlastný súbor. Programy useradd a LISA preberajú predvolené hodnoty pre polia súboru passwd a tieňa zo súboru /etc/login.defs. Obsah tohto súboru je skrátený, ako je uvedené v zozname 1.4.
Zoznam 1.4. Skrátený súbor /etc/login.defs
# Maximálny počet dní, počas ktorých je možné používať heslo:
# (- 1- zmena hesla je voliteľná) PASS_MAX_DAYS-1
Minimálny počet dní medzi zmenami hesla: PASS_MIN_DAYSO
# Koľko dní pred dátumom zmeny hesla by malo byť vydané varovanie: PASS_WARN_AGE7
# Koľko dní musí uplynúť po uplynutí platnosti hesla pred uzamknutím účtu: PASS_INACTIVE-1
# Vynútiť uplynutie platnosti hesla v daný deň:
# (dátum je určený počtom dní po 70/1/1, -1 = nenútiť) PASS_EXPIRE -1
# Hodnoty polí vytvoreného účtu pre program useradd
# predvolená skupina: GROUP100
# domovský adresár používateľa:% s = používateľské meno) DOMOV / domov /% s
# predvolený shell: SHELL / bin / bash
# adresár, kde sa nachádza kostra domovského adresára: SKEL / etc / skel
# minimálne a maximálna hodnota na automatický výber gid v groupaddGID_MIN100
Obsah tohto súboru nastavuje predvolené hodnoty pre polia passwd a tieňový súbor. Ak ich neprepíšete z príkazového riadka, použijú sa. Na začiatku sú tieto hodnoty v poriadku, ale niektoré z nich bude potrebné zmeniť, aby sa implementovalo starnutie hesiel. Hodnota -1 znamená žiadne obmedzenie.
Softvér COAS spoločnosti Caldera na to používa grafické používateľské rozhranie
Príkaz chage (changeaging) môžete použiť na zmenu informácií o starnutí hesla pre jedného alebo dvoch používateľov. Neprivilegovaní používatelia môžu spustiť chage iba s možnosťami -l a vlastným používateľským menom, to znamená, že môžu požiadať iba o informácie o vypršaní platnosti vlastného hesla. Na zmenu informácií o ukončení podpory stačí zadať používateľské meno, ostatné parametre budú vyžiadané v dialógovom režime. Keď zavoláte chage bez parametrov, získate krátke zhrnutie použitia.
COAS je možné použiť na zmenu nastavení starnutia hesla pre každý účet jednotlivo. V tomto prípade sú hodnoty uvedené v dňoch. Rozhranie programu je zrejmé.
POZNÁMKA -
Na získanie informácií o vypršaní platnosti hesla používateľa alebo na vynútenie tohto postupu môžete použiť príkaz vypršania platnosti.
PAM bezpečnostný systém
Hlavnou myšlienkou PAM je, že môžete vždy napísať nový bezpečnostný modul, ktorý by pre informácie získal prístup k súboru alebo zariadeniu a vrátil výsledok autorizačného postupu: SUCCESS, FAILURE alebo IGNORE. A RAM zasa vráti ÚSPECH alebo PORUCHU službe, ktorá to nazvala. Nezáleží teda na tom, aké heslá, tieňové alebo obyčajné, sa v systéme používajú, ak má PAM: všetky programy, ktoré podporujú PAM, budú fungovať dobre s oboma.
Teraz sa obrátime na zváženie základných princípov práce pamäte RAM. Zvážte zoznam 1.6. Adresár /etc/pam.d obsahuje konfiguračné súbory pre ďalšie služby, ako sú su, passwd atď., V závislosti od toho, aký softvér je nainštalovaný v systéme. Každá obmedzená služba má svoj vlastný konfiguračný súbor. Ak neexistuje, daná služba s obmedzením prístupu spadá do kategórie „ostatné“, pričom konfiguračný súbor je iný.d. (Obmedzená služba je akákoľvek služba alebo program, ktorý vyžaduje použitie autorizácie. Inými slovami, ak vás služba bežne vyzve na zadanie používateľského mena a hesla, jedná sa o obmedzenú službu.)
Výpis 1.6. Konfiguračný súbor služby prihlásenia
vyžaduje sa autoriz pam_securetty.so
vyžaduje sa autoriz pam_pwdb.so
vyžaduje sa autorizácia pam_nologin.so
#auth required pam_dialup.so
auth nepovinné pam_mail.so
požadovaný účet pam_pwdb.so
je potrebná relácia pam_pwdb.so
relácia voliteľná pam_lastlog.so
požadované heslo pam_pwdb.so
Ako vidíte z výpisu, konfiguračný súbor má tri stĺpce. Riadky začínajúce znakom libry (#) sa ignorujú. Preto bude modul pam_dialup (riadok 4 záznamu 1.6.) Preskočený. V súbore sú riadky s rovnakým tretím poľom - pam_pwd.so a prvým - auth. Použitie viacerých riadkov s rovnakým prvým poľom sa nazýva stohovanie modulov a umožňuje vám získať viacstupňové oprávnenie (zásobník modulov), ktoré obsahuje niekoľko rôznych autorizačných postupov.
Prvý stĺpec je stĺpcom typu. Typ je identifikovaný jedným zo štyroch znakov: autorizácia, účet, relácia a heslo. So všetkými stĺpcami sa zaobchádza bez rozlišovania malých a veľkých písmen.
Typ autentifikácie (autentifikácia) sa používa na zistenie, či je používateľ tým, za koho sa uvádza. Spravidla sa to dosiahne porovnaním zadaných a uložených hesiel, ale sú možné aj ďalšie možnosti.
Typ účtu kontroluje, či je danému používateľovi povolené používať službu, za akých podmienok, či vypršala platnosť hesla atď.
Typ hesla sa používa na aktualizáciu autorizačných tokenov.
Typ relácie vykonáva konkrétne akcie, keď sa používateľ prihlási a keď sa odhlási.
Kontrolné vlajky
Druhý stĺpec je pole kontrolného príznaku, ktoré určuje, čo sa má urobiť po návrate z modulu, to znamená, ako PAM reaguje na SUCCESS, IGNORE a FAILURE. Povolené hodnoty sú požadované, požadované, dostatočné a voliteľné. Hodnota v tomto poli určuje, či sa spracujú ostatné riadky v súbore.
Požadovaný príznak (povinný) určuje najprísnejšie správanie. Akýkoľvek reťazec s požadovaným príznakom, ktorého modul vracia FAILURE, bude ukončený a volajúca služba vráti stav FAILURE. Žiadne ďalšie riadky nebudú brané do úvahy. Táto vlajka sa používa len zriedka. Faktom je, že ak je modul, ktorý je ním označený, spustený úplne prvý, potom nemusia byť spustené nasledujúce moduly vrátane tých, ktoré sú zodpovedné za protokolovanie, preto sa namiesto toho zvyčajne používa požadovaný príznak.
Požadovaný príznak neprerušuje vykonávanie modulov. Bez ohľadu na výsledok vykonania modulu ním označeného: ÚSPECH, IGNOROVANIE alebo ZÁVADA, PAM vždy pristúpi k spracovaniu nasledujúceho modulu. Toto je najbežnejšie používaný príznak, pretože výsledok vykonania modulu sa nevráti, kým sa nespustia všetky ostatné moduly, čo znamená, že moduly zodpovedné za protokolovanie sa určite vykonajú.
Príznak postačujúci spôsobí, že sa riadok okamžite ukončí a vráti hodnotu ÚSPECH, za predpokladu, že ním označený modul vráti ÚSPECH a že neexistuje žiadny predchádzajúci modul s požadovaným príznakom, ktorý by vrátil stav PORUCHA. Ak sa s takýmto modulom stretne, dostatočný príznak bude ignorovaný. Ak modul označený týmto príznakom vráti IGNORE alebo FAILURE, potom sa príznak postačuje ako nepovinný príznak.
Výsledok spustenia modulu s voliteľným príznakom sa zohľadní iba vtedy, ak je jediným modulom v zásobníku, ktorý vrátil ÚSPECH. V opačnom prípade je výsledok jeho vykonania ignorovaný. Neúspešné spustenie modulu s ním označeného teda neznamená zlyhanie celého procesu autorizácie.
Aby mal užívateľ prístup do systému, moduly označené požadovanými a požadovanými príznakmi nesmú vracať hodnoty ZÁVADY. Výsledok spustenia modulu s voliteľným príznakom sa berie do úvahy iba vtedy, ak je jediným modulom v zásobníku, ktorý vrátil ÚSPECH.
PAM moduly
Tretí stĺpec obsahuje úplný názov súboru modulu priradeného k tomuto riadku. Moduly môžu byť v zásade umiestnené kdekoľvek, ale ak sú umiestnené v preddefinovanom adresári pre moduly, potom je možné zadať iba jedno meno, inak je potrebná aj cesta. Vo WSWS je preddefinovaný adresár / lib / security.
Štvrtý stĺpec je určený na prenos ďalších parametrov do modulu. Nie všetky moduly majú parametre, a ak áno, nemusia byť použité. Odovzdanie parametra do modulu vám umožní zmeniť jeho správanie tak či onak.
Výpis 1.7 obsahuje zoznam modulov PAM, ktoré sú súčasťou WSWS.
Zoznam 1.7. Zoznam modulov PAM zahrnutých v MSVS
pam_rhosts_auth.so
pam_securetty.so
pam_unix_acct.so
pam_unix_auth.so
pam_unix_passwd.so
pam_unix_session.so
Viac o moduloch
Modul pam_access.so sa používa na udelenie /odmietnutie prístupu na základe súboru /etc/security/access.conf. Riadky v tomto súbore majú nasledujúci formát:
práva: užívatelia: od
Práva - buď + (povoliť) alebo - (odmietnuť)
Používatelia - VŠETCI, používateľské meno alebo užívateľ @ hostiteľ, kde sa hostiteľ zhoduje s názvom lokálneho počítača, inak je záznam ignorovaný.
Kde - jeden alebo viac názvov terminálových súborov (bez predpony / dev /), názvy hostiteľov, názvy domén(začínajúc bodkou), IP adresy, VŠETKY alebo MIESTNE.
Modul pam_cracklib.so kontroluje heslá pomocou slovníka. Je navrhnutý tak, aby overoval nové heslo a predchádzal používaniu ľahko prelomiteľných hesiel v systéme, ktorými sú bežne používané slová, heslá obsahujúce duplicitné znaky a príliš krátke heslá. K dispozícii sú voliteľné parametre: ladenie, typ = a zopakujte pokus =. Parameter ladenia umožňuje zapísať informácie o ladení do súboru denníka. Parameter typu, za ktorým nasleduje reťazec, zmení predvolenú výzvu NewUnixpassword: Unix word na zadaný reťazec. Parameter opakovať určuje počet pokusov o zadanie hesla používateľovi pred vrátením chyby (štandardne jedno opakovanie).
Zvážte zoznam 1.8. Zobrazuje obsah súboru / etc / pam.d / other. Tento súbor obsahuje konfiguráciu, ktorú používa modul PAM pre služby, ktoré nemajú svoje vlastné konfiguračné súbory v adresári /etc/pam.d. Inými slovami, tento súbor platí pre všetky služby neznáme systému PAM. Predstavuje všetky štyri typy autorizácie, autorizácie, účtu, hesla a relácie, z ktorých každý volá modul pam_deny.so, označený podľa potreby. Vykonanie neznámej služby je teda odmietnuté.
Zoznam 1.8. SÚBOR /etc/pam.d/other
vyžaduje sa autoriz pam_deny.so
vyžaduje sa autoriz pam_warn.so
požadovaný účet pam_deny.so
požadované heslo pam_deny.so
požadované heslo pam_warn.so
potrebná relácia pam_deny.so
Modul pam_dialup.so kontroluje, či je potrebné zadať heslo na prístup k vzdialenému terminálu alebo terminálom pomocou súboru / etc / security / ttys.dialup. Modul je použiteľný nielen pre ttyS, ale všeobecne pre akýkoľvek terminál tty. Keď je heslo potrebné, skontroluje sa oproti heslu uvedenému v súbore / etc / security / passwd.dialup. Súbor passwd.dialup je upravený programom dpasswd.
Modul pam_group.so vykonáva kontroly podľa obsahu súboru /etc/security/group.conf. Tento súbor určuje skupiny, ktorých členom sa môže stať používateľ uvedený v súbore, ak sú splnené určité podmienky.
Modul pam_lastlog.so zapisuje do súboru lastlog informácie o tom, kedy a odkiaľ sa používateľ prihlásil. Tento modul je spravidla označený typom relácie a voliteľným príznakom.
Modul pam_limits.so vám umožňuje ukladať prihlásených používateľov rôzne obmedzenia. Tieto obmedzenia sa nevzťahujú na koreňového používateľa (ani na iných používateľov s nulovým ID). Obmedzenia sú stanovené na úrovni prihlásenia a nie sú globálne ani trvalé, platia iba pre jedno prihlásenie.
Modul pam_lastfile.so vezme nejaký záznam (položku), porovná ho so zoznamom v súbore a na základe výsledkov porovnania vráti SUCCESS alebo FAILURE. Parametre tohto modulu sú nasledujúce:
Položka = [koncový používateľ | remote_node | remote_user | skupina | škrupina]
Zmysel = (stav na vrátenie; keď sa v zozname nájde záznam, v opačnom prípade sa vráti opačný stav)
filе = / plný / cesta / a / názov súboru - onerr = (aký stav vrátiť v prípade chyby)
App1y = [užívateľ | @skupina] (určuje používateľa alebo skupinu, na ktorú sa vzťahujú obmedzenia. Má význam iba pre položky položky formulára = [terminál | vzdialený_uzol | shell], pre položky položky formulára = [používateľ | vzdialený_uživatel | skupina] sa ignoruje)
Modul pam_nologin.so sa používa na autorizáciu autorizácie s požadovaným príznakom. Tento modul skontroluje, či súbor / etc / nologin existuje, a ak nie, vráti SUCCESS, v opačnom prípade sa súbor zobrazí používateľovi a vráti FAILURE. Tento modul sa zvyčajne používa v prípadoch, keď systém ešte nie je úplne funkčný alebo dočasne zatvorený z dôvodu údržby, ale nie je odpojený od siete.
Modul pam_permit.so je doplnkom k modulu pam_deny.so. Vždy vráti ÚSPECH. Akékoľvek parametre odovzdané modulom sa ignorujú.
Modul pam_pwdb.so poskytuje rozhranie pre súbory passwd a tieň. Sú možné nasledujúce parametre:
Debug - zápis informácií o ladení do súboru denníka;
Audit - dodatočné informácie o ladení pre tých, ktorí nie sú spokojní s obvyklými informáciami o ladení;
Use_first_pass - nikdy nepýtajte používateľa na heslo, ale vezmite ho z predchádzajúcich modulov zásobníka;
Try_first_pass - pokúste sa získať heslo z predchádzajúcich modulov, v prípade zlyhania sa opýtajte používateľa;
Use_authtok - vráti hodnotu FAILURE, ak pam_authtok nie je nainštalovaný, nepýtajte sa používateľa na heslo, ale vezmite ho z predchádzajúcich modulov zásobníka (iba pre zásobník modulov typu hesla);
Not_set_pass - nenastavujte heslo z tohto modulu ako heslo pre nasledujúce moduly;
Shadow - podporuje systém tieňových hesiel;
Unix - vložte heslá do súboru / etc / passwd;
MD5 - pri ďalšej zmene hesla použite heslá MD5;
Bigcrypt - pri ďalšej zmene hesiel použite heslá DECC2;
Nodelay - deaktivuje jednosekundové oneskorenie pri neúspešnej autorizácii.
Modul pam_rhosts_auth.so umožňuje / popiera používanie súborov .rhosts alebo hosts.equiv. Okrem toho tiež umožňuje / popiera používanie „nebezpečných“ položiek v týchto súboroch. Parametre tohto modulu sú nasledujúce:
No_hosts_equiv - ignorujte súbor /etc/hosts.equiv;
No_rhosts - ignorujte súbor / etc / rhosts alebo ~ / .rhosts;
Debug - informácie o ladení denníka;
Nowarn - nezobrazovať varovania;
Potlačiť - nezobrazovať žiadne správy;
Promiskuitné - povoľte zástupný znak „+“ v ľubovoľnom poli.
Modul pam_rootok.so vracia SUCCESS pre akéhokoľvek používateľa s nulovým ID. Keď je tento modul nastavený s príznakom dostatočné, umožňuje vám prístup k službe bez zadania hesla. Modul má iba jeden parameter: ladenie.
Modul pam_securetty.so je možné používať iba so superužívateľmi. Tento modul pracuje so súborom / etc / securetty, čo umožňuje superužívateľovi prihlásiť sa iba prostredníctvom terminálov uvedených v tomto súbore. Ak chcete povoliť prihlásenie superužívateľa prostredníctvom telnetu (terminál pseudo ttyp), musíte do tohto súboru buď pridať riadky pre ttyp0-255, alebo komentovať volanie súboru pam_securetty.so v súbore pre prihlasovaciu službu.
Modul pam_shells.so vracia SUCCESS, ak je užívateľský shell zadaný v súbore / etc / passwd v zozname shellov zo súboru / etc / shells. Ak súbor / etc / passwd nepriradí užívateľovi žiadny shell, spustí sa / bin / sh. Ak je v súbore / etc / passwd zadaný shell pre používateľa, ktorý nie je uvedený v priečinku / etc / shell, modul vráti FAILURE. Prístup na zápis do súboru / etc / shells by mal mať iba superužívateľ.
Na správu hesiel slúži modul pam_stress.so. Má veľa parametrov, vrátane nezmeneného ladenia, ale vo všeobecnosti sú zo všetkých parametrov zaujímavé iba dva:
Rootok - umožňuje superužívateľovi meniť používateľské heslá bez zadávania starého hesla;
Platnosť vypršala - s týmto parametrom sa modul spustí tak, ako keby už vypršalo heslo používateľa.
Ostatné parametre modulu vám umožňujú zakázať ktorýkoľvek z týchto dvoch režimov, použiť heslo z iného modulu alebo ho preniesť do iného modulu atď. Pozrite si popis v dokumentácii k modulu.
Vo WSWS sa modul pam_tally.so štandardne nepoužíva v súboroch z /etc/pam.d. Tento modul počíta pokusy o autorizáciu. Po úspešnom dokončení autorizácie je možné počítadlo počtu pokusov vynulovať. Ak počet neúspešných pokusov o pripojenie prekročí určitú hranicu, prístup môže byť odmietnutý. Štandardne sú informácie o pokusoch umiestnené v súbore / var / log / faillog. Globálne parametre sú nasledujúce:
Onerr = - čo robiť, ak sa napríklad vyskytne chyba, súbor sa nedá otvoriť;
Súbor = / plný / cesta / a / názov_souboru - ak chýba, použije sa predvolený súbor. Nasledujúci parameter má význam iba pre typ autorizácie:
No_magic_root - zapne počet pokusov pre superužívateľa (štandardne sa neuchováva). Užitočné, ak je prihlásenie superužívateľa povolené prostredníctvom telnetu. Nasledujúce parametre majú význam iba pre typ účtu:
Odmietnuť = n - Odmietnuť prístup po n pokusoch. Použitím tohto parametra sa zmení predvolené správanie modulu reset / no_reset z no_reset na reset. Stáva sa to pre všetkých používateľov okrem užívateľa root (UID 0), pokiaľ nie je použitý parameter no_magic_root;
No_magic_root - pri pokusoch o prístup typu root neignorujte parameter odmietnutia. Pri použití v spojení s parametrom deny = (pozri vyššie) sa predvolené správanie pre koreňového používateľa vynuluje, ako pre všetkých ostatných používateľov;
Even_deny_root_account - umožňuje uzamknutie účtu superužívateľa, ak je prítomný parameter no_magic_root. V takom prípade sa vydá varovanie. Ak nie je použitý parameter no_magic_root, potom bez ohľadu na počet neúspešných pokusov nebude účet superužívateľa nikdy zablokovaný, na rozdiel od bežných používateľských účtov;
Reset - vynulovať počítadlo pokusov po úspešnom prihlásení;
No_reset - neresetujte počítadlo počtu pokusov po úspešnom prihlásení; používa sa štandardne, pokiaľ nie je uvedené deny =.
Modul pam_time.so vám umožňuje obmedziť prístup k službe na základe času. Všetky pokyny na jeho konfiguráciu nájdete v súbore / etc / security / time.conf. Nemá žiadne parametre: všetko je nastavené v konfiguračnom súbore.
Modul pam_unix sa zaoberá normálnou autorizáciou WSWS (zvyčajne sa namiesto toho používa pam_pwdb.so). Fyzicky tento modul pozostáva zo štyroch modulov, z ktorých každý zodpovedá jednému z typov PAM: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so a pam_unix_passwd.so. Moduly pre typy účtov a autorizácií nemajú žiadne parametre. Modul pre typ passwd má iba jeden parameter: strict = false. Ak je prítomný, modul nekontroluje odolnosť hesiel voči prelomeniu, čo umožňuje použitie ľubovoľných vrátane nezabezpečených (ľahko uhádnuteľných alebo hrubých) hesiel. Modul relácie rozumie dvom parametrom: ladenie a sledovanie. Informácie o ladení pre parameter debug sa zapíšu do súboru denníka informácií o ladení, ako je uvedené v syslog.conf, a informácie o sledovaní sa kvôli svojej citlivosti umiestnia do protokolu authpriv.
Modul pam_warn.so napíše správu o svojom volaní do syslog. Nemá žiadne parametre.
Modul pam_wheel.so umožňuje stať sa superužívateľom iba členom skupiny kolies. Skupina kolies je špeciálna systémová skupina, ktorej členovia majú viac privilégií ako bežní používatelia, ale menej ako superužívateľ. Jeho prítomnosť vám umožňuje znížiť počet používateľov systému s oprávneniami superužívateľov, čím sa stávajú členmi skupiny kolies, a tým zvyšuje bezpečnosť systému. Ak sa superužívateľ môže do systému prihlásiť iba pomocou terminálu, potom je možné tento modul použiť na to, aby bolo pre užívateľov nedostupné pracovať prostredníctvom telnetu s oprávneniami superužívateľa, čím im bude odoprený prístup, ak nepatria do skupiny kolies. Modul používa nasledujúce parametre:
Debug - zaznamenávanie informácií o ladení;
Use_uid - určenie príslušnosti na základe aktuálneho identifikátora používateľa, a nie toho, čo mu bolo priradené pri prihlásení;
Dôvera - ak používateľ patrí do skupiny kolies, vráťte ÚSPECH, nie IGNOROVAŤ;
Odmietnuť - zmení zmysel postupu na opačný (návrat NEÚSPEŠNÝ). V kombinácii so skupinou = vám umožňuje odmietnuť prístup členom tejto skupiny.
POZNÁMKA -
Adresár /etc /security je priamo spojený s adresárom /etc/pam.d, pretože obsahuje konfiguračné súbory pre rôzne moduly PAM nazývané súbory z /etc/pam.d.
Záznamy PAM v súboroch denníka
Výpis 1.9. Obsah súboru / var / log / secure
11. januára 16:45:14 chiriqui PAM_pwdb: (su) relácia otvorená pre root užívateľa
11. januára 16:45:25 chiriqui PAM_pwdb: (su) relácia uzavretá pre root užívateľa
11. januára 17:18:06 chiriqui prihlásenie: FAILOVANÉ PRIHLÁSENIE 1 OD (null) PRE Davida,
Zlyhanie autentifikácie
11. januára 17:18:13 prihlásenie chiriqui: FAILED LOGIN 2 FROM (null) FOR david.
Zlyhanie autentifikácie
11. januára 17:18:06 chiriqui prihlásenie: FAILOVANÉ PRIHLÁSENIE 1 OD (null) PRE Davida.
Zlyhanie autentifikácie
11. januára 17:18:13 prihlásenie chiriqui: FAILED LOGIN 2 FROM (null) FOR david,
Zlyhanie autentifikácie
11. januára 17:18:17 chiriqui PAM_pwdb: (používateľ) David otvoril reláciu (prihlásenie)
11. januára 17:18:17 chiriqui - david: PRIHLÁSENIE NA Ttyl BY David
11. januára 17:18:20 chiriqui PAM_pwdb: (prihlasovacia) relácia sa skončila pre používateľa David
Každý záznam začína dátumom, časom a názvom hostiteľa. Nasleduje názov modulu PAM a ID procesu uzavreté v hranatých zátvorkách. Potom je v zátvorke názov obmedzenej služby. V prípade záznamu 1.9 je to buď su alebo prihlásenie. Za názvom služby nasleduje buď „sessionopened“ (relácia otvorená), alebo „sessionclosed“ (relácia uzavretá).
Záznam bezprostredne nasledujúci za záznamom „sessionopened“ je prihlasovacia správa, z ktorej môžete zistiť, kto sa odkiaľ prihlásil.
Zahrnuté sú nasledujúce problémy:
Čo sú predvolené vlastné skupiny a súkromné vlastné skupiny;
Zmeniť používateľa / skupinu;
Ako zmena používateľa / skupiny ovplyvňuje GUI;
Zabezpečenie a používatelia;
Zabezpečenie a heslá;
Ochrana heslom;
Výber dobrého hesla;
Prelomenie hesiel.
Predvolená skupina
V súčasnosti už neexistujú žiadne obmedzenia na súčasné členstvo používateľa iba s jednou skupinou. Každý používateľ môže patriť do niekoľkých skupín súčasne. V príkaze newgrp sa používateľ stane členom skupiny uvedenej v príkaze a táto skupina sa stane pre tohto používateľa prihlasovacia skupina(logingroup). V tomto prípade je používateľ aj naďalej členom tých skupín, v ktorých bol členom pred vykonaním príkazu newgrp. Prihlasovacia skupina je skupina, ktorá sa stáva skupinovým vlastníkom súborov vytvorených používateľmi.
Rozdiel medzi predvolenou skupinou a súkromnými skupinami používateľov je v otvorenosti týchto dvoch schém. V prípade predvolenej skupinovej schémy môže každý používateľ čítať (a často upravovať) súbory iného používateľa. V prípade súkromných skupín je čítanie alebo zápis súboru vytvoreného iným používateľom možné len vtedy, ak jeho vlastník výslovne udelil práva na tieto operácie iným používateľom.
Ak chcete, aby sa používatelia mohli pripojiť a opustiť skupinu bez zásahu správcu systému, tejto skupine môže byť priradené heslo. Užívateľ môže využívať oprávnenia určitej skupiny iba vtedy, ak do nej patrí. Tu sú dve možnosti: buď patrí do skupiny od prvého prihlásenia, alebo sa stane členom skupiny neskôr, keď začal pracovať so systémom. Aby sa užívateľ mohol pripojiť k skupine, do ktorej nepatrí, musí byť tejto skupine priradené heslo.
Štandardne MSWS nepoužíva skupinové heslá, takže v adresári / etc nie je žiadny súbor gshadow.
Ak na vykonávanie bežných úloh správy používateľov neustále používate iba jeden z programov - useradd, LISA alebo COAS - súbory nastavení používateľa sú konzistentnejšie a ich údržba je jednoduchšia.
Výhodou predvolenej skupinovej schémy je, že uľahčuje zdieľanie súborov, pretože sa pri jej použití nemusíte starať o povolenia súborov. Táto schéma znamená otvorený prístup k systému na princípe „všetko je dovolené, čo nie je zakázané“.
Konfigurácia predvolených používateľských nastavení je úlohou s vysokou prioritou a malo by sa vykonať ihneď po inštalácii systému.
Súkromné skupiny používateľov
Súkromné skupiny používateľov majú mená, ktoré sa zhodujú s používateľskými menami. Súkromná skupina sa stane prihlasovacou skupinou, takže v predvolenom nastavení to znamená, že ak atribúty adresára nepredpisujú nič iné, je priradená ako skupina, ktorá vlastní všetky súbory používateľa.
Výhodou súkromných skupín používateľov je, že sa používatelia nemusia starať o obmedzenie prístupu k svojim súborom: v predvolenom nastavení prístup k užívateľské súbory od okamihu ich vytvorenia budú obmedzené. Vo WSWS môže používateľ pri použití súkromných skupín čítať alebo upravovať iba súbory, ktoré mu patria. Navyše môže vytvárať súbory iba vo svojom domovskom adresári. Toto predvolené správanie môže zmeniť správca systému alebo používateľ, a to na úrovni individuálneho súboru aj na úrovni adresára.
Existuje niekoľko príkazov, pomocou ktorých môže používateľ ovládať svoje meno a / alebo skupinu, do ktorej patrí, alebo názov alebo skupinu, v mene ktorej sa program vykonáva. Jedným z takýchto programov je newgrp.
Príkaz newgrp môže vykonať ktorýkoľvek užívateľ. Umožňuje mu pripojiť sa k skupine, do ktorej nepatril, ale iba vtedy, ak bolo k tejto skupine priradené heslo. Tento príkaz vám nedovolí pripojiť sa k skupine bez hesla, ak nie ste členom tejto skupiny.
Príkaz newgrp je možné použiť v skupine, ktorej je používateľ už členom. V tomto prípade newgrp urobí zo zadanej skupiny prihlasovaciu skupinu. Skupiny používateľov sú rozdelené do dvoch typov: prihlasovacia skupina a všetky ostatné skupiny, do ktorých používateľ patrí. Používateľ môže patriť do viac ako jednej skupiny, ale skupine, ktorá vlastní súbory vytvorené užívateľom, bude vždy priradená prihlasovacia skupina.
Okrem newgrp môžete pomocou príkazov chown a chgrp ovládať aj to, ktorý používateľ alebo skupina patrí do súboru.
Rozsah príkazu newgrp v prostredí XWindow je obmedzený na program xterm, v ktorom bol vykonaný: v kontexte novej skupiny sa budú vykonávať iba programy spustené prostredníctvom tohto terminálu, čo znamená, že používateľ ho nemôže použiť na zmenu prihlasovacia skupina pre programy spustené prostredníctvom správcu okien. Program, ktorý musí byť vždy spustený v kontexte sekundárnej skupiny, je možné spustiť pomocou skriptu, ktorý preň nastaví požadovanú prihlasovaciu skupinu.
Systém XWindow vždy prináša do života užívateľov ďalšie komplikácie. V. tento prípad Tieto ťažkosti nesúvisia priamo s X, ale vyplývajú z logiky / etc / groups a / etc / gshadow. Tí, ktorí pre skupiny nepoužívajú tieňové heslá, sa nemusia veľmi obávať. V prípade X nie je nastavenie skupiny chránenej heslom jednoduchý scenár, ale pre sekundárne skupiny používateľov, ktoré nevyžadujú heslo, je zmena skupiny veľmi jednoduchá. Nasledujúci scenár je dostačujúci:
sg - gify -с / usr / X11R6 / bin / xv &
V dôsledku spustenia tohto skriptu sa spustí program xv, ktorého primárnou skupinou bude skupina gifov. Čo bolo potrebné získať.
Pre tých, ktorí používajú heslá pre tieňové skupiny, je to ťažšie, pretože to spôsobí, že pri spustení tohto skriptu sa na obrazovke zobrazí chybové hlásenie. Keď sú používatelia uvedení v súbore / etc / groups, každý z nich sa automaticky považuje za člena skupiny ihneď po prihlásení. V prípade tieňových hesiel bol však zoznam používateľov skupiny presunutý do súboru / etc / gshadow, aby sa prihlásený používateľ automaticky nezapísal do systému, ale mohol sa k nemu pripojiť pomocou príkazu newgrp alebo v jeho mene spustite ľubovoľný program pomocou príkazu sg. Problém je v tom, že z pohľadu X daný používateľ (čo nie je nevyhnutne používateľ, ktorý inicioval reláciu X) nemá právo nadviazať spojenie. Preto sa pre skupiny, ktoré nie sú chránené heslom, vyššie uvedený skript zmení nasledovne:
xhosts + loslhost
sg - gify -c / usr / X11R6 / bin / xv &
Pridaný riadok umožňuje prístup na obrazovku nová skupina(gify). Na väčšine pracovných staníc by to nemalo viesť k žiadnym významným problémom so zabezpečením, pretože tento riadok umožňuje prístup na obrazovku iba používateľom na lokálnom hostiteľovi (ďalšie informácie o X a xhost nájdete v príručke správcu systému Linux).
POZNÁMKA
Použitie servera X (najmä v spojení s xdm alebo kdm) so sebou prináša množstvo jemností, ktoré grafické aplikácie ešte zhoršujú, pretože ich je možné spustiť nielen prostredníctvom príkazového riadku, ale aj pomocou ikony v grafickom zobrazení. pracovná plocha.
Zmena užívateľa
POZNÁMKA
Bežný používateľ nemôže systému spôsobiť toľko škody, ako môže neopatrný superužívateľ. Dôsledky vášho preklepu ako superužívateľa môžu byť veľmi fatálne, až sa môžete rozlúčiť so všetkými svojimi systémovými súbormi (alebo dokonca so všetkými súbormi uloženými v systéme). Niektoré spoločnosti sa potom môžu rozlúčiť aj s vami.
Príkaz su je zodpovedný za transformáciu jedného používateľa na druhého. Tím dostal svoje meno od « náhradník používateľ » (substitúcia užívateľa), ale keďže sa najčastejšie používa na používanie superužívateľa ..
Príkaz su, vyvolaný bez argumentov, požiada používateľa o heslo a potom (po prijatí správneho hesla v odpovedi) z vás urobí užívateľa root. Tento príkaz je obmedzenou službou, takže všetky aspekty jeho zabezpečenia je možné konfigurovať prostredníctvom súboru /etc/pam.d/su.
POZNÁMKA -
Použitie su bez zadania používateľského mena (s pomlčkou alebo bez spojovníka) sa interpretuje ako príkaz, ktorý vás má rootovať.
Tento príkaz sudo umožňuje vybraným používateľom spúšťať niektoré programy ako superužívateľ a používateľovi, ktorý požaduje tento príkaz, sa nezobrazí výzva na zadanie hesla superužívateľa, ale jeho vlastného hesla. Používa ho sudo podobné príkazu sg. Užívateľ zadá sudo command_to_execute, potom svoje heslo a ak je to povolené, zadaný príkaz sa vykoná v kontexte oprávnení superužívateľa.
Zabezpečenie a používatelia
Používateľov zvyčajne zaujíma iba to, ako sa prihlásiť a spustiť programy, ktoré potrebujú. O bezpečnosť sa začnú zaujímať až po strate dôležitých súborov. Ale to netrvá dlho. Keď sa používatelia dozvedia, že boli prijaté opatrenia, rýchlo zabudnú na akékoľvek preventívne opatrenia.
Vo všeobecnosti to nie je ich starosť - bezpečnosť. Systémový administrátor musí navrhnúť, implementovať a udržiavať bezpečnostnú politiku, ktorá umožní používateľom vykonávať svoju prácu bez rušenia bezpečnostnými problémami, ktoré sú mimo ich dosahu.
Hlavné nebezpečenstvo systému zvyčajne pochádza zvnútra, nie zvonku. Jeho zdrojom (najmä vo veľkých systémoch) môže byť napríklad nahnevaný používateľ. Malo by sa však vyhnúť nadmernému podozreniu, ak sa škoda spôsobená nevedomosťou zamieňa so zlým úmyslom. Ako chrániť používateľov pred neúmyselným poškodením vlastných a cudzích súborov je popísané v prvej časti knihy. Ako ukazuje prax, priemerný používateľ nie je schopný poškodiť systém. Musíte sa starať iba o tých používateľov, ktorí dokážu nájsť medzeru v mechanizmoch ochrany a sú skutočne schopní spôsobiť cielené poškodenie systému. Takých používateľov je ale spravidla málo a postupom času sa stanú známymi, najmä ak viete, čo máte hľadať. Riziková skupina zahŕňa používateľov, ktorí na základe svojej pozície alebo kvôli svojim prepojeniam môžu získať prístup na úrovni oprávnení root. Keď zvládnete materiál v tejto knihe, dozviete sa, čo presne by sa malo považovať za príznaky blížiacej sa katastrofy.
V predvolenom nastavení majú užívatelia úplnú kontrolu nad svojimi domácimi adresármi. Ak používate predvolenú skupinu, všetci používatelia v systéme patria do tej istej skupiny. Každý používateľ má právo na prístup k domovským adresárom ostatných používateľov a k súborom, ktoré sa v nich nachádzajú. Pri použití schémy so súkromnými skupinami používateľov má každý používateľ v systéme prístup iba k svojmu domácemu adresáru a domovské adresáre ostatných používateľov pre neho nie sú k dispozícii.
Ak sa od všetkých používateľov systému vyžaduje poskytnutie všeobecného prístupu k určitej skupine spoločné zložky, odporúča sa vytvoriť zdieľaný adresár niekde špeciálne na tento účel, vytvoriť skupinu so všetkými používateľmi ako členmi (môže to byť skupina používateľov alebo akákoľvek iná skupina, ktorú ste vytvorili) a tejto skupine udeliť príslušné prístupové práva zdieľaný adresár. Ak chce používateľ sprístupniť niektoré zo svojich súborov iným používateľom, môže ich jednoducho skopírovať do tohto adresára a zaistiť, aby tieto súbory patrili do tej istej skupiny, ktorej sú všetci používatelia členmi.
Niektorí používatelia musia používať alebo sa jednoducho nezaobídu bez programov, ktoré nie sú súčasťou súpravy MSVS. Väčšina používateľov nakoniec získa mnoho vlastných súborov: dokumenty, konfiguračné súbory, skripty atď. Systém OpenLinux neposkytuje používateľom veľkú pomoc pri organizácii súborov, pričom túto úlohu prenecháva správcovi systému.
Štruktúra adresárov vytvorená v domovskom adresári každého nového používateľa je určená obsahom adresára / etc / skel. Typický súbor / etc / skel obvykle obsahuje nasledujúce adresáre:
Tieto adresáre sa používajú na ukladanie (resp.) Binárnych súborov, zdrojových súborov, súborov dokumentov a mnohých ďalších súborov. Mnoho programov predvolene ponúka ukladanie súborov jedného alebo druhého typu do jedného z týchto podadresárov. Keď používatelia dostanú vysvetlenie o účele katalógov, ktoré majú k dispozícii, zvyčajne ich začnú ochotne používať, pretože im to ušetrí potrebu vymýšľať niečo vlastné. Nezabudnite vytvoriť ~ / bin ako jeden z posledných adresárov uvedených v PATH vášho používateľa.
Zabezpečenie a heslá
Hovorí sa, že kde je tenký, tam sa láme - toto príslovie sa často spomína, keď sa hovorí o dôležitosti hesiel v bezpečnostnom systéme. Všeobecne povedané, spoľahlivosť bezpečnostného systému je determinovaná mnohými faktormi, najmä tým, aké služby systém MSWS poskytuje externým používateľom (či už je používaný ako webový server, je možné ho prihlásiť pomocou telnetu atď.). Používateľské heslá sú ďalším určujúcim faktorom, ktorý nás privádza k ďalšiemu faktoru - súladu používateľov s bezpečnostnými zásadami. Jednoduchý používateľ nechce vedieť nič o zabezpečení. Ak rešpektujeme používateľa a nechceme zmeniť jeho postoj k bezpečnosti donucovacími metódami, mali by sme zabezpečiť, aby bol bezpečnostný systém pre neho pohodlný a zrozumiteľný. Pohodlie je najťažšie. Všetko, čo je bezpečné, zvyčajne nie je príliš pohodlné (pretože predvídateľnosť a elementárnosť, ktoré nie sú kombinované s bezpečnosťou, stoja za pohodlím), a preto sa dostáva do konfliktu s obvyklým správaním ľudí, ktorí uprednostňujú najvhodnejšie zo všetkých možných metód. Koniec koncov, používatelia pracujú so systémom, aby vykonali prácu, a nie pridali novú. Aby používatelia pri práci s heslami vedome nekráčali po ceste najmenšieho odporu, zvyčajne sa im snažím vysvetliť, na čo hesla vo všeobecnosti slúžia a prečo je také dôležité ich zabezpečiť. Nie je to dôležité zo všeobecného hľadiska, ako napríklad „systém s nízkym zabezpečením je možné hacknúť a ukradnúť alebo poškodiť dôležité súbory“, ale z hľadiska osobných záujmov používateľa.
Väčšina používateľov chápe dôležitosť elektronickej pošty pre ich prácu. Neuvedomujú si však, že každý, kto sa prihlási pod svojim menom, je schopný použiť ich e -mail v ich mene proti nim. Opýtajte sa používateľa, či používa e -mail na osobné použitie. S najväčšou pravdepodobnosťou odpovie áno. Potom sa ho opýtajte, či musel riešiť dôležité obchodné problémy prostredníctvom e -mailu. Tých, ktorí každý deň odpovedajú „nie“, je stále menej. Ale aj keď odpoviete nie, niektorí z obchodných partnerov môžu e -mailovú transakciu považovať za záväznú ako telefonickú transakciu.
Potom používateľovi vysvetlite, že jeho e -maily sú niekedy rovnako dôležité ako jeho podpis. Aj keď je možné zasahovať do hlavičky e -mailu, vo väčšine prípadov je manipulácia s ňou rovnako nezákonná ako manipulácia s podpisom. Ak však niekto tak či onak, keď sa naučil heslo iného používateľa, vstúpi do systému pod svojim menom, potom, obrazne povedané, sa bude môcť podpísať podpisom inej osoby. Akákoľvek pošta nimi odoslaná bude technicky nerozlíšiteľná od pošty odoslanej samotným užívateľom. Prax dávať niekomu možnosť prihlásiť sa pod iným menom je nežiaduce a malo by sa mu vyhnúť (okrem správcov systému, ktorí používajú túto funkciu na testovanie prihlasovacích skriptov a používateľských nastavení, ale na to nepotrebujú poznať heslo používateľa) ). Prihlásenie do systému pod falošným menom (dokonca aj s povolením iného používateľa) by sa malo tiež pripisovať nežiaducim javom. Ako nežiaduce je to? Odpoveď na túto otázku je určená prísnosťou politiky zabezpečenia podniku.
Používatelia by však mali pochopiť, že existujú aj ďalšie rovnako nebezpečné spôsoby, ako získať neoprávnený prístup k svojmu účtu. Najčastejším prípadom je, keď sa používateľ v obave, že zabudne heslo, ľahko zapamätá, a preto uhádne, alebo napíše heslo na list papiera, ktorý je často jednoducho pripevnený k monitoru. Systém zabezpečenia heslom je založený na dvoch veciach: trvalé používateľské meno a pravidelne sa meniace heslo. Väčšina ľudí neprezradí nikomu kód PIN na prístup k svojmu bankovému účtu, ale svoje používateľské heslo si chránia menej. Napriek tomu, že na rozdiel od situácie s bankovým účtom, kde je trvalá časť, to znamená kreditná karta, fyzický predmet, ku ktorému je stále potrebné získať prístup, je známa trvalá časť systému zabezpečenia heslom, tj. Používateľské meno. každého (aspoň každému v spoločnosti a tým, s ktorými si tento používateľ dopisoval prostredníctvom e-mailu). Ak je teda variabilná časť niekde zaznamenaná alebo je ľahko uhádnuteľná alebo zachytená programom, ktorý opakuje slová zo slovníka, nemožno takýto účet považovať za dobre chránený.
Nakoniec by si používatelia mali byť vedomí existencie takej metódy získavania hesla ako „sociálne inžinierstvo“ (socialengineering). Väčšina z nás sa vo svojom živote stretla aspoň s jednou osobou, o ktorej môžeme povedať „klzký taký, aký je“. Títo ľudia majú schopnosť presvedčiť ostatných, aby sa uchýlili k logicky postavenej argumentácii, aby poskytli potrebné informácie. Ale to nie je jediné možný spôsob zistiť heslo niekoho iného. Niekedy stačí len nakuknúť.
Prostriedkom, ako zabrániť takýmto incidentom, je pravidelná zmena hesla. Heslo môžete, samozrejme, meniť každých desať rokov, ale je lepšie, aby neboli intervaly medzi zmenami príliš dlhé, rovnako ako je lepšie, aby neboli príliš krátke, napríklad raz za hodinu. Príliš dlhá zmena hesla znamená, že sa vystavíte riziku hacknutia.
POZNÁMKA-
Preniknutie cudzinca do systému pod rúškom bežného používateľa môže mať vážne dôsledky nielen na súbory tohto používateľa, ale na celý systém ako celok, pretože čím viac tento cudzinec vie o vašom systéme, tým jednoduchšie to bude byť pre neho, aby našiel medzery v jeho ochrane.
Všimnite si toho, že skript pred spustením robí niekoľko kontrol: či je spustený na koreňovej úrovni, či je pôvodné UID zaneprázdnené atď. Nedá sa však povedať, že by skontroloval všetko.
Prelomenie hesiel
Jeden zo spôsobov, ako skontrolovať bezpečnosť systému, je vžiť sa do kože útočníka a pokúsiť sa myslieť a konať tak, ako by sa správal človek pokúšajúci sa o kompromis. To znamená, že je potrebné prechádzať medzi užívateľmi, špehovať, či je k nejakému monitoru pribalené zaznamenané heslo, či niekto nechal na stole kus papiera, na ktorom sú napísané identifikačné údaje, alebo „v ten deň ráno“ prejde čas, kedy sa používatelia prihlasujú (možno niektorých z nich vidíte ako zadávajú heslo na klávesnici).
To tiež znamená, že je potrebné venovať pozornosť orientácii monitora používateľa, ktorý má prístup k citlivým informáciám, aby zistil, či je viditeľný pre niekoho iného. Ďalej, keď títo používatelia opustia svoje pracovisko, spustia šetrič obrazovky uzamknutý heslom alebo sa odhlásia alebo neurobia nič?
ale najlepšia cesta vyskúšajte si silu systému zabezpečenia heslom a prístup používateľov k nemu - pokúste sa prelomiť heslá používateľov. Pravidelné spustenie programu na prelomenie hesla môže poskytnúť celkom dobrý odhad sily vášho systému ochrany heslom.
WSWS 3.0 je bezpečný viacúčelový viacúlohový operačný systém na zdieľanie času vyvinutý na báze Linuxu. Operačný systém poskytuje preemptívne uprednostňovanie viacerých úloh, organizáciu virtuálnej pamäte a plnú podporu siete; pracuje s multiprocesorovými (SMP - symetrickými multiprocesingovými) a klastrovými konfiguráciami na platformách Intel, MIPS a SPARC. Funkciou MSVS 3.0 je vstavaná ochrana pred neoprávneným prístupom, ktorá spĺňa požiadavky Usmerňujúceho dokumentu Štátnej technickej komisie pod prezidentom Ruskej federácie na počítačovú technológiu triedy 2. Ochrana zahŕňa povinné riadenie prístupu, zoznamy riadenia prístupu, vzor rolí a pokročilé auditovanie (zaznamenávanie udalostí).
Systém súborov MSVS 3.0 podporuje názvy súborov až do 256 znakov s možnosťou vytvárať názvy súborov a adresárov v ruskom jazyku, symbolické odkazy, systém kvót a zoznamy prístupových práv. Je možné pripojiť súborové systémy FAT a NTFS, ako aj ISO-9660 (CD). Mechanizmus kvót vám umožňuje ovládať využitie miesta na disku používateľmi, počet spustených procesov a množstvo pamäte vyhradenej pre každý proces. Systém môže byť nakonfigurovaný tak, aby vydával varovania, keď sa zdroje požadované používateľom blížia k stanovenej kvóte.
MSVS 3.0 obsahuje grafický systém založený na X Window. Na prácu v grafickom prostredí sú dodávaní dvaja správcovia okien: IceWM a KDE. Väčšina programov v WSWS je zameraná na prácu v grafickom prostredí, ktoré vytvára priaznivé podmienky nielen pre prácu používateľov, ale aj pre ich prechod z Windows na WSWS.
MSVS 3.0 sa dodáva v konfigurácii, ktorá okrem jadra obsahuje aj sadu ďalších softvérových produktov. Seba operačný systém sa používa ako základný prvok organizácie automatizovaných pracovných staníc (AWP) a konštrukcie automatizovaných systémov. Podľa potreby je možné nainštalovať ďalší softvér, ktorý je zameraný na maximálnu automatizáciu správy a správy domény, čo vám umožňuje znížiť náklady na údržbu pracovných staníc a sústrediť sa na používateľov, ktorí vykonávajú svoje cieľové úlohy. Inštalačný program vám umožňuje nainštalovať operačný systém zo zavádzacieho disku CD alebo cez sieť pomocou FTP. Inštalačný server sa zvyčajne najskôr nainštaluje a nakonfiguruje z diskov a potom sa ostatné počítače nainštalujú cez sieť. Inštalačný server v spustenej doméne vykonáva úlohu aktualizácie a obnovy softvéru na pracovných staniciach. Nová verzia sa nahrá iba na server a potom sa softvér automaticky aktualizuje na pracovných staniciach. Ak je softvér na pracovisku poškodený (napríklad keď sa odstráni súbor programu alebo sa kontrolné súčty spustiteľných alebo konfiguračných súborov nezhodujú), príslušný softvér sa automaticky preinštaluje.
Počas inštalácie je správca vyzvaný, aby vybral buď jeden zo štandardných typov inštalácie, alebo vlastnú inštaláciu. Štandardné typy sa používajú pri inštalácii na štandardné pracoviská a pokrývajú hlavné typické možnosti organizácie pracovísk na základe OS MSVS 3.0 (obr. 1). Každý štandardný typ definuje sadu softvérových produktov, ktoré sa majú nainštalovať, konfiguráciu disku, sadu súborových systémov a množstvo systémových nastavení. Vlastná inštalácia vám umožňuje explicitne nastaviť všetky špecifikované vlastnosti koncového systému až po výber jednotlivých softvérových balíkov. Ak zvolíte vlastnú inštaláciu, môžete nainštalovať MSVS 3.0 do počítača s už nainštalovaným iným operačným systémom (napríklad Windows NT).
WSWS 3.0 obsahuje jednotný dokumentačný systém (ESD) s informáciami o rôznych aspektoch fungovania systému. EDS sa skladá z dokumentačného servera a databázy obsahujúcej popisné texty, ku ktorým je prístup prostredníctvom prehliadačov. Pri inštalácii dodatočného softvéru sú do databázy EDS nainštalované zodpovedajúce referenčné sekcie. ESD môže byť umiestnené lokálne na každom pracovisku alebo môže byť v doméne MSVS pridelený špeciálny dokumentačný server. Posledná možnosť je užitočná vo veľkých doménach MSWS, aby ušetrila celkové miesto na disku, zjednodušila proces správy a aktualizovala dokumentáciu. Prístup k dokumentácii z iných pracovných staníc je možný prostredníctvom webového prehliadača dodávaného s WSWS 3.0.
MSVS 3.0 je rusifikovaný v alfanumerickom aj grafickom režime. Podporuje virtuálne terminály, ktorých prepínanie sa vykonáva pomocou kombinácie klávesov.
Kľúčovým bodom z hľadiska integrity systému je operácia registrácie nových používateľov WSWS, kde sú definované užívateľské atribúty vrátane atribútov zabezpečenia, podľa ktorých bude systém riadenia prístupu ďalej ovládať užívateľskú skúsenosť. Základom pre povinný model sú informácie zadané pri registrácii nového používateľa.
Na implementáciu diskrétneho riadenia prístupu sa používajú tradičné unixové mechanizmy bitov riadenia prístupu a zoznamov riadenia prístupu (ACL). Oba mechanizmy sú implementované na úrovni systém súborov WSWS 3.0 a slúžia na nastavenie prístupových práv k objektom systému súborov. Bity vám umožňujú definovať práva pre tri kategórie používateľov (vlastník, skupina, iní), nie je to však dostatočne flexibilný mechanizmus a používa sa pri nastavovaní práv pre väčšinu súborov OS, ktoré sú rovnakým spôsobom používané hlavnou časťou používateľov. Pomocou zoznamov ACL môžete nastaviť práva na úrovni jednotlivých používateľov a / alebo skupín používateľov, a tým dosiahnuť značnú zrnitosť pri nastavovaní práv. Zoznamy sa používajú pri práci so súbormi, pre ktoré potrebujete napríklad nastaviť rôzne prístupové práva pre niekoľkých konkrétnych používateľov.
Jednou z významných bezpečnostných chýb tradičných unixových systémov je prítomnosť najvýkonnejšieho superužívateľa. Funkciou WSWS 3.0 je decentralizácia funkcií superužívateľov. Úloha správy systému je rozdelená na niekoľko častí, pre ktoré existujú správcovia konfigurácie, zabezpečenia a auditu. Z pohľadu operačného systému sú títo správcovia bežnými používateľmi, ktorí majú možnosť spustiť špeciálne administratívne programy a získať prístup k zodpovedajúcim konfiguračným súborom. Účty správcu systému sa vytvoria počas inštalácie WSWS 3.0.
Každý zo správcov je zodpovedný za vykonávanie iba svojich vlastných úloh, napríklad správca konfigurácie spravuje súborové systémy, sieťové rozhrania, nastavuje systémové služby atď. Správca zabezpečenia je zodpovedný za zásady zabezpečenia a kontroluje systémové nastavenia súvisiace s bezpečnosťou: minimálna dĺžka hesla, počet neúspešných pokusov o prihlásenie používateľa atď. V takom prípade sa zaznamenajú všetky udalosti súvisiace so zabezpečením vrátane akcií správcov. Riadenie auditu je zodpovednosťou správcu auditu, ktorý môže napríklad „vyčistiť“ protokoly auditu.
Decentralizácia funkcií superužívateľov umožňuje implementáciu princípu „štyroch očí“. Napríklad registrácia nového používateľa MSVS 3.0 sa vykonáva v dvoch fázach. Správca konfigurácie najskôr vytvorí účet pre nového používateľa a potom správca zabezpečenia zaregistruje nového používateľa do databázy zabezpečenia. Až potom bude môcť nový používateľ vstúpiť do systému.
Na vykonávanie administratívnych úloh obsahuje distribučná súprava balík Nástroje pre správu, ktorý obsahuje programy na správu používateľov, súborov, zabezpečenia, auditovania, nastavení celého systému a siete.
Prvá úloha, ktorú je potrebné vykonať po inštalácii WSWS 3.0, je vytvorenie bezpečnostnej politiky implementovanej v tejto organizácii správcom. Jednou zo súčastí tejto úlohy je konfigurácia mechanizmu povinného riadenia prístupu. Na obr. 2 ukazuje pohľad na program správy mechanizmu poverení, ktorý vám umožňuje konfigurovať sadu povinných atribútov subjektov a objektov WSWS 3.0. V hornej časti okna programu sú nakonfigurované úrovne zabezpečenia, ktorých možné hodnoty môžu byť napríklad „nedôverné“ a „dôverné“. V spodnej časti je vytvorený súbor kategórií, ktoré opisujú predmetnú oblasť, do ktorej informácie patria: „zamestnanci“ „technické prostriedky“ atď. Je možné vytvárať nadmnožiny kategórií (napríklad „Kategória_1_2“) vrátane niekoľkých samostatných kategórií a ďalších nadmnožín. Práca s úrovňami je najpohodlnejšia, ak sú reprezentované v desatinnej forme, pretože úrovne sú hierarchicky usporiadané. Na druhej strane, pri práci s kategóriami je vhodné ich reprezentovať v binárnej forme, pretože kategórie nie sú hierarchickým súborom.
Na obr. 3 ukazuje pohľad na jedno z okien programu na správu užívateľov. Tento program môžu spustiť iba správcovia konfigurácie a zabezpečenia. Každý z nich môže navyše nastaviť alebo zmeniť iba tie atribúty používateľa, ktorých správa patrí do jeho kompetencie.
Na obr. 4 ukazuje príklad okna správcu súborov, ktoré vám umožňuje prezerať a meniť hodnoty atribútov súborov. Vizualizácia stromovej štruktúry súborového systému v ľavej časti okna uľahčuje navigáciu v ňom a výber požadovaného súboru. Pravá strana zobrazuje atribúty vybratého súboru zoskupené podľa ich funkčnosti. Pre každú skupinu je označená samostatná karta. Karta Všeobecné zobrazuje tradičné atribúty súborov Unix ako typ, veľkosť, počet pevných odkazov, ľubovoľné atribúty a časové pečiatky. Funkciou súborov MSVS 3.0 je prítomnosť povinných atribútov a rozšírenie diskrečných atribútov o zoznam prístupových práv. Povinné atribúty sú uvedené na karte „Povinný štítok“. Na správu súboru ACL je vybraná karta „Prístupové práva“. Navyše pri výbere adresárov, pre ktoré je možné predvolene vytvoriť zoznam prístupových práv, je aktivovaná karta „Prístupové práva v predvolenom nastavení“. Na obr. 5 ukazuje pohľad na okno pre prácu so súborom ACL. Je možné pridať jeden záznam pre používateľa alebo skupinu a mnoho záznamov s rovnakými prístupovými právami. Rovnako ako v predchádzajúcom programe, správcu súborov môžu spustiť iba správcovia konfigurácie a zabezpečenia. Každý z nich môže zmeniť iba tie atribúty súborov, ktoré má v kompetencii spravovať.
Služby WSWS 3.0
MSWS, ako každý iný operačný systém, slúži na vytváranie optimálnych podmienok na vykonávanie služieb a aplikácií, ktoré poskytujú automatizáciu a zvyšujú efektivitu používateľov.
Jednou z hlavných služieb akéhokoľvek operačného systému je tlačová služba. MSVS 3.0 obsahuje tlačový systém, ktorý vám umožňuje tlačiť dokumenty v súlade s požiadavkami na zabezpečené systémy. Medzi vlastnosti tlačového systému MSVS 3.0, ktoré ho odlišujú od podobných systémov, patrí podpora mechanizmu povinného riadenia prístupu, ktorý umožňuje vo fáze generovania tlačovej úlohy určiť úroveň dôvernosti dokumentu a automaticky odoslať úlohu na konkrétnu tlačiareň v súlade s pravidlami tlače prijatými v tejto organizácii. Každý vytlačený list je automaticky označený atribútmi účtovania dokumentov vrátane mena používateľa, ktorý dokument vytlačil, a názvu počítača, z ktorého bola tlačová úloha odoslaná. Jednou z výhod tlačového systému je jeho nemennosť voči aplikáciám, ktoré pristupujú k tlačovej službe. To znamená, že nie je viazaný na existujúce aplikácie a nemení sa, keď sa objavia nové aplikácie. V dôsledku toho musia tlačové aplikácie brať do úvahy označovanie listov a nechať im na to priestor. Skutočnosť tlače je zapísaná v špeciálnom registri na reprodukciu tlačených dokumentov. Na prácu s týmto časopisom slúži špeciálny program, ktorý vám umožňuje prezerať, upravovať niektoré polia záznamov a tlačiť ich (obr. 6).
Dôležitým prvkom bezpečnostného systému SSVS 3.0 je identifikačný / autentifikačný systém. Na úspešné overenie musí používateľ zadať správne heslo. Odolnosť systému voči votrelcom evidentne určuje kvalita zvoleného hesla. Na generovanie používateľských hesiel obsahuje MSVS 3.0 špeciálny program (obr. 7).
Na monitorovanie doménových počítačov sa používa funkčný riadiaci systém (CF), ktorý pozostáva zo servera a špeciálnych agentov. Na počítačoch domény sú nainštalovaní agenti a nahlasujú svoj stav na server. Systém KF vám umožňuje získať informácie o rôznych aspektoch fungovania počítačov (stav procesov, diskový subsystém, subsystémy jadra) a monitorovať výkonnosť sieťových služieb (ftp, ssh atď.). Informácie prichádzajúce na server sa zhromažďujú v špeciálnych denníkoch, ktoré vám umožňujú sledovať nielen aktuálny stav domény, ale aj študovať jej stav počas celého obdobia prevádzky systému.
Doména WSWS
WSWS 3.0 sa používa na vytváranie domén, na základe ktorých sa vytvárajú bezpečné automatizované systémy. Fyzicky je doména implementovaná ako miestna sieť počítačov, z ktorých väčšina sa používa na organizáciu užívateľských pracovných staníc. Niektoré z nich sú potrebné na organizovanie verejných zdrojov, ako sú súborový server, databázový server, tlačový server, poštový server. Logicky je doména MSWS sada počítačov, ktoré implementujú jednu bezpečnostnú politiku a tvoria jeden administratívny priestor. Zjednotená politika zabezpečenia znamená, že na všetky počítače v doméne platí jednotný súbor predmetov a predmetov prístupu, atribúty zabezpečenia a jednotné pravidlá pre diskrečné a povinné riadenie prístupu. V tomto zmysle je doména MSBC tiež doménou zabezpečenia.
Zjednotený administratívny priestor znamená jednotnú správu informačných zdrojov (počítačov) domény MSVS. Je založený na jednom používateľskom priestore pre doménu MSWS.
- Pre každého používateľa domény na jeho pracovisku je vedený účet, ktorý obsahuje potrebné informácie o používateľovi (logické meno, heslo, úplné meno a atribúty zabezpečenia používateľa). Táto informácia sa používa na vykonávanie identifikačných / autentifikačných procedúr pre užívateľa, keď sa prihlási do domény MSVS.
- Na každom počítači v doméne so zdieľanými zdrojmi (server), na ktorom môže tento používateľ pracovať, je pre neho úplne rovnaký účet ako na pracovisku.
- Pracovisko správcu zabezpečenia spravuje databázu s informáciami o všetkých používateľoch domény vrátane ich účtu, rozšírených informácií (napríklad názvu, názvu / čísla oddelenia) a názvu jeho počítača a všetkých serverov, ku ktorým má prístup.
Účet je teda pre daného používateľa v rámci domény MSVS jeden a práve prostredníctvom neho je kontrolovaný prístup používateľa k informačným zdrojom domény.
Heterogénne domény
Zapnuté tento moment pri vývoji bezpečného automatizovaného systému sa ako základ berú existujúce lokálne siete, v ktorých spravidla servery a pracovné stanice na Na báze Windows NT. Nemožnosť okamžitého prechodu organizácie na platformu WSWS vytvára problém jej integrácie s Windows. Tu možno rozlíšiť dva aspekty: výber optimálnej stratégie prechodu na WSWS a technické problémy, ktoré tento prechod sprevádzajú.
Vďaka analýze informačných tokov v bezpečnom automatizovanom systéme je možné identifikovať oblasti, ktoré sú z hľadiska bezpečnosti najdôležitejšie. Po prvé, medzi tieto oblasti patria toky importu / exportu informácií, pretože prostredníctvom týchto tokov sa dôverné informácie (prijaté zvonku aj generované vo vnútri) dostávajú do vonkajšieho sveta: tlačové servery a export informácií na disky a pásky. Druhou najdôležitejšou sú oblasti ukladania informácií: súborové servery a užívateľské pracovné stanice.
Pri procese premeny siete Windows na bezpečný automatizovaný systém je potrebné predovšetkým upraviť tie časti siete, ktoré sú z hľadiska zabezpečenia najdôležitejšie. Prvým krokom je minimalizácia a kontrola tokov výstupných informácií. Ako už bolo povedané, MSVS 3.0 má rozvinutý systém účtovníctva a kontroly tlače dokumentov a umožňuje v sieti vybudovanej na vlastnom základe implementovať požiadavky na vydávanie tlačených dokumentov na papier.
Druhým krokom je migrácia súborových serverov z platformy Windows. MSVS 3.0 poskytuje vyvinutý systém na správu prístupu používateľov k informačným zdrojom operačného systému, ktorý umožňuje organizovať ochranu užívateľských údajov na správnej úrovni.
Pri integrácii MSWS a Windows vzniká množstvo technických problémov, z ktorých najdôležitejšie sú problémy s kompatibilitou schém identifikácie / autentifikácie používateľov, zásady riadenia prístupu používateľov používané v týchto systémoch cyrilských kódovaní.
Prvé dva problémy sú, že prostredie Windows NT podporuje schému prihlasovania používateľov do domény NT na základe jednej databázy uloženej na špeciálnom serveri na správu - radiči domény. Táto schéma sa zásadne líši od schémy používanej v MSVS. Navyše architektúre systému Windows NT chýba podpora pre povinné riadenie prístupu a nie je možné ju priradiť k mnohým atribútom zabezpečenia operačného systému MSWS. Systémy Windows používajú kódovanie CP1251, zatiaľ čo MSVS 3.0 (ako odkaz z Linuxu) používa KOI8-R, nahromadené údaje (pre ktoré je vyžadované prostredie Windows) sú však obvykle uložené v CP1251. Prezentácia údajov používateľom, ich vkladanie a úpravy súčasne prebiehajú v prostredí WSWS, preto je potrebné transkódovanie vykonávať „za chodu“. Navyše na riešenie úloh správy údajov (napríklad úloha triedenia údajov) je kódovanie CP1251 prijateľnejšie ako KOI8-R.
Na vybudovanie bezpečného automatizovaného systému založeného na MSVS 3.0 s možnosťou dočasnej kompatibility s NT bol vyvinutý terminálový prístupový systém (obr. 8). Tento systém umožňuje organizovať prácu s aplikáciami Windows v MSVS nasledovne: súborové a tlačové servery, ako aj klientske miesta sú postavené na základe MSVS 3.0 a na prácu s aplikáciami Windows je priradený aplikačný server založený na NT Terminal Server Edition, ku ktorému sa pristupuje špeciálnym spôsobom ... Jednou z výhod tejto možnosti je flexibilita v organizácii práce používateľov, ktorí v skutočnosti dostanú príležitosť pracovať súčasne v dvoch operačných prostrediach a využívať aplikácie každého z nich. Nevýhodou je potreba vytvoriť aplikačný server so špeciálnym prístupom, čo vedie k vzniku obmedzení v politike zabezpečenia. Výsledkom je, že úloha integrácie MSWS a Windows NT je vyriešená vytvorením domény MSWS s aplikačným serverom založeným na NT a použitím systému terminálového prístupu.
Teraz sa pozrime, ako používateľ funguje v heterogénnej doméne MSWS. Používateľ vstúpi do domény prostredníctvom svojej pracovnej stanice. Na prístup k aplikačnému serveru so systémom Windows NT používateľ používa klienta Terminal Access. V špeciálnej databáze uloženej na aplikačnom serveri existuje zhoda medzi menom používateľa a názvom jeho počítača, ktorý sa používa pri mapovaní sieťových jednotiek pre tohto používateľa. Výsledkom je, že pri práci v relácii NT používateľ vidí iba obsah svojho domovského adresára ako sieťovú jednotku na svojom pracovisku, ako aj prostriedky zdieľanej domény (súborové servery a tlačiarne). Môže spúšťať aplikácie systému Windows, ale bude fungovať iba s obmedzeným počtom súborov (vlastných alebo zdieľaných) uložených v počítačoch s MSWS 3.0.
Na organizáciu tlače dôverných dokumentov v doméne je pridelený tlačový server na báze MSVS, ktorý je zodpovedný za implementáciu a účtovníctvo tlače, ktoré zabraňuje neúčtovanej reprodukcii výstupných dôverných dokumentov. Na tlač informácií, ktoré nie sú dôverné, je možné k AWS pripojiť lokálne tlačiarne. Užívateľ pracujúci s aplikáciami Windows alebo MSWS odošle dokument na tlač a nezáleží na tom, kde sa dokument nachádza - na miestnom počítači alebo na súborovom serveri. Prostredníctvom WSWS sa analyzuje úroveň dôvernosti dokumentu. Ak je dokument dôverný, úloha bude presmerovaná na tlačový server; ak nie, dokument sa vytlačí lokálne.
Navrhované možnosti umožňujú organizovať postupný prechod z informačná infraštruktúra založené na Windows NT na zabezpečenie automatizovaných systémov na spracovanie informácií založených na MSVS 3.0.
Literatúra
1. Štátna technická komisia Ruska. Usmerňujúci dokument. Počítačové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele zabezpečenia pred neoprávneným prístupom k informáciám. Moskva, 1992
2. D.V. Efanov. Účtovný systém pre tlač dokumentov // ACS a kontroléry. 2001, č.1
Andrej Tyulin- zamestnanec ministerstva obrany Ruskej federácie. Igor Žukov, Dmitrij Efanov ([chránené e -mailom])-zamestnanci Všeruského výskumného ústavu automatizácie riadenia v nepriemyselnej sfére (Moskva).
V tejto recenzii sa pokúsim nainštalovať kópiu systému RedHat Enterprice Linux pre potreby ministerstva obrany RF, aby som zistil, ako funguje na modernom hardvéri. Posledné vydanie WSWS bolo už v roku 2011, ale stále je „užitočné“ v ruskej armáde:
Začíname s inštaláciou
Nainštalujeme ho na prenosný počítač FUJITSU LIFEBOOK N532, ktorý mi stabilne funguje v systémoch Linux a Windows. Tento prenosný počítač bol uvedený na trh v roku 2012, len o rok neskôr ako WSWS 5.0.
Zavádzacie okno je zmenšenou kópiou RedHat Enterprice Linux:
Dokonca boli príliš leniví na to, aby urobili normálne zavádzacie okno, zmenili pozadie / logo, odstránili nepotrebné tlačidlá a je to.
Ak chcete pokračovať v inštalácii, stačí stlačiť Enter:
Inštalátor bol spustený v retro štýle systému MS-DOS, ale pred vydaním MCVS 5 mali takmer všetky distribúcie grafický inštalátor. Debian má tiež textový inštalátor, ale je oveľa jednoduchší a zrozumiteľnejší ako tento. Zobrazí sa otázka, či je potrebné skontrolovať inštalačné DVD alebo nie. Skontrolujeme len pre prípad:
Disk bol napísaný normálne, bez chýb. Ďalej sa od nás požaduje, aby sme skontrolovali ďalšie médiá, ale ja ich nemám.
Nástroj na rozdelenie disku sa zaviedol s možnosťou odstrániť všetky vybraté oddiely. Čo keď dôstojník, spoliehajúc sa na inteligenciu domáceho IT priemyslu, jednoducho stlačí Enter?
Teraz začneme rozdeľovať disk. Tento počítač má nainštalované ďalšie dva operačné systémy a ja som vybral „Vytvoriť vlastný oddiel“
Máme 30 GB nepoužitého neformátovaného priestoru, zvoľte „Použiť voľné miesto a vytvoriť predvolené rozdelenie na oblasti“ a zobrazí sa chyba oddielu: nemožno distribuovať požadované oddiely
Kliknite na „Áno“ a zobrazí sa chyba automatického rozdelenia:
Kliknite na „Áno“ a vyberte „Vytvoriť si vlastný oddiel“
Keďže tento „dos fdisk“ neukazuje, koľko je zaneprázdneného a bezplatného, aby som nič omylom nezmazal, rozhodol som sa zobraziť oddiely v inom OS a stlačiť reštart (pamätám si alt + ctrl + del z msdos).
Počítač na týchto slovách len zamrzol, ale reaguje na CapsLock. Čakáme ďalších 15 minút a stlačíme reset. Načítame iný operačný systém, uistite sa, že je bezplatne vybraný oddiel správne, pokračujte v inštalácii a dosiahnite fázu rozdelenia diskov. Výber súborových systémov tu nie je bohatý, iba ext2, ext3 a vfat (ktoré sa nezmestili na obrazovku).
Nechajme všetko ako predvolené, to znamená, že použijeme grub:
Stačí stlačiť Enter
Ďalej sme požiadaní o vytvorenie hesla na zmenu parametrov zavádzania grub
bolo potrebné zadať dlhé heslo
Teraz začneme inštalovať bootloader. Notebook má najnovšie verzie Debian a Ubuntu, ale inštalátor ich nenašiel. V dôsledku toho po inštalácii MSVS zmizne ponuka pre výber operačných systémov a budete musieť obnoviť grub prostredníctvom LiveCD.
Posuvník zoznamu operačných systémov je na konci, akoby hovoril, že je tu niečo iné. Skúsil som to presunúť stlačením TAB, Ctrl, Ctrl + tab a ďalších klávesových skratiek. Posuvník v akej polohe to však zostal v tejto polohe:
Kliknite na Áno a pokračujte v inštalácii:
Vyberte, kam chcete nainštalovať bootloader. Vo všetkých Linuxoch inštalujem bootloader v hlavnom zavádzacom zázname MBR, to znamená na / dev / sda, ale pre nedávnych používateľov systému Windows je to ťažká otázka. Alebo všetka ruská armáda pozná Unix?
Ďalej nasleduje nastavenie siete.
Nemáme žiadne sieťové pripojenia, zvoľte „Nie“ a stlačte Enter
otvorilo sa okno so žiadosťou o vstup Extra možnosti nastavenia siete:
Ako vidíte, neexistujú žiadne tlačidlá „zrušiť“ a „nie“. Existuje iba áno a späť. Bolo by logické, keby sme systém inštalovali cez sieť, ale máme DVD s kompletnou sadou programov. Stlačíme Enter.
Pole brány ste nechali prázdne. V závislosti od sieťového prostredia sa v budúcnosti môžu vyskytnúť problémy.
stlačte pokračovať a znova sa nám zobrazí výzva na zadanie ďalších parametrov siete. Vo všeobecnosti sa vrátime do prvého okna nastavení siete a naznačíme, čo je potrebné nakonfigurovať sieťové rozhranie, aj keď ho nemáme.
Zobrazí sa výzva na zadanie názvu siete. Vyberte „Ručne“ a vymyslite názov siete
Výber časového pásma:
Vyberte heslo root (najmenej šesť znakov):
Vyberieme zoznam balíkov, ktoré sa majú nainštalovať. Vybral som všetko
Ďalej nasleduje kontrola závislostí, po ktorej sa otvorilo okno s adresou protokolu inštalácie:
Postup inštalácie:
Nerozumiem, či je to problém s písmami alebo kódovaním?
Inštalácia dosiahne 100% a inštalátor nás s potešením pozdraví s dokončením inštalácie, požiada o odpojenie vymeniteľného média a stlačením klávesu Enter reštartujte počítač. Stlačte Enter a počítač zamrzne ako naposledy.
Stlačte vypínač, počkajte niekoľko minút a oh, hrôza, všetko je v angličtine. Alebo je to v ruskej armáde taký ruský jazyk?
Kde sú naše Debian a Ubuntu? Existuje iba jeden WSWS. Ale je to v poriadku, dá sa to opraviť preinštalovaním bootloadera Grub cez LiveCD.
Na spustenie systému stačí stlačiť Enter
Systém sa zastaví na 15 sekúnd a zobrazí chyby: Pamäť pre havarijné jadro (0x0 až 0x0) nie je prípustná; nemôže dotazovať na hardvér Synaptics
a pokračuje v načítaní, počas procesu načítania sa otvorí ponuka nastavení
Stačí vybrať „Ukončiť“ a stlačiť Enter. Po 10 sekundách sa otvorí táto obrazovka, kde nie je ani náznak grafiky. Zadajte používateľské meno a heslo a systém je pripravený na prácu:
Mimochodom, všimnite si, že tu je nainštalované jadro 2.6.18. Toto jadro vyšlo o päť rokov skôr ako WSWS 5.0. Áno, za päť rokov bolo možné vybudovať celé priemyselné odvetvia, ako v stalinistických päťročných plánoch, ale uplynulo takmer 10 rokov! V tej vzdialenej dobe som sa práve začínal zaujímať o Linux. Aj keď možno päť rokov vykonávajú audit zabezpečenia kódu.
Dobre, skúsme využiť to, čo máme.
Pokúšame sa spustiť grafiku. V nixoch na spustenie grafiky zvyčajne potrebujete zadať štartx a začať:
#startx
a dostaneme chyby:
Tu som zámerne otvoril protokol chýb /var/log/Xorg.0.log, aby bolo jasné, o čo ide: systém nemôže načítať štandardné ovládače fbdev a vesa.
Musíme reštartovať systém a vrátiť sa do fungujúceho operačného systému, zadať reštart a znova dostaneme zmrazenie pri reštarte:
Pokúšam sa nainštalovať prostredníctvom VirtualBoxu:
Tiež zadáme prihlasovacie meno root, heslo a startx
VNIINS samozrejme z bezpečnostných dôvodov neodporúča spúšťať X od správcu. A prečo potom po prvom spustení alebo v samotnom inštalátore nebolo navrhnuté z bezpečnostných dôvodov vytvárať jednoduchých používateľov, ako v mnohých iných distribúciách?
O_o, ukazuje sa, že to funguje.
Pracovná plocha MSWS 5.0
To, čo vidíme, je krásna ľahká pracovná plocha, ktorá simuluje staré okná a KDE. Ale toto je len ozdobená open source pracovná plocha
Správca súborov vydaný pred 11 rokmi sa veľmi podobá na vyzlečený konquerror
Na systémovej lište je indikátor času s kalendárom, prepínačom rozloženia klávesnice a indikátorom úrovní dostupnosti (ale to je pravdepodobnejšie od vývojárov MSVS).
Nastavenia MSVS 5.0
V systéme Linux niektoré programy (napríklad Chromium) z bezpečnostných dôvodov nebeží ako root, takže prvá vec, ktorú urobíme, je vytvorenie nového používateľa a prihlásenie sa prostredníctvom neho:Štart - Nastavenia - Ovládací panel ELK, Správa používateľov - Pridať nového používateľa:
Heslo musí mať najmenej 8 znakov!
Atribúty zabezpečenia sú pôsobivé, ale nedotkneme sa ich:
Používateľ bol úspešne vytvorený. Ukončíme reláciu a prejdeme priamo na účet koreňovej konzoly, kde nás víta veľa chýb:
Z tohto účtu odídeme stlačením Ctrl + D, prihlásime sa ako nový používateľ a spustíme startx. X sa spustilo, ale nereagovalo na pohyb myši a klávesové skratky. Reštart virtuálny prístroj nepomohlo, Xs v tomto účte tiež nefungujú. Dobre, budete musieť bežať ako root, čo je narušenie bezpečnosti.
Naše rozlíšenie obrazovky je 800 x 600, pokúšame sa ho zmeniť. Prejdite na „Ovládací panel“ a vyberte ikonu „Monitor“. Otvorí sa okno so správou, že nemáme súbor xorg.conf a že počas jeho vytvárania bude obrazovka tmavá. Vytvoriť alebo nie?
Kliknite na „Áno“
Chyba inicializácie konfigurácie:
Potom sa otvorí okno s nastaveniami monitora. Pokúšam sa niečo zmeniť, ale žiadna reakcia. Toto okno predovšetkým ukazuje príklad obrazovky systému Windows 95. Keď však kliknete na tlačidlo Áno a Zrušiť, okno sa nezatvorí a nič sa nestane. Okno môžete zavrieť iba kliknutím na kríž.
V ponuke „Systém“ je položka „Prepínanie rozlíšenia obrazovky“. Vyberieme ho a v zásobníku otvoríme program iba s dvoma položkami: 800x600 a 640x480 a frekvenciou 60Hz. Ale vo FreeDOS OS sa mi to podarilo nastaviť vyššie a dokonca aj zmeniť frekvenciu. Preto záver, že v OS MSVS je grafika horšia ako v DOSe!
Pozeráme sa na informácie o zariadení:
Po kliknutí na tlačidlo „OK“ sa otvorí nasledujúce okno:
Programy WSWS 5.0
Je zaujímavé, že keď presunieme ukazovateľ myši z programov EDE do KDE, zmení sa farba ukazovateľa myši.Dôvodom je to, že pracovná plocha MSWS je zmesou desktopov EDE a KDE.
Sieť. V tejto kategórii je desať programov vrátane ELK Browser, IRC, Wireshark, GFTP, Mail Monitor, Network Monitor a konfigurácie PPP a správy sieťových zariadení.
Správa sieťových zariadení
Poštový klient sa nespustí:
Prehliadač ELK Browser je presnou kópiou prehliadača Aurora. Pozrite sa, premenovali ho na ELK, ale zabudli zmeniť logo:
Prehliadač ELK:
Inžinierske siete
V obslužných programoch sú až 4 terminály: ELK-terminál, X-terminál, konzola a terminál v režime superužívateľa. Viete, prečo je ich tak veľa? Pretože pracovná plocha MSWS je kombináciou EDE s KDE. Ani ich nenapadlo odstrániť nepotrebné nástroje, všetko bolo nastavené ako predvolené, a tak to nechali.
Z tohto dôvodu existuje veľa programov z dvoch rôznych desktopov, ale s rovnakými možnosťami. To platí najmä pre prezeranie obrázkov, dokumentov (PDF, DJVU atď.) A textových editorov.
Textový editor Emacs vo WSWS:
Vedecký... Vedecká kalkulačka KDE, ktorá vyšla v roku 2005:
Grafika. Táto časť obsahuje všetky programy z roku 2007 KDE + Xsane.
Hry. Hry obsahujú sadu hier z KDE vrátane vojnových hier Hľadanie mín a Padáky:
Multimédiá... Jednoduchý prehrávač médií, prehrávač diskov audio, K3b (napaľovačka diskov CD / DVD), softvér na ovládanie hlasitosti a nahrávanie zvuku.
Ak chcete skontrolovať zvuk, musíte do virtuálneho systému načítať nejaký film .. Zvuk a video tu vôbec nefungujú. Dal som Alsa, Oss, SoundBlaster16 do nastavení VirtualBOX - nič nefunguje. Skúsil som ogv, ogg, mp4 - v niektorých prípadoch to vyžaduje inštaláciu kodekov, v iných sa zobrazuje chyba:
Skúsme nainštalovať ffmpeg:
Otvorte Štart - Ovládací panel ELK - Správca programov
zoznamy balíkov sa kontrolujú niekoľko sekúnd pred spustením
skúsme nájsť ffmpeg
Toto je taký ruský jazyk v ruskej armáde!
ffmpeg skončil v zozname nainštalovaných balíkov. A hľadanie oss a alsa (zvukové systémy) neprinieslo žiadne výsledky. Ani dotazy na Office a Firefox neposkytli žiadne výsledky.
k3b pri spustení zobrazí chybu, že nemôže nájsť typ Mime. Musíte kliknúť 10 -krát na tlačidlo OK a potom sa spustí:
Vypnutie systému:
Vykonajte ...
1. MSVS nefunguje na modernom zariadení
2. Jadro systému, ako všetok softvér, vyšlo pred 11 rokmi, resp moderné vybavenie nie je podporované
3. Rozlíšenie obrazovky je nastavené na 800 x 600 a nemení sa
4. Videosystém funguje iba v emulátore, ale po vypnutí zobrazuje chyby.
5. Zvuk vôbec nefunguje
6. Grafika funguje iba pre používateľov root, čo je narušenie bezpečnosti
7. Predvolené príkazy na vypnutie a reštart sú k dispozícii iba prostredníctvom konzoly a fungujú iba v emulátore.
Všeobecné závery.
MSVS5.0 - skopírovaný v roku 2011 spoločnosťou RedHat Enterprice Linux5.0 (2007), nefunguje správne už na počítačoch vydaných v roku 2011. Áno, v ruskej armáde je spravidla badateľná túžba po staroveku, napríklad lietadlový krížnik „Admirál Kuznecov“ s odrazovým mostíkom namiesto katapultu, kvôli ktorému sú lietadlá nútené lietať s neúplnou muníciou a niekedy spadnúť do voda pri štarte do lietadla a do elektrárne na vykurovací olej, ktorá potrebuje doplniť palivo počas turistiky ...
Určite sa aspoň niektorí z našich čitateľov zamysleli nad tým, aký operačný systém sa používa v našich ozbrojených silách. Všetci predsa chápeme, že Windows nemôže stáť na nejakom raketovom systéme v pohotovosti. Dnes mierne otvoríme závoj tajomstva a povieme vám o OS WSWS. Ide o tzv Mobilný systém Jeho názov hovorí o rozsahu aplikácie, ale povieme vám o tom, ako je to usporiadané vo všeobecnosti.
Predpoklady pre tvorbu
Bezpečnostné kritériá pre počítačové systémy boli prvýkrát formulované koncom 60. rokov minulého storočia. V polovici 80. rokov v USA bol všetok tento vývoj zozbieraný v jednom dokumente. Tak sa zrodila „oranžová kniha“ ministerstva obrany - prvý štandard zabezpečenia počítačových systémov. Následne sa podobné dokumenty objavili v európskych krajinách a Kanade. V roku 2005 bola na ich základe pripravená medzinárodná bezpečnostná norma ISO / IEC 15408 „Všeobecné bezpečnostné kritériá“.
V Rusku boli podobné štúdie vykonané na 22. ústrednom výskumnom ústave ministerstva obrany. Konečným výsledkom vývoja bolo prijatie OS WSWS v ozbrojených silách Ruskej federácie v roku 2002. Verzia štátnej normy založenej na požiadavkách ISO / IEC bola prijatá v roku 2008.
Prečo armáda potrebuje svoj vlastný operačný systém
Operačné systémy, ktoré používame denne, nie sú z hľadiska parametrov zabezpečenia vhodné na použitie vo vládnych agentúrach. Štátna technická komisia pod vedením prezidenta Ruskej federácie ich sformulovala takto:
- Informácie musia byť chránené pred neoprávneným prístupom, zvnútra aj zvonku.
- Systém by nemal obsahovať nezdokumentované funkcie, inými slovami, v kóde OS by nemali byť žiadne „veľkonočné vajíčka“.
Okrem toho musí mať chránený operačný systém viacúrovňovú hierarchickú prístupovú štruktúru a samostatné administratívne funkcie.
Úloha vytvoriť špecializovaný uzavretý OS teda nie je taká jednoduchá, ako sa na prvý pohľad zdá. Absencia nedokumentovaných vlastností naznačuje, že zdrojový kód a technický popis všetkých pracovných postupov sa dôkladne preštudujú v certifikačnej autorite. A to je oblasť obchodného tajomstva korporácií vlastníkov resp duševné vlastníctvo vývojári. Takýto paradox nás núti pozrieť sa na operačné systémy s otvoreným zdrojovým kódom, pretože získať úplnú technickú dokumentáciu k proprietárnemu softvéru je takmer nemožné.
Požiadavky GOST R.
FSTEC, ako služba zodpovedná za bezpečnosť informácií v celej krajine, zriadila rozdelenie OS podľa stupňa ochrany spracovávaných informácií. Pre jednoduchosť sú všetky údaje zhrnuté v jednej tabuľke.
Tabuľka ukazuje, že podľa viacerých požiadaviek boli ustanovené tri skupiny a deväť tried zabezpečenia pred neoprávneným prístupom a podľa nich sa už rozlišuje prístup k rôznym druhom dôverných informácií.
V srdci Linuxu
Prečo je Linux taký pohodlný, že je dychtivo najatý, aby slúžil v štátnom aparáte? Bežní používatelia sa ho väčšinou väčšinou boja ako čertice z kadidla. Poďme na to. Po prvé, venujme pozornosť licencii, pod ktorou je Linux distribuovaný. Ide o takzvaný GPL2 - široká verejnosť alebo bezplatná licencia. Každý môže získať zdrojový kód a na základe neho si vytvoriť vlastný produkt. Inými slovami, nikto sa neobťažuje vziať si najlepšie distribúcie Linuxu a použiť ich pri vývoji vlastného bezpečného operačného systému.
Svetová skúsenosť vládne agentúry ukazuje, že prechod na bezplatný softvér sa deje všade, myšlienka je žiadaná a plne sa ospravedlňuje. Popredné krajiny sveta, ako sú USA, Nemecko, Japonsko a Čína a India, ktoré sa k nim rýchlo blížia, aktívne používajú Linux vo verejnom sektore a vo vzdelávaní.
WSWS a jeho obsah
Mobilný systém verzie 3.0 funguje v armáde desať a pol roka, teraz ho nahrádza dokonalejší produkt a my sa pokojne môžeme pozrieť „pod kapotu“ veterána. Toto je sieťový operačný systém, ktorý beží v režime pre viacerých používateľov pomocou grafického používateľského rozhrania. Podporuje hardvérové platformy:
- Intel.
- IBM System / 390.
SPAPC / Elbrus.
Vychádzal z najlepších v tej dobe dostupných distribúcií Linuxu. Mnoho modulov systému bolo zapožičaných z RedHat Linux a prekompilovaných tak, aby spĺňali požiadavky ministerstva obrany. Inými slovami, mobilný systém ozbrojených síl je distribúciou RPM Linux so všetkými sprievodnými aplikáciami a vývojovými nástrojmi.
Podpora súborových systémov je na úrovni začiatku storočia, ale keďže najbežnejšie z nich už vtedy existovali, tento údaj nie je kritický.
Verzie MSVS
Napriek tomu, že ide o sieťový operačný systém, nemá archívy softvéru známe žiadnemu používateľovi Linuxu. Všetok softvér je dodávaný v sade na inštalačných diskoch CD. Každý program, ktorý sa používa v tomto systéme, je vopred certifikovaný ministerstvom obrany. A keďže postup nie je ani zďaleka rýchly, za celých pätnásť rokov práce bol vydaný obmedzený počet verzií a ich zmien.
Vývojárom MSVS je Všeruský výskumný ústav automatizácie riadenia v nepriemyselnej sfére. Na jeho oficiálnej stránke nájdete údaje o verziách WSWS, ktoré sú v súčasnosti podporované a majú požadované bezpečnostné certifikáty od ministerstva obrany.
Mobilný systém ozbrojených síl na rok 2017 predstavujú dve podporované zostavy:
- OS MSVS 3.0 FLIR 80001-12 (zmena č. 6).
OS MSVS 3.0 FLIR 80001-12 (zmena č. 4).
Verzia 5.0, umiestnená na webovej stránke VNIINS, má bezpečnostný certifikát ministerstva obrany, ale nebola oficiálne prijatá na dodávku vojsk.
Nástupca WSWS
Ďalším chráneným OS, ktorý bol predstavený ako náhrada za MSWS, ktorý slúžil desať a pol roka, bol Astra Linux OS. Na rozdiel od svojho predchodcu, ktorý dostal bezpečnostný certifikát len od ministerstva obrany, Astra dostala všetky možné certifikáty v Rusku, a to sú dokumenty ministerstva obrany, FSB a FSTEC. Vďaka tomu môže byť použitý v akejkoľvek vládnej agentúre a dostupnosť niekoľkých verzií prispôsobených pre rôzne hardvérové platformy ešte viac rozširuje rozsah jeho aplikácie. Vďaka tomu môže zjednotiť pod svoju kontrolu všetky zariadenia - od mobilných až po stacionárne serverové zariadenia.
Astra Linux je moderná distribúcia Linuxu založená na balíkoch deb, ktorá používa najnovšiu verziu jadra a najnovší softvér. Zoznam podporovaných procesorov a ich architektúr bol tiež rozšírený o moderné ukážky. Zoznam oficiálne publikovaných verzií dáva nádej na úspech softvérový produkt aspoň v štátnom sektore a obrannom priemysle.
Konečne
V tomto článku sme hovorili o OS WSWS - hlavnom operačnom systéme ozbrojených síl Ruskej federácie, ktorý verne slúži „v radoch“ 15 rokov a stále je na „bojovom poste“. Navyše v skratke popísali jej nástupcu. Možno niektorí z našich čitateľov budú vyzvaní, aby zistili, čo je Linux, a vytvorili si o produkte nezaujatý názor.
Ako zistím, či je hardvér tohto počítača podporovaný operačným systémom?
Aké možnosti inštalácie poskytuje MSVS 3.0?
Aké sieťové protokoly podporuje inštalátor?
Kedy potrebujete vytvoriť bootovacie diskety?
Aké sú hlavné kroky inštalácie?
Aký bootloader sa používa na načítanie jadra OS?
Aké sú hlavné kroky pre načítanie jadra?
Čo sú to lilo a lilo.conf?
Ako odinštalujem LILO a obnovím pôvodný bootloader?
Na čo sa používa mechanizmus modulu jadra?
Kedy musím použiť disk RAM?
Ako nakonfigurujem používanie disku RAM pri zavádzaní?
Ako sa líšia zavádzacie diskety boot, bootnet a ovládače? Ako ich vytvorím? Ako ich môžem skontrolovať?
Čo je to softvérový balík, závislosti od balíkov?
Aké funkcie poskytujú správcovia balíkov?
Ktorý správca balíkov sa používa na správu softvéru?
Ako nainštalujem balík z disku CD cez sieť?
Inštalácia OS MSVS 3.0
Základné kroky inštalácie
Inštalácia z disku CD obsahuje nasledujúce kroky:
výzva na inštaláciu a pripomenutie dokumentácie;
výber manipulátora "myši";
rozdelenie disku na oblasti;
konfigurácia bootloadera;
konfigurácia siete;
nastavenie názvu počítača;
výber časového pásma;
výber komplexov na inštaláciu;
inštalácia balíkov;
nastavenie hesla užívateľa root;
vytváranie zavádzacích diskiet;
nastavenie grafickej karty a monitora;
Pri inštalácii cez sieť pomocou servera je potrebných niekoľko ďalších predbežných krokov:
vytvorenie sady diskiet na načítanie počítača a organizovanie sieťového prístupu na server;
výber možnosti inštalácie siete;
konfigurácia siete a organizácia sieťového prístupu k serveru.
Inštalácia z disku CD
Pred spustením inštalácie musíte nakonfigurovať BIOS počítača tak, aby prvým v zozname zavádzacích zariadení bol disk CD, a do jednotky CD-ROM vložte disk CD so zavádzacím modulom MCVS 3.0 OS.
Ak systém BIOS nepodporuje zavedenie z disku CD, musíte do jednotky navyše vložiť bootovaciu disketu a nakonfigurovať systém BIOS počítača tak, aby bola disketa prvá v zozname zavádzacích zariadení. Moderné počítače spravidla podporujú zavedenie z disku CD, takže potreba zavádzacej diskety môže nastať iba pri inštalácii systému MSVS 3.0 na „starý“ počítač.
Potom by ste mali reštartovať počítač. Na obrazovke monitora sa zobrazí výzva:
Vo formáte tejto výzvy je možné inštalačnému programu odoslať ďalšie parametre. Napríklad príkaz:
boot: MCBC mem = 128M
hovorí inštalátoru, že tento počítač má 128 MB RAM.
Stlačením klávesu spustíte načítanie inštalátora. Spustí sa načítanie jadra MSVS 3.0 OS sprevádzaného diagnostickými správami, potom sa spustí inštalačný program, ktorý automaticky načíta ovládače jednotky CD-ROM a radiče pevného disku, ktoré sú prítomné v počítači a sú podporované operačným systémom MSVS 3.0 .
Ak inicializácia zlyhala, znamená to, že pre tento typ jednotky CD-ROM alebo pevný disk musíte si stiahnuť ďalší ovládač. Inštalátor ponúkne zoznam ovládačov, v ktorom musíte vybrať príslušný ovládač a kliknúť na tlačidlo „Áno“.
Ak ste zaviedli systém z bootovacej diskety, po spustení inštalačného programu sa zobrazí dialógové okno Driver Disk s pokynom na vloženie diskety s ovládačmi s ovládačmi do diskovej jednotky. V takom prípade je potrebné odstrániť bootovaciu disketu a vložiť disketu s ovládačmi.
Po načítaní požadovaných ovládačov sa na obrazovke monitora zobrazí výzva (obrázok 9-1).
1.1.41. Výber „myši“ manipulátora
Ďalej sa po pozvaní OS MSVS 3.0 zobrazí dialógové okno „Vybrať myš“ (obr. 9-2).Vyberte typ „myši“, napríklad „Bežná myš PS / 2“, a ak má „myš“ dve tlačidlá, môžete použiť emuláciu režimu troch tlačidiel. Ak to chcete urobiť, musíte povoliť emuláciu tretieho tlačidla a kliknúť na tlačidlo „Áno“.
1.1.42 Rozdelenie pevného disku
Zobrazí sa dialógové okno Rozdelenie disku (Obrázok 9-3) a budete vyzvaní, aby ste vybrali nástroj na rozdelenie oddielov pre pevné disky: Automatické vytváranie oddielov, Disk Druid alebo fdisk.V programe Disk Druid sa vo väčšine prípadov vyskytuje rozdelenie diskov na pevné disky, diskové polia a zväzky LVM. Režim „Automatické rozdelenie“ je navyše špeciálnym prípadom práce s programom Disk Druid s automatickým výpočtom pomerov miesta na disku v súlade so skutočným nainštalované zariadenie... Ak potrebujete prácu s pevným diskom na nízkej úrovni, musíte použiť nástroj fdisk.
Zvýraznite Disk Druid a stlačte kláves.
V dostupnom dialógovom okne „Rozdelenie“ sa zobrazí zoznam dostupných diskov a existujúcich oblastí (obrázok 9-4).
Aj v tomto okne sú tlačidlá na prácu so sekciami: „Nové“, „Upraviť“, „Odstrániť“, „RAID“, „Áno“, „Späť“.
Spodný riadok obsahuje tipy na používanie klávesových skratiek: „F1-Help, F2-New, F3-Edit, F4-Delete, F5-Reset, F12-Yes“.
MSVS 3.0 OS je vo všeobecnosti nainštalovaný v počítači s prázdnym pevným diskom. V takom prípade môžete rozdelenie oddielov vykonať buď pomocou programu Disk Druid, alebo zvolením automatického rozdelenia oddielov.
Na úspešnú inštaláciu MSVS 3.0 OS stačí vytvoriť dva oddiely: koreňový oddiel „/“ a odkladací oddiel (swap). Kořenový oddiel musí mať veľkosť najmenej 1 200 MB.
Adresáre / boot, / home, / var, / tmp a ďalšie je možné umiestniť na samostatné oddiely. To vám umožní izolovať napríklad domáce adresáre používateľov od koreňového systému súborov.
POZOR. V OS MSVS 3.0 nemôžete umiestniť adresár / usr na samostatný oddiel!
Ak chcete presunúť adresár do samostatného oddielu, musíte vytvoriť oddiel so súborovým systémom „ext3“ a priradiť mu bod pripojenia zodpovedajúci názvu adresára.
Ak chcete vytvoriť sekciu, kliknite na tlačidlo „Nové“ a stlačte kláves. V zobrazenom dialógovom okne „Pridať sekciu“ (úprava novej sekcie) (obr. 9-5):
vyberte typ systému súborov (pre odkladaciu oblasť - „swap“, v ostatných prípadoch - „ext3“).
veľkosť oddielu v megabajtoch (v prípade potreby môžete oddiel „natiahnuť“ na celý disk);
bod pripojenia, pre koreňový oddiel je to "/", pre nastavenie odkladacieho oddielu bod pripojenia nie je potrebný.
Po dokončení prác na vytváraní oddielov kliknite v okne „Oddiel“ na tlačidlo „Áno“.
Na obrazovke monitora sa zobrazí dialógové okno „Uložiť zmeny“.
Kliknite na tlačidlo „Áno“.
Ďalším krokom je formátovanie vytvorených oddielov. Na obrazovke prehliadača sa zobrazí dialógové okno s názvom „Pozor!“. a zoznam sekcií, ktoré budú formátované po kliknutí na tlačidlo „Áno“ (obr. 9-6).
1.1.43. Konfigurácia bootloadera
Na obrazovke sa zobrazí dialógové okno „Nastavenia bootloadera“ (obrázok 9-7). V tomto okne musíte vybrať možnosť inštalácie systému s bootloaderom alebo bez neho. Zavádzač vám umožňuje mať niekoľko možností jeho spustenia v systéme alebo vyberá operačný systém, ktorý sa má načítať (ak existuje viac ako jeden). V režime bez bootloadera sa do tohto systému načíta výlučne jadro MSVS 3.0 OS.
Kliknite na tlačidlo „Áno“.
Ďalej sa na obrazovke (obr. 9-8) zobrazí dialógové okno s návrhom na zadanie ďalších parametrov, ktoré budú použité počas bootovania. Štandardne je v tomto okne príznak nastavený na používanie režimu LBA32 (používanie 32-bitových logických adries blokov pevného disku), pretože tento režim je vo väčšine prípadov potrebný na podporu veľkokapacitných diskov.
Ak je v počítači napaľovačka diskov CD-ROM IDE, inštalačný program umiestni do poľa pre zadávanie parametrov riadok ako „hdc = ide-scsi“ (napríklad ak je jednotka v druhom režime pripojená k druhému radiču IDE).
Ak nepotrebujete odoslať žiadne ďalšie parametre ani do zavádzača LILO, ani do jadra, odporúča sa nechať parametre poskytnuté inštalátorom a kliknúť na tlačidlo Áno.
Ďalším postupom pri konfigurácii bootloadera je nastavenie hesla na prístup k zmene parametrov spustenia systému. Pretože ak existuje bootloader, je možné pri štarte systému prenášať špecializované parametre jadra z klávesnice, je táto funkcia chránená heslom, aby sa zaistila požadovaná úroveň zabezpečenia. V nasledujúcom dialógovom okne, ktoré sa zobrazí (obr. 9-9), zadajte heslo, ktorého veľkosť by nemala byť menšia ako 8 znakov. Potvrďte heslo opätovným zadaním ďalší riadok okno.
Kliknite na tlačidlo „Áno“.
Na obrazovke (obr. 9-10) sa zobrazí dialógové okno na výber zavádzacích oddielov s návrhom na zadanie ďalších zavádzacie oddiely, ktoré je možné načítať pomocou zavádzača MSVS 3.0 OS. Ak má váš počítač napríklad iný operačný systém, môžete mu priradiť štítok a načítať ho pomocou zavádzača OS MSVS 3.0.
Zadajte požadované údaje do príslušných riadkov a kliknite na tlačidlo „Áno“.
V nasledujúcom okne (obr. 9-11) je určené umiestnenie bootloadera na disku. Existujú dve možnosti: hlavný zavádzací záznam (MBR) pevného disku (vo väčšine prípadov sa odporúča) alebo zavádzací sektor (bootovací záznam) zodpovedajúceho oddielu, v ktorom sa vykonáva inštalácia.
Vykonajte výber a stlačte tlačidlo „Áno“.
1.1.44. Nastavenie siete
Ak inštalátor zistí aspoň jednu sieťovú kartu, na obrazovke sa zobrazí postupnosť dialógových okien „Sieťové nastavenia pre ethX“ (obr. 9-12), kde X je poradové číslo, v ktorom sú konfigurované parametre pre každú sieťovú kartu.
Protokoly automatickej konfigurácie BOOTP a DHCP sa používajú, ak je v sieti vyhradený server, ktorý poskytuje službu automatickej konfigurácie na žiadosť klientskeho počítača.
Ak neexistuje server DHCP, musíte explicitne nastaviť parametre siete, pre ktoré vyberte možnosť „Aktivovať pri zavádzaní“. Potom sa v okne zvýrazní niekoľko riadkov, v ktorých musíte zadať parametre sieťového pripojenia.
Sieťové adresy sú reprezentované vo formáte desatinného zápisu (napríklad 192.168.1.1). Informácie o vyplnení polí musí poskytnúť správca siete.
Sieťová adresa - IP adresa počítača v sieti.
Sieťová maska je parameter, ktorý charakterizuje triedu sieťového segmentu.
Predvolená brána je uzol obsluhujúci komunikáciu tejto lokálnej siete s externými segmentmi siete.
Primárny server mien je hostiteľ, ktorý podporuje službu rozlíšenia adries DNS na IP. Do príslušných polí zadajte adresy IP ďalších názvových serverov (DNS). Ak sieť používa jeden server názvov, tieto polia môžu zostať prázdne.
Kliknite na tlačidlo „Áno“.
|
|
| Ryža. 9-13. Nastavenie názvu počítača. |
|
|
| Ryža. 9-14. Výber časového pásma. |
Potom musíte nastaviť názov počítača. Na obrazovke (Obr. 9-13) sa zobrazí nasledujúce dialógové okno „Nastavenie názvu počítača“, v ktorom by ste mali vyplniť zodpovedajúce pole. Názov musí byť tiež dohodnutý so správcom siete.
Kliknite na tlačidlo „Áno“.
1.1.45 Výber časového pásma
Na obrazovke sa zobrazí nasledujúce dialógové okno "Vybrať časové pásmo", v ktorom sú nakonfigurované systémové časové parametre. V OS MSVS 3.0 sa odpočítavanie času vykonáva v lokálnom režime, t.j. hardvérové hodiny systému jednoznačne určujú jeho čas bez dodatočného prevodu vzhľadom na rôzne referenčné body, ako napríklad UTC.
V okne by ste mali vybrať časové pásmo Ruska, ktoré sa najviac zhoduje s umiestnením počítača, s uvedením rozdielu v štandardnom čase vzhľadom na „nulové“ pásmo - Európa / Moskva (obr. 9-14).
Kliknite na tlačidlo „Áno“.
1.1.46 Výber a inštalácia balíkov
Na obrazovke sa zobrazí dialógové okno "Vybrať komplexy" (obr. 9-15).
Toto dialógové okno ponúka výber z nasledujúcich komplexov:
Základná konfigurácia OS;
Subsystém grafického rozhrania;
Vývojové nástroje.
Voľba skupiny „Základná konfigurácia OS“ je povinná, obsahuje všetky potrebné súčasti na prevádzku OS MSVS 3.0 v základnej verzii (bez dodatočné finančné prostriedky).
Inštalačný režim „Všetky (vrátane voliteľného)“ znamená inštaláciu všetkých distribučných balíkov vrátane úprav jadra OS, ktoré nie sú špecifické pre tento počítač, a sady balíkov potrebných na vytvorenie zavádzacieho disku pre operačný systém MSVS 3.0.
Ak chcete získať podrobnejší výber balíkov (napríklad kvôli šetreniu miesta na disku obsadeného operačným systémom), vyberte možnosť „Individuálny výber balíkov“ a kliknite na tlačidlo „Áno“. Zobrazí sa okno „Vybrať balíky“ (obrázok 9-16) so zoznamom skupín balíkov a samotných balíkov.
Skupinu je možné zbaliť / rozšíriť tak, že do nej umiestnite zvýraznený riadok a stlačíte kláves. Ak chcete získať informácie o balíku, musíte naň zvýrazniť zvýraznený riadok a stlačiť kláves. Povolenie / zakázanie inštalácií balíkov v zozname sa vykonáva stlačením klávesu.
Po dokončení výberu balíkov kliknite na tlačidlo „Áno“.
Ak ste vybrali individuálny zoznam balíkov na inštaláciu, môže nastať situácia, keď sa medzi nimi objavia nesplnené závislosti. To znamená, že vybraný zoznam obsahuje balíky, ktoré na inštaláciu vyžadujú iné balíky z bootovacieho disku MSVS 3.0 OS, ktoré neboli označené. Závislosti na balíkoch automaticky vyrieši inštalátor.
Po dokončení výberu balíka sa zobrazí dialógové okno Spustiť inštaláciu. Toto okno bude obsahovať informácie o súbore / root / log, do ktorého inštalátor po dokončení práce uloží zoznam nainštalovaných balíkov.
Samotné rozdelenie disku na disk a inštalácia balíkov sa spustí až po kliknutí na tlačidlo „Áno“ v okne „Spustiť inštaláciu“. Ak je to potrebné, až do tohto bodu môžete proces inštalácie prerušiť reštartovaním počítača. V takom prípade zostanú všetky údaje na pevných diskoch nezmenené.
Inštaláciu balíkov spustíte kliknutím na tlačidlo „Áno“.
Na obrazovke sa zobrazí okno „Inštalácia balíka“ (obrázok 9-17).
V tejto fáze môžete sledovať proces inštalácie vybraných balíkov, ktorý sa vykonáva automaticky. Pri každom balíku je zobrazený krátky popis a tiež štatistické informácie o procese inštalácie aktuálneho balíka a všetkých balíkov spoločne.
1.1.47 Nastavenie hesla superužívateľa
Na obrazovke sa zobrazí dialógové okno „Heslo root“ (obrázok 9-18). Nastavte heslo v riadku „Heslo“ a potvrďte jeho zadanie v riadku „Potvrdiť heslo“ (obmedzenia typu a veľkosti hesla sú určené bezpečnostnými požiadavkami systému; v predvolenom nastavení je veľkosť hesla najmenej osem postavy). Pri nastavovaní hesla z klávesnice sa z bezpečnostných dôvodov namiesto zadaných znakov zobrazujú hviezdičky. Kliknite na tlačidlo „Áno“.
1.1.48 Vytvorenie bootovacích diskiet
Na obrazovke sa zobrazí nasledujúce dialógové okno „Sada zavádzacích diskiet“ (obrázok 9-19). Ak je bootovací záznam z pevného disku poškodený, môže byť potrebná sada zavádzacích diskiet.
Ak chcete vytvoriť bootovacie diskety, kliknite na tlačidlo „Áno“. Potom postupujte podľa pokynov uvedených v dialógových oknách.
Ak nepotrebujete vytvoriť bootovaciu súpravu, kliknite na tlačidlo „Nie“. V budúcnosti môžete zavádzaciu disketu vytvoriť pomocou grafického pomocného programu alebo príkazu mkbootdisk.
1.1.49. Konfigurácia grafickej karty a monitora
Ďalším krokom je konfigurácia grafického systému. Za týmto účelom v dialógových oknách podľa pokynov zadajte informácie o grafickej karte a monitore.
Ak inštalátor automaticky zistí typ grafickej karty, zobrazia sa o nej informácie (obrázok 9-20).
 |
| Ryža. 9-19. Vytvorte bootovacie diskety. |
|
|
| Ryža. 9-20. Výber grafickej karty. |
V opačnom prípade sa zobrazí dialógové okno Vybrať kartu. Vyberte jeho typ zo zoznamu. Ak požadovaná grafická karta nie je v zozname, vyberte „Nešpecifikovaná karta“.
V okne „Výber servera“ vyberte server X, s ktorým môže existujúca grafická karta pracovať.
Potom sa zobrazí dialógové okno „Nastavenia monitora“ (obr. 9-21). Ak inštalátor automaticky nezistí váš typ monitora, vyberte príslušný monitor zo zoznamu Zmeniť.
V prípade potreby môžete parametre monitora zadať „ručne“. Ak to chcete urobiť, vyberte v zozname položku typu „Iné“ a nastavte pracovnú frekvenciu skenovania obrazu vertikálne a horizontálne (60 ~ 100 Hz).
Kliknite na tlačidlo „Áno“.
Po výbere monitora sa na obrazovke zobrazí okno „Dodatočné“ (obr. 9-22). V okne vyberte požadovanú farebnú hĺbku a rozlíšenie monitora. Okrem toho v tomto okne môžete vybrať režim prihlásenia „Grafický“ (odporúča sa) alebo „Text“. Ak vyberiete grafické prihlásenie, systém grafického rozhrania sa spustí predvolene. Vykonajte výber a stlačte tlačidlo „Áno“.
Po konfigurácii grafického systému sa zobrazí informačné okno „Inštalácia dokončená“ (obr. 9-23) so správou „Blahoželáme, inštalácia MSVS 3.0 je dokončená“.
Reštartujte kliknutím na tlačidlo „Áno“. Počítač sa začne reštartovať. Počas reštartu sa zásobník diskov CD automaticky vysunie. Vyberte disk zo zásobníka.
 |
| Ryža. 9-23. Inštalácia dokončená. |
|
|
| Ryža. 9-24. Spôsob inštalácie |
