Silahlı Kuvvetler Mobil Sistemi (MFMS OS): Genel amaçlı güvenli işletim sistemi. Gizli bilgilerin korunmasında msvs 3.0'da program yükleme

Bir sunucu kullanarak bir ağ üzerinden kurulum yaparken, atılması gereken birkaç ek ön adım vardır:

• 
  bir bilgisayarı yüklemek ve sunucuya ağ erişimini düzenlemek için bir dizi disket üretimi;
• 
  bir ağ kurulum seçeneği belirleyin;
• 
  ağ kurulumu ve sunucuya ağ erişiminin organizasyonu.

1. CD'den kurulum

Kuruluma başlamadan önce, bilgisayarın BIOS'unu, CD önyüklenebilir aygıtlar listesinde ilk sırada olacak şekilde yapılandırmanız ve WSWS 3.0 önyükleme modülünü içeren CD'yi CD sürücüsüne yerleştirmeniz gerekir.

BIOS bir CD'den önyüklemeyi desteklemiyorsa, sürücüye ayrıca bir önyükleme disketi takmanız ve bilgisayarın BIOS'unu, disketin önyüklenebilir aygıtlar listesinde ilk sırada yer alacağı şekilde yapılandırmanız gerekir. Modern bilgisayarlar genellikle bir CD'den önyüklemeyi destekler, bu nedenle bir önyükleme disketine duyulan ihtiyaç yalnızca WSWS 3.0 "eski" bir bilgisayara yüklenirken ortaya çıkabilir.

Ardından bilgisayarınızı yeniden başlatmalısınız. Monitör ekranında aşağıdaki istem görünecektir:

Bu komut isteminin biçiminde, yükleyiciye ek parametreler iletmek mümkündür. Örneğin, komut:

önyükleme: MCBC belleği=128M

yükleyiciye bu bilgisayarın 128 MB RAM'e sahip olduğunu söyler.

Yükleyiciyi indirmeye başlamak için bir tuşa basın. WSWS 3.0 İşletim Sistemi çekirdeği, tanılama mesajlarıyla birlikte yüklenmeye başlayacak, ardından bilgisayarda bulunan ve WSWS 3.0 İşletim Sistemi tarafından desteklenen CD sürücüsünün ve sabit disk denetleyicilerinin sürücülerini otomatik olarak yükleyecek olan yükleyici başlayacaktır.

Başlatma başarısız olursa, bu, söz konusu CD veya sabit disk sürücüsü türü için ek bir sürücünün yüklenmesi gerektiği anlamına gelir. Yükleyici, uygun sürücüyü seçmeniz ve "Evet" düğmesini tıklamanız gereken bir sürücü listesi sunacaktır.

Bir önyükleme disketinden önyükleme yaptıysanız, yükleyiciyi çalıştırdığınızda, sürücü disketini disket sürücüsüne yerleştirmenizi söyleyen Sürücü Diski iletişim kutusu görüntülenir. Bu durumda, önyükleme disketi çıkarılmalı ve sürücü disketi takılmalıdır.

Gerekli sürücüleri yükledikten sonra, monitör ekranında bir uyarı belirecektir (Şekil 9-1).

1.1.41 Fareyi seçme

"Fare" türünü seçin, örneğin "Normal PS / 2 fare" ve "farede" iki düğme varsa, o zaman üç düğmeli modun öykünmesini kullanabilirsiniz. Bunu yapmak için, üçüncü düğmenin öykünmesini etkinleştirin ve "Evet" düğmesini tıklayın.

1.1.42 Bir sabit diski bölümleme

Çoğu durumda, Disk Druid programında sabit sürücülerin, disk dizilerinin, LVM birimlerinin bölümlenmesi gerçekleşir. Ayrıca, "Otomatik bölümleme" modu, gerçek kurulu ekipmana göre disk alanı oranlarının otomatik olarak hesaplanmasıyla Disk Druid ile çalışmanın özel bir durumudur. Sabit diskle düşük düzeyde çalışmaya ihtiyacınız varsa, fdisk yardımcı programını kullanmanız gerekir.

Disk Druid'i vurgulayın ve tuşuna basın.

Görünen "Bölüm" iletişim kutusu (Şekil 9-4), kullanılabilir disklerin ve mevcut bölümlerin bir listesini görüntüleyecektir.

Ayrıca bu pencerede şu bölümlerle çalışmak için düğmeler vardır: "Yeni", "Düzenle", "Sil", "RAID", "Evet", "Geri".

Alt satırda kısayol tuşlarının kullanımıyla ilgili ipuçları bulunur: "F1-Yardım, F2-Yeni, F3-Düzenle, F4-Sil, F5-Sıfırla, F12-Evet".

Genel olarak, WSWS 3.0, boş bir sabit sürücüye sahip bir bilgisayara kurulur. Bu durumda Disk Druid'i kullanarak veya otomatik bölümlemeyi seçerek bölümleme yapabilirsiniz.

OS WSWS 3.0'ı başarıyla kurmak için iki bölüm oluşturmak yeterlidir: "/" kök bölümü ve takas bölümü. Kök bölümün boyutu en az 1200 MB olmalıdır.

/boot, /home, /var, /tmp ve diğer dizinleri ayrı bölümlere taşıyabilirsiniz. Bu, örneğin kullanıcıların ana dizinlerini kök dosya sisteminden ayırmanıza olanak tanır.

DİKKAT. WSWS 3.0'da, /usr dizinini ayrı bir bölüme yerleştiremezsiniz!

Bir dizini ayrı bir bölüme taşımak için, "ext3" dosya sistemiyle bir bölüm oluşturmanız ve ona dizinin adına karşılık gelen bir bağlama noktası atamanız gerekir.

Bir bölüm oluşturmak için "Yeni" düğmesini seçin ve tuşuna basın. Görünen "Bölüm ekle" iletişim kutusunda (yeni bir bölümün düzenlenmesi) (Şek. 9-5):

• 
  dosya sistemi türünü seçin (takas bölümü için - "takas", diğer durumlarda - "ext3").
• 
  megabayt cinsinden bölüm boyutu (gerekirse, bölümü tüm diske "uzatabilirsiniz");
• 
  bağlama noktası, kök bölüm için "/" şeklindedir, takas bölümü için bağlama noktasının ayarlanması gerekli değildir.

Bölümlerin oluşturulması tamamlandıktan sonra, "Bölüm" penceresinde "Evet" düğmesini tıklayın.

Değişiklikleri Kaydet iletişim kutusu monitör ekranında belirecektir.

"Evet" düğmesine basın.

Bir sonraki adım, oluşturulan bölümleri biçimlendirmektir. Monitör ekranında “Dikkat!” başlıklı bir iletişim kutusu belirecektir. ve "Evet" düğmesine tıkladığınızda biçimlendirilecek olan bölümlerin bir listesi (Şek. 9-6).

1.1.43.Önyükleyici kurulumu

Önyükleme Yükleyici Kurulumu iletişim kutusu ekranda görünecektir (Şekil 9-7). Bu pencerede, sistemi önyükleyicili veya önyükleyicisiz kurma seçeneğini seçmelisiniz. Önyükleyici, sistemde başlatmak için birkaç seçeneğe sahip olmanızı sağlar veya önyüklenebilir işletim sistemini seçer (birden fazla varsa). Önyükleyicisiz modda, WSWS 3.0 çekirdeği yalnızca sistemde önyüklenir.

"Evet" düğmesine basın.

Ardından, ekranda (Şekil 9-8) yükleme sırasında kullanılacak ek parametreleri girmenizi isteyen bir iletişim kutusu görünecektir. Varsayılan olarak, bu pencere LBA32 modunu (sabit disk bloklarının 32 bit mantıksal adreslerini kullanarak) kullanacak şekilde ayarlanmıştır, çünkü bu mod çoğu durumda yüksek kapasiteli diskleri desteklemek için gereklidir.

Bilgisayarınızda bir IDE CD yazıcı varsa, yükleyici parametre giriş alanına "hdc=ide-scsi" gibi bir satır yerleştirecektir (örneğin, sürücü Master modunda ikinci IDE denetleyicisine bağlıysa).

LILO önyükleyicisine veya çekirdeğe başka bir seçeneğin iletilmesi gerekmiyorsa, yükleyici tarafından önerilen seçenekleri bırakıp Evet'i tıklamanız önerilir.

Önyükleyiciyi yapılandırmadaki bir sonraki prosedür, sistemin başlangıç ​​parametrelerini değiştirmek üzere erişim için bir parola belirlemektir. Bir önyükleyicinin varlığında, sistem başlangıcında klavyeden özel çekirdek parametrelerinin aktarılması mümkün olduğundan, bu özellik, gerekli güvenlik düzeyini sağlamak için bir parola ile korunur. Görünen bir sonraki iletişim kutusunda (Şekil 9-9), boyutu 8 karakterden az olmaması gereken bir parola girin. Pencerenin bir sonraki satırına tekrar girerek şifreyi onaylayın.

"Evet" düğmesine basın.

Ekranda, WSWS 3.0 OS yükleyici kullanılarak yüklenebilecek diğer önyükleme bölümlerini belirtmenizi isteyen, önyükleme bölümlerini seçmek için bir iletişim kutusu görüntülenir (Şekil 9-10). Örneğin, bilgisayarınızda başka bir işletim sistemi varsa, onu etiketleyebilir ve WSWS 3.0 işletim sistemi önyükleyicisini kullanarak önyükleme yapabilirsiniz.

Gerekli verileri uygun satırlara girin ve "Evet" düğmesini tıklayın.

Bir sonraki pencere (Şekil 9-11), önyükleyicinin disk üzerindeki konumunu belirtir. İki seçenek vardır: sabit diskin ana önyükleme kaydı (MBR) (çoğu durumda önerilir) veya kurulumun gerçekleştirildiği ilgili bölümün önyükleme sektörü (önyükleme kaydı).

Bir seçim yapın ve "Evet" düğmesini tıklayın.

1.1.44.Ağ kurulumu

Kurulum programı en az bir ağ kartı algılarsa, ekranda bir dizi "ethX için ağ ayarları" (Şek. 9-12) iletişim kutuları görüntülenir; burada X, her ağ kartı için ayarların gösterildiği bir sıra numarasıdır. yapılandırılmış.

BOOTP ve DHCP ağ otomatik yapılandırma protokolleri, ağ üzerinde istemci makinenin isteği üzerine otomatik yapılandırma hizmeti sağlayan özel bir sunucu olduğunda kullanılır.

DHCP sunucusu yoksa, "Başlangıçta etkinleştir" seçeneğini seçerek ağ parametrelerini açık bir şekilde ayarlamanız gerekir. Bundan sonra, ağ bağlantısı parametrelerini belirtmeniz gereken pencerede birkaç satır vurgulanacaktır.

Ağ adresleri ondalık gösterimle gösterilir (örneğin, 192.168.1.1). Alanların doldurulmasına ilişkin bilgiler ağ yöneticisi tarafından sağlanmalıdır.

Ağ adresi - ağdaki bilgisayarın IP adresi.

Netmask, bir ağ segmentinin sınıfını karakterize eden bir parametredir.

Varsayılan ağ geçidi, bu yerel ağın harici ağ bölümleriyle iletişimini sağlayan bir ana bilgisayardır.

Birincil ad sunucusu, DNS protokolünü kullanarak alan adlarını IP adreslerine çözümleme hizmetini destekleyen bir düğümdür. Ek ad sunucularının (DNS) IP adreslerini uygun alanlara girin. Ağ tek bir ad sunucusu kullanıyorsa, bu alanlar boş bırakılabilir.

"Evet" düğmesine basın.

"Evet" düğmesine basın.

1.1.45.Saat dilimini seçme

Ekranda, sistem saat ayarlarını yapılandırabileceğiniz aşağıdaki "Saat dilimini seçin" iletişim kutusu görünecektir. OS WSWS 3.0'da, süre yerel modda sayılır, örn. sistemin donanım saati, UTC gibi farklı referans noktalarına göre ek dönüştürme olmaksızın zamanını benzersiz bir şekilde belirler.

Pencerede, "sıfır" bölgeye göre standart saat farkını gösteren, bilgisayarın konumuna en yakın Rusya saat dilimini seçmelisiniz - Avrupa / Moskova (Şek. 9-14).

"Evet" düğmesine basın.

1.1.46 Paketleri seçme ve kurma

Ekranda "Kompleksleri seç" iletişim kutusu görünecektir (Şek. 9-15).

Bu iletişim kutusu sizden aşağıdaki kompleksleri seçmenizi ister:

• 
  Temel işletim sistemi yapılandırması;
• 
  GUI alt sistemi;
• 
  Geliştirme araçları.

"Temel işletim sistemi yapılandırması" grubunun seçimi zorunludur, OS WSWS 3.0'ın temel sürümde (ek araçlar olmadan) çalışması için gerekli tüm bileşenleri içerir.

"Tümü (isteğe bağlı dahil)" kurulum modu, bu bilgisayar için özel olmayan işletim sistemi çekirdeği değişiklikleri ve OS WSWS 3.0'ın önyükleme diskini oluşturmak için gerekli bir dizi paket dahil olmak üzere tüm dağıtım paketlerinin yüklenmesi anlamına gelir.

Daha ayrıntılı bir paket seçimi için (belki işletim sisteminin kapladığı disk alanından tasarruf etmek için), "Bireysel paket seçimi" seçeneğini işaretlemeniz ve "Evet" düğmesini tıklamanız gerekir. Paket gruplarının bir listesi ve paketlerin kendileri ile Paketleri Seç penceresi (Şekil 9-16) görünecektir.

Bir grup, üzerine bir vurgu çizgisi sürüklenerek ve tuşuna basılarak daraltılabilir/genişletilebilir. Bir paket hakkında bilgi almak için üzerine bir vurgu çizgisi çizmeniz ve tuşuna basmanız gerekir. Kurulum için paketlerin listeye dahil edilmesi/devre dışı bırakılması, tuşuna basılarak gerçekleştirilir.

Paket seçimini tamamladıktan sonra "Evet" düğmesini tıklayın.

Kurulum için ayrı bir paket listesi seçildiyse, bunlar arasında karşılanmayan bağımlılıkların göründüğü bir durum olabilir. Bu, seçili listede, WSWS 3.0 önyükleme diskinden yüklenmesi için kontrol edilmemiş başka paketler gerektiren paketler olduğu anlamına gelir. Paket bağımlılıkları yükleyici tarafından otomatik olarak çözülecektir.

Paket seçimi tamamlandığında, ekranda Kurulumu Başlat iletişim kutusu görünecektir. Bu pencere, kurulum programının tamamlandığında kurulu paketlerin listesini kaydedeceği /root/log dosyası hakkında bilgi içerecektir.

Diskin gerçek bölümlenmesi ve paketlerin kurulumu ancak "İlk Kurulum" penceresindeki "Evet" düğmesine tıklandıktan sonra başlayacaktır. Gerekirse, bu noktadan önce bilgisayarı yeniden başlatarak yükleme işlemini yine de kesebilirsiniz. Bu durumda, sabit sürücülerdeki tüm veriler değişmeden kalacaktır.

Paketleri yüklemeye başlamak için "Evet" düğmesini tıklayın.

Ekranda Paketi Kur penceresi görünecektir (Şek. 9-17).

Bu aşamada, otomatik olarak gerçekleştirilen seçili paketlerin kurulum sürecini gözlemleyebilirsiniz. Her paket için, paketin kısa bir açıklamasının yanı sıra mevcut paketin ve tüm paketlerin birlikte kurulum süreci hakkında istatistiksel bilgiler görüntülenir.

1.1.47.Süper kullanıcı şifresinin ayarlanması

Root User Password iletişim kutusu ekranda belirecektir (Şekil 9-18). "Şifre" satırına bir şifre belirleyin ve "Şifreyi onayla" satırına girişini onaylayın (şifrenin türü ve boyutuyla ilgili kısıtlamalar, sistemin güvenlik gereksinimleri tarafından belirlenir; varsayılan olarak, şifre boyutu en az sekizdir. karakterler). Klavyeyi kullanarak bir parola ayarlarken, güvenlik nedeniyle girilen karakterler yerine yıldız işaretleri görüntülenir. "Evet" düğmesine basın.

1.1.48.Önyükleme disketleri oluşturma

Aşağıdaki iletişim kutusu, Önyükleme Disketi Seti ekranda görünecektir (Şekil 9-19). Sabit sürücüdeki önyükleme kaydı zarar görmüşse, önyükleme disketi seti gerekebilir.

Önyükleme disketleri oluşturmak için "Evet"e tıklayın. Ardından, iletişim kutularında sunulan talimatları izleyin.

Önyüklenebilir bir kit oluşturmanız gerekmiyorsa, "Hayır" düğmesini tıklayın. Gelecekte, bir grafik yardımcı programını veya mkbootdisk komutunu kullanarak bir önyükleme diski oluşturabilirsiniz.

1.1.49.Video kartı ve monitörün kurulumu

Bir sonraki adım, grafik sistemini kurmaktır. Bunu yapmak için, iletişim kutularında talimatları izleyerek video kartı ve monitörle ilgili bilgileri girin.

Yükleyici, video kartının türünü otomatik olarak algılarsa, onunla ilgili bilgiler görünecektir (Şekil 9-20).

Pirinç. 9-19. Önyükleme diskleri oluşturun.

Pirinç. 9-20. Ekran kartı seçimi.

Aksi takdirde, "Harita Seç" iletişim kutusu görünecektir. Listeden türünü seçin. Gerekli video kartı listede yoksa, "Belirtilmemiş kart" seçeneğini seçin.

Sunucu Seçimi penceresinde, video kartınızın çalışabileceği X sunucusunu seçin.

Bundan sonra, Monitör Ayarları iletişim kutusu görünecektir (Şekil 9-21). Yükleyici, monitör tipini otomatik olarak algılamazsa, Değiştir listesinden uygun monitörü seçin.

Gerekirse, monitör ayarlarını "manuel olarak" belirleyebilirsiniz. Bunu yapmak için, listeden “Diğer” tipi öğesini seçin ve görüntüyü dikey ve yatay olarak taramak için çalışma frekansını ayarlayın (60~100Hz).

"Evet" düğmesine basın.

Monitörü seçtikten sonra, ekranda Gelişmiş penceresi görünecektir (Şekil 9-22). İstenen renk derinliğini seçin ve pencerede çözünürlüğü izleyin. Ek olarak, bu pencerede "Grafik" (önerilen) veya "Metin" oturum açma modunu seçebilirsiniz. Grafik oturum açma seçilirse, GUI sistemi varsayılan olarak başlayacaktır. Bir seçim yapın ve "Evet" düğmesini tıklayın.

Grafik sistemini yapılandırdıktan sonra, "Tebrikler, WSWS OS 3.0 kurulumu tamamlandı" mesajıyla birlikte "Kurulum Tamamlandı" bilgi penceresi (Şekil 9-23) görünür.

Yeniden başlatmak için "Evet" düğmesine tıklayın. Bilgisayar yeniden başlamaya başlayacaktır. Yeniden başlatma sırasında, CD tepsisi otomatik olarak çıkacaktır. Diski tepsiden çıkarın.

Pirinç. 9-23. Yükleme tamamlandı.

Pirinç. 9-24. Kurulum yöntemi

Bu bölüm aşağıdaki soruları ele almaktadır:

Kullanıcılar;

Ayrıcalıklı ve ayrıcalıksız kullanıcılar arasındaki farklar;

Giriş dosyaları;

/etc/passwd dosyası;

Dosya /etc/shadow;

Dosya /etc/gshadow;

DOSYA /etc/login.defs

Parola eskitme bilgilerinin değiştirilmesi;

WSWS güvenliği, kullanıcı ve grup kavramlarına dayanır. Bir kullanıcının ne yapmasına izin verilip verilmediğine ilişkin tüm kararlar, işletim sistemi çekirdeği açısından oturum açmış kullanıcının kim olduğuna bağlı olarak verilir.

Kullanıcıların genel görünümü

WSWS, çok görevli çok kullanıcılı bir sistemdir. Kullanıcıları birbirinden izole etmek ve korumak işletim sisteminin sorumluluğundadır. Sistem her kullanıcıyı izler ve bu kullanıcının kim olduğuna bağlı olarak, ona belirli bir dosyaya erişim vermenin veya belirli bir programı çalıştırmasına izin vermenin mümkün olup olmadığına karar verir.

Yeni bir kullanıcı oluşturulduğunda, benzersiz bir ad atanır.

NOT

Sistem, kullanıcı kimliğine (userID, UID) göre kullanıcının ayrıcalıklarını belirler. Bir kullanıcı adının aksine, bir UID benzersiz olmayabilir; bu durumda, verilen UID ile eşleşen bulunan ilk ad, onu bir kullanıcı adıyla eşleştirmek için kullanılır.

Sisteme kaydolan her yeni kullanıcıya, sistemin belirli öğeleri atanır.

Ayrıcalıklı ve ayrıcalıklı olmayan kullanıcılar

Sisteme yeni bir kullanıcı eklendiğinde kendisine özel bir numara atanır. Kullanıcı kimliği(kullanıcı kimliği, UID). Caldera WSWS'de yeni kullanıcılara kimlik tahsisi 500'den başlar ve daha yüksek sayılara, 65.534'e kadar çıkar. 500'e kadar olan sayılar sistem hesapları için ayrılmıştır.

Genel olarak, 500'den küçük numaralara sahip tanımlayıcıların diğer tanımlayıcılardan hiçbir farkı yoktur. Genellikle bir programın düzgün çalışması için tüm dosyalara tam erişimi olan özel bir kullanıcıya ihtiyacı vardır.

Tanımlayıcı numaralandırma 0'dan başlar ve 65535'e kadar çıkar. UID 0, özel bir UID'dir. Sıfır kimliğine sahip herhangi bir işlem veya kullanıcı ayrıcalıklıdır. Böyle bir kişi veya sürecin sistem üzerinde sınırsız yetkisi vardır. Onun için hiçbir şey yasak olamaz. Hesap olarak da adlandırılan kök hesap (UID'si 0 olan hesap) süper kullanıcı, giren kişiyi, sahibi değilse de en azından yetkili temsilcisini kullanır.

Bu, 65.535'lik bir UID bırakır ve bu da sıra dışıdır. Bu UID, hiç kimseye ait değil (hiç kimse).

Bir zamanlar, sistemi hacklemenin yollarından biri, 65.536 kimliğine sahip bir kullanıcı oluşturmaktı ve bunun sonucunda süper kullanıcı ayrıcalıkları aldı. Aslında, herhangi bir UID'yi alıp karşılık gelen sayıyı ikili forma çevirirseniz, her biri 0 veya 1 olan on altı ikili basamaktan oluşan bir kombinasyon elde edersiniz. Tanımlayıcıların büyük çoğunluğu hem sıfırları hem de birleri içerir. İstisnalar, tümü sıfırlardan oluşan süper kullanıcı UID sıfır ve 65535 olan ve 16 birden oluşan UIDnobody, yani 1111111111111111'dir. 65.536 sayısı 16 bit olarak yerleştirilemez - bu sayıyı ikili biçimde temsil etmek için zaten 17 bit kullanmanız gerekiyor. En önemli basamak bire (1), geri kalan her şey sıfıra (0) eşit olacaktır. Peki, 17 bit uzunluğunda bir kullanıcı kimliği oluşturduğunuzda ne olur - 10000000000000000? Teorik olarak, tanımlayıcısı sıfır olan bir kullanıcı: tanımlayıcı için yalnızca 16 ikili basamak tahsis edildiğinden, 17. biti saklayacak hiçbir yer yoktur ve atılır. Bu nedenle, tanımlayıcının tek birimi kaybolur ve yalnızca sıfırlar kalır ve sistemde süper kullanıcının tanımlayıcısına ve dolayısıyla ayrıcalıklarına sahip yeni bir kullanıcı belirir. Ancak artık WSWS'de UID'yi 65536 olarak ayarlamanıza izin verecek hiçbir program yok.

NOT

65.536'dan büyük kimliklere sahip kullanıcılar oluşturabilirsiniz, ancak /bin/login'i değiştirmeden bunları kullanamazsınız.

Herhangi bir korsan kesinlikle süper kullanıcı ayrıcalıkları kazanmaya çalışacaktır. Onları aldığında, sistemin sonraki kaderi tamamen onun niyetine bağlı olacaktır. Belki de bilgisayar korsanlığı gerçeğinden memnun olan, ona kötü bir şey yapmayacak ve size güvenlik sisteminde bulduğu delikleri açıklayan bir mektup göndererek onu sonsuza kadar yalnız bırakacak veya belki de bırakmayacaktır. Bilgisayar korsanının niyeti o kadar saf değilse, umabileceğiniz en iyi şey sistemi çökertmektir.

DOSYA /etc/şifre

Oturum açmak isteyen kişi, /etc/passwd dosyasında depolanan kullanıcı veritabanında doğrulanan bir kullanıcı adı ve parola girmelidir. Diğer şeylerin yanı sıra, tüm kullanıcıların şifrelerini saklar. Sisteme bağlanırken girilen şifre, verilen ada karşılık gelen şifre ile kontrol edilir ve eşleşirse, kullanıcının sisteme girmesine izin verilir, ardından şifre dosyasında verilen kullanıcı adı için belirtilen program başlatılır. Bir komut kabuğu ise, kullanıcıya komut girme yeteneği verilir.

Listeleme 1.1'i düşünün. Bu eski tip bir passwd dosyasıdır.

Listeleme 1.1. Eski stildeki /etc/passwd dosyası

kök: *:1i DYwrOmhmEBU: 0:0: kök:: /kök: /bin/bash

bin:*:1:1:bin:/bin:

iblis:*:2: 2: arka plan programı:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

senk:*:5:0:sync:/sbin:/bin/sync

kapatma:*:6:11:kapatma:/sbin:/sbin/kapatma

durdur:*:7:0:durdur:/sbin:/sbin/durdur

posta:*:8:12:posta:/var/spool/posta:

haberler:*:9:13:haberler:/var/spool/haberler:

uucp:*:10:14:uucp:/var/spool/uucp:

operatör:*:11:0:operatör:/root:

oyunlar:*:12:100:oyunlar:/usr/oyunlar:

gopher:*:13:30:gopher:/usr/1ib/gopher-data:

ftp:*:14:50:FTP Kullanıcısı:/home/ftp:

erkek:*:15:15:Kılavuz Sahibi:/:

çoğunluk:*:16:16:majordomo:/:/bin/false

postgres:*:17:17:Postgres Kullanıcısı:/home/postgres:/bin/bash

mysql:*:18:18:MySQL Kullanıcısı:/usr/local/var:/bin/false

silvia:1iDYwrOmhmEBU:501:501:Silvia Bandel:/home/silvia:/bin/bash

kimse:*:65534:65534:Kimse:/:/bi n/yanlış

david:1iDYwrOmhmEBU:500:500:David A. Bandel:/home/david:/bin/bash

Parola dosyası sabit kodlu bir yapıya sahiptir. Dosyanın içeriği bir tablodur. Dosyanın her satırı bir tablo girişidir. Her giriş birkaç alandan oluşur. passwd dosyasındaki alanlar iki nokta üst üste ile ayrılmıştır, bu nedenle alanların hiçbirinde iki nokta üst üste kullanılamaz. Toplamda yedi alan vardır: kullanıcı adı, parola, kullanıcı kimliği, grup kimliği, GECOS alanı (yorum alanı olarak da bilinir), giriş dizini ve oturum açma kabuğu.

/etc/passwd hakkında daha fazla bilgi

İlk alan kullanıcı adını içerir. Benzersiz olmalıdır - iki sistem kullanıcısı aynı ada sahip olamaz. Ad alanı, değeri benzersiz olması gereken tek alandır. İkinci alan, kullanıcının şifresini saklar. Sistem güvenliğini sağlamak için, parola bir karma formda saklanır. Bu bağlamda "karma" terimi, "şifrelenmiş" anlamına gelir. WSWS söz konusu olduğunda, parola DES (DataEncryptionStandard) algoritması kullanılarak şifrelenir. Bu alandaki karma şifrenin uzunluğu her zaman 13 karakterdir ve iki nokta üst üste ve tek tırnak gibi bazı karakterler bunların arasında asla geçmez. Geçerli bir karma 13 karakterlik parola dışındaki herhangi bir alan değeri, son derece önemli bir istisna dışında, kullanıcının oturum açmasını engeller: parola alanı boş olabilir.

İkinci alan boştur, bir boşluk bile yoktur, bu, karşılık gelen kullanıcının oturum açmak için parolaya ihtiyacı olmadığı anlamına gelir. Alanda saklanan şifreyi, şifreye tek tırnak gibi bir karakter ekleyerek değiştirirseniz, hesap kilitlenir ve ilgili kullanıcı oturum açamaz. Gerçek şu ki, 14 karakterlik karma parolaya geçersiz bir karakter ekledikten sonra sistem, kullanıcının kimliğini böyle bir parolayla doğrulamayı reddetti.

Parola uzunluğu şu anda sekiz karakterle sınırlıdır. Kullanıcı daha uzun parolalar girebilir, ancak yalnızca ilk sekiz karakter önemli olacaktır. Karma parolanın ilk iki karakteri tohum(tuz). (Çekirdek, şifreleme algoritmasını başlatmak için kullanılan sayıdır. Parola her değiştirildiğinde, tohum rastgele seçilir.) Sonuç olarak, olası permütasyonların sayısı, içinde kullanıcı olup olmadığını belirlemenin imkansız olduğu kadar fazladır. yalnızca karma parolaları karşılaştırarak aynı parolalara sahip sistem.

NOT

Dictionaryattack, kaba kuvvetle parola kırma yöntemlerini ifade eder ve bir sözlük ile bilinen bir çekirdeğin kullanımını içerir. Saldırı, sözlükteki tüm sözcükleri yinelemeyi, bunları belirli bir tohumla şifrelemeyi ve sonucu kırılacak parolayla karşılaştırmayı içerir. Aynı zamanda, sözlükteki kelimelere ek olarak, genellikle bazı değişiklikleri dikkate alınır, örneğin, tüm harfler büyük yazılır, yalnızca ilk harf büyük yazılır ve sonuna rakamlar eklenir (genellikle yalnızca 0-9) bu kombinasyonlar Tahmin edilmesi kolay pek çok şifre bu şekilde kırılabilir.

Üçüncü alan, kullanıcı kimliğini içerir. Kullanıcı kimliğinin benzersiz olması gerekmez. Özellikle, kök kullanıcıya ek olarak, null tanımlayıcıya sahip herhangi bir sayıda başka kullanıcı olabilir ve bunların tümü, süper kullanıcı ayrıcalıklarına sahip olacaktır.

Dördüncü alan, grup tanımlayıcısını (GroupID, GID) içerir. Bu alanda belirtilen grubun adı kullanıcının birincil grubu(birincil grup). Bir kullanıcı birkaç gruba ait olabilir, ancak bunlardan biri birincil grup olmalıdır.

Beşinci alan artık yorum alanı olarak adlandırılıyor, ancak orijinal adı "GEConsolidatedOperatingSystem" için GECOS idi. Parmak veya başka bir program aracılığıyla kullanıcı bilgisi istenirken, bu alanın içeriği artık kullanıcının gerçek adı olarak döndürülmektedir. Yorum alanı boş olabilir.

Altıncı alan, kullanıcının ana dizinini belirtir. Her kullanıcının kendi ana dizini olmalıdır. Genellikle, bir kullanıcı oturum açtığında kendini kendi ana dizininde bulur, ancak yoksa, kök dizine gider.

Yedinci alan oturum açma kabuğunu belirtir. Bu alanda her kabuk belirtilemez. Sistem ayarlarına bağlı olarak, yalnızca geçerli kabuklar listesinden bir kabuk içerebilir. WSWS'de, izin verilen kabukların listesi varsayılan olarak /etc/shells dosyasında bulunur.

DOSYA /etc/shadow

/etc/shadow dosyasının sahibi kök kullanıcıdır ve dosyayı okuyabilen tek kişidir. Oluşturmak için, passwd dosyasından kullanıcı adlarını ve hashlenmiş şifreleri alıp, passwd dosyasındaki tüm hashlenmiş şifreleri x karakterleriyle değiştirerek gölge dosyasına koymanız gerekir. Sistemin passwd dosyasına bakarsanız hashlenmiş şifrelerin yerine x'lerin geldiğini görebilirsiniz. Bu sembol sisteme şifrenin burada değil, /etc/shadow dosyasında aranması gerektiğini söyler. Basit parolalardan gölge parolalara geçiş ve bunun tersi, üç yardımcı program kullanılarak gerçekleştirilir. Gölge parolalara ulaşmak için önce pwck yardımcı programı çalıştırılır. Bir sonraki adımın başarısız olmasına veya döngüye girmesine neden olabilecek herhangi bir anormallik için passwd dosyasını kontrol eder. pwck tamamlandıktan sonra, /etc/shadow oluşturmak için pwconv yardımcı programı çalıştırılır. Bu genellikle /etc/passwd dosyasını manuel olarak güncelledikten sonra yapılır. Normal şifrelere dönmek için pwuncov çalıştırılır.

Bir gölge parola dosyası, birçok yönden normal bir parola dosyasına benzer. Özellikle bu dosyaların ilk iki alanı aynıdır. Ancak bu alanlara ek olarak, doğal olarak normal şifre dosyasında bulunmayan ek alanlar da içerir. Listeleme 1.2. tipik bir /etc/shadow dosyasının içeriğini gösterir.

Listeleme 1.2. DOSYA /etc/shadow

kök:1iDYwrOmhmEBU:10792:0:: 7:7::

bin:*:10547:0::7:7::

arka plan programı:*:10547:0::7:7::

adm:*:10547:0::7:7::

lp:*:10547:0::7:7::

senkronizasyon:*:10547:0::7:7::

kapatma:U:10811:0:-1:7:7:-1:134531940

dur:*:10547:0::7:7::

posta:*:10547:0::7:7::

haberler:*:10547:0::7:7::

uucp:*:10547:0::7:7::

operatör:*:10547:0::7:7::

oyunlar:*: 10547:0: :7:7::

sincap:*:10547:0::7:7::

ftp:*:10547:0::7:7::

erkek:*:10547:0::7:7::

çoğunluk:*:10547:0::7:7::

postgres:*:10547:0::7:7::

mysql:*:10547:0::7:7::

si1via:1iDYwrOmhmEBU:10792:0:30:7:-l::

kimse:*:10547:0::7:7::

david:1iDYwrOmhmEBU:10792:0::7:7::

/etc/shadow hakkında daha fazla bilgi

Gölge dosyasındaki ilk alanın amacı, passwd dosyasındaki ilk alanla aynıdır.

İkinci alan, karma parolayı içerir. WSWS'nin gölge parola uygulaması, 13 ila 24 karakter uzunluğunda karma parolalara izin verir, ancak crypt password şifreleme programı yalnızca 13 karakterlik karma parolalar üretebilir. Karmada kullanılan karakterler, 52 alfabetik karakter (küçük ve büyük harf), 0-9 rakamları, nokta ve ters eğik çizgiden (/) oluşan bir diziden alınır. Karma parola alanında izin verilen toplam 64 karakter vardır.

Bu nedenle, daha önce olduğu gibi ilk iki sembol olan tohum, 4096 olası kombinasyondan (64x64) seçilebilir. Şifreleme için 56 bit anahtarlı DES algoritması kullanılır, yani bu algoritmanın anahtar alanı yaklaşık 72.057.590.000.000.000 veya 72 katrilyona eşit olan 256 anahtara sahiptir. Rakam etkileyici görünüyor ancak aslında bu büyüklükteki bir alanda tüm tuşların üzerinden çok kısa bir sürede geçmek mümkün.

Üçüncü alan, parola eskimesiyle ilgili bilgilerle başlar. 1 Ocak 1970 tarihinden parolanın en son değiştirildiği güne kadar geçen gün sayısını saklar.

Dördüncü alan, parolanın yeniden değiştirilebilmesi için geçmesi gereken minimum gün sayısını belirtir. Bu alanda belirtilen gün sayısı son şifre değişikliği tarihinden itibaren geçene kadar tekrar şifre değişikliği yapılamaz.

Beşinci alan, parolanın kullanılabileceği maksimum gün sayısını ve sonrasında değiştirilmesi gerektiğini belirtir. Bu alan pozitif bir değere ayarlanırsa, kullanıcı parolanın süresi dolduktan sonra oturum açmaya çalışırsa, parola komutu normal olarak değil, zorunlu parola değiştirme modunda çalıştırılacaktır.

Altıncı alandaki değer, şifrenin süresinin dolmasına kaç gün kala bu konuda uyarı vermeye başlamanız gerektiğini belirler. Bir uyarı aldıktan sonra, kullanıcı yeni bir şifre bulmaya başlayabilir.

Yedinci alan, zorunlu şifre değişikliği gününden başlayarak bu hesabın bloke edildiği gün sayısını belirtir.

Sondan bir önceki alan, hesabın bloke edildiği günü saklar.

Son alan ayrılmıştır ve kullanılmamaktadır.

/etc/group hakkında daha fazla bilgi

/etc/group dosyasındaki her giriş, iki nokta üst üste ile ayrılmış dört alandan oluşur. İlk alan grubun adını belirtir. Kullanıcı adı gibi.

Gruplar için parola mekanizması genellikle kullanılmadığından ikinci alan genellikle her zaman boştur, ancak bu alan boş değilse ve bir parola içeriyorsa, o zaman herhangi bir kullanıcı gruba katılabilir. Bunu yapmak için, parametre olarak grup adı ile newgrp komutunu çalıştırmanız ve ardından doğru şifreyi girmeniz gerekir. Bir grup için parola ayarlanmamışsa, yalnızca grup üyeleri listesinde listelenen kullanıcılar gruba katılabilir.

Üçüncü alan, grup tanımlayıcısını (GroupID, GID) belirtir. Anlamı, kullanıcı kimliğininkiyle aynıdır.

Son alan, gruba ait kullanıcı adlarının bir listesidir. Kullanıcı adları boşluk bırakmadan virgülle ayrılmış olarak listelenir. Kullanıcının birincil grubu passwd dosyasında belirtilir (zorunludur) ve bu bilgilere göre kullanıcı sisteme bağlandığında atanır. Buna göre passwd dosyasında kullanıcının birincil grubu değiştirilirse, kullanıcı artık eski birincil grubuna katılamaz.

DOSYA /etc/login.defs

Sisteme yeni bir kullanıcı eklemenin birkaç yolu vardır. WSWS bunun için şu programları kullanır: coastooL, LISA, useradd. Herhangi biri yapacak. COAS yardımcı programı kendi dosyasını kullanır. Useradd ve LISA programları ise /etc/login.defs dosyasından passwd ve shadow dosyalarının alanları için varsayılan değerler hakkında bilgi alır. Bu dosyanın içeriği kısaltılmış olarak Liste 1-4'te gösterilmektedir.

Listeleme 1.4. Kısa yol dosyası /etc/login.defs

#Bir şifrenin kullanılmasına izin verilen maksimum gün sayısı:

#(-1 - şifre değişikliği isteğe bağlıdır) PASS_MAX_DAYS-1

Şifre değişiklikleri arasındaki minimum gün sayısı: PASS_MIN_DAYSO

#Şifre değiştirme tarihinden kaç gün önce uyarı verilmesi gerekir: PASS_WARN_AGE7

#Hesabın kilitlenmesi için parolanın süresi dolduktan sonra kaç gün geçmesi gerekir: PASS_INACTIVE-1

#Belirli bir günde şifre süresinin dolmasını zorla:

# (70/1/1'den sonraki gün sayısına göre belirlenen tarih, -1 = zorlama) PASS_EXPIRE -1

Useradd programı için oluşturulan hesabın alanlarının #değerleri

#varsayılan grup:GROUP100

#kullanıcı ana dizini: %s = kullanıcı adı) HOME /home/%s

#varsayılan kabuk: SHELL/bin/bash

#ana dizin iskeletinin bulunduğu dizin: SKEL/etc/skel

#groupaddGID_MIN100'de otomatik gid seçimi için minimum ve maksimum değerler

Bu dosyanın içeriği, passwd ve shadow dosyalarındaki alanlar için varsayılan değerleri belirler. Bunları komut satırından geçersiz kılmazsanız kullanılacaktır. Başlangıç ​​noktası olarak bu değerler gayet iyi ancak şifre eskitme uygulamak için bazılarının değiştirilmesi gerekecek. -1 değeri kısıtlama olmadığı anlamına gelir.

Caldera dağıtımının COAS programı, grafiksel bir kullanıcı arabirimi kullanır.

Bir veya iki kullanıcı için şifre eskitme bilgilerini değiştirmek için chage (changeaging) komutunu kullanabilirsiniz. Ayrıcalığı olmayan kullanıcılar, yalnızca -l seçenekleriyle ve kendi kullanıcı adlarıyla chage çalıştırabilir, yani yalnızca kendi parolaları eskiyecektir. Kullanımdan kaldırma bilgisini değiştirmek için kullanıcı adını belirtmeniz yeterlidir, geri kalan parametreler iletişim modunda istenecektir. Hiçbir parametre olmadan çağrı çağrısı, kısa bir kullanım notu verecektir.

COAS, parola eskitme ayarlarını hesap bazında değiştirmek için kullanılabilir. Değerler gün cinsinden verilmiştir. Program arayüzü açıktır.

NOT -

Expiry komutunu, bir kullanıcının parolasının süresinin dolması hakkında bilgi almak veya işlemi zorlamak için kullanabilirsiniz.

RAM güvenlik sistemi

PAM'in ana fikri, her zaman bilgi için bir dosyaya veya cihaza erişecek ve yetkilendirme prosedürünün sonucunu döndürecek yeni bir güvenlik modülü yazabilmenizdir: BAŞARI, BAŞARISIZ veya YOKSAY. Ve PAM, sırayla, onu çağıran hizmete BAŞARI veya BAŞARISIZ döndürür. Bu nedenle, RAM varsa, sistemde hangi şifrelerin, gölge veya normal kullanıldığı önemli değildir: RAM'i destekleyen tüm programlar her ikisiyle de iyi çalışacaktır.

Şimdi RAM'in çalışmasının temel ilkelerinin değerlendirilmesine dönelim. Listelemeyi Düşünün 1.6. /etc/pam.d dizini, sistemde hangi yazılımın yüklü olduğuna bağlı olarak su, passwd vb. gibi diğer hizmetler için yapılandırma dosyaları içerir. Her kısıtlanmış hizmetin kendi yapılandırma dosyası vardır. Hiçbiri yoksa, bu durumda erişimi kısıtlı hizmet, other.d yapılandırma dosyasıyla birlikte "diğer" kategorisine girer. (Kısıtlı hizmet, onu kullanmak için yetkilendirilmenizi gerektiren herhangi bir hizmet veya programdır. Diğer bir deyişle, bir hizmet normalde sizden bir kullanıcı adı ve parola isterse, kısıtlı bir hizmettir.)

Listeleme 1.6. oturum açma hizmeti yapılandırma dosyası

yetkilendirme gerekli pam_securetty.so

yetkilendirme gerekli pam_pwdb.so

yetkilendirme gerekli pam_nologin.so

#auth gerekli pam_dialup.so

yetkilendirme isteğe bağlı pam_mail.so

hesap gerekli pam_pwdb.so

oturum gerekli pam_pwdb.so

oturum isteğe bağlı pam_lastlog.so

şifre gerekli pam_pwdb.so

Listeden de görebileceğiniz gibi, yapılandırma dosyası üç sütundan oluşur. diyez işareti (#) ile başlayan satırlar dikkate alınmaz. Bu nedenle, pam_dialup modülü (listeleme 1.6'nın dördüncü satırı) atlanacaktır. Dosya, aynı üçüncü alana - pam_pwd.so ve ilk - auth'a sahip satırlar içerir. Aynı ilk alanla birden çok satırın kullanılması, modül istifleme olarak adlandırılır ve birkaç farklı yetkilendirme prosedürünü içeren çok adımlı yetkilendirme (modül yığını) almanıza olanak tanır.

İlk sütun, tür sütunudur. Tür, dört karakter etiketinden biriyle tanımlanır: kimlik doğrulama, hesap, oturum ve parola. Tüm sütunların içerikleri büyük/küçük harfe duyarsız kabul edilir.

Kimlik doğrulama türü (kimlik doğrulama - kimlik doğrulama), kullanıcının iddia ettiği kişi olup olmadığını öğrenmek için kullanılır. Kural olarak, bu, girilen ve saklanan şifrelerin karşılaştırılmasıyla elde edilir, ancak başka seçenekler de mümkündür.

Hesap türü (hesap), verilen kullanıcının hizmeti kullanmasına izin verilip verilmediğini, hangi koşullar altında, parolanın güncel olup olmadığını vb. kontrol eder.

Parola türü, yetkilendirme belirteçlerini yenilemek için kullanılır.

Oturum türü, bir kullanıcı oturum açtığında ve oturumu kapattığında belirli eylemleri gerçekleştirir.

Kontrol Bayrakları

İkinci sütun, modül döndükten sonra ne yapılacağını, yani BAŞARI, YOKSAY ve BAŞARISIZ'a verilen PAM yanıtını belirten bir kontrol bayrağı alanıdır. İzin verilen değerler gerekli, gerekli, yeterli ve isteğe bağlıdır. Bu alandaki değer dosyanın kalan satırlarının işlenip işlenmeyeceğini belirler.

Zorunlu bayrak, en kısıtlayıcı davranışı belirtir. Modülü bir FAILURE değeri döndüren gerekli bayrağa sahip herhangi bir dize iptal edilecek ve çağıran hizmet FAILURE durumunu döndürecektir. Diğer hatlar dikkate alınmayacaktır. Bu bayrak nadiren kullanılır. Gerçek şu ki, onunla işaretlenen modül ilk önce yürütülürse, ardından günlüğe kaydetmeden sorumlu olanlar da dahil olmak üzere onu takip eden modüller yürütülmeyebilir, bu nedenle bunun yerine genellikle gerekli bayrak kullanılır.

Gerekli bayrak, modüllerin yürütülmesini kesintiye uğratmaz. Kendisi tarafından işaretlenen modülün yürütülmesinin sonucu ne olursa olsun: BAŞARI (BAŞARI), YOKSAY (YOKSAY) veya BAŞARISIZ (BAŞARISIZ), PAM her zaman bir sonraki modülün işlenmesine geçer. Bu, en sık kullanılan bayraktır, çünkü modül yürütmenin sonucu diğer tüm modüller tamamlanana kadar döndürülmez, bu da günlük kaydından sorumlu modüllerin kesinlikle yürütüleceği anlamına gelir.

Yeterli bayrak, kendisiyle işaretlenen modülün BAŞARI değeri döndürmesi ve daha önce FAILURE durumunu döndüren gerekli bayrağa sahip bir modül olmaması koşuluyla, dizenin işlemeyi hemen sonlandırmasına ve bir BAŞARI değeri döndürmesine neden olur. Böyle bir modülle karşılaşılırsa, yeterli bayrağı yoksayılır. Bu bayrakla işaretlenmiş bir modül bir IGNORE veya FAILURE değeri döndürdüyse, o zaman yeterli bayrağı, isteğe bağlı bayrakla aynı şekilde ele alınır.

İsteğe bağlı bayrağı olan bir modülü yürütmenin sonucu, yalnızca yığında bir BAŞARI değeri döndüren tek modül ise dikkate alınır. Aksi takdirde, yürütülmesinin sonucu dikkate alınmaz. Bu nedenle, onunla işaretlenen modülün başarısız bir şekilde yürütülmesi, tüm yetkilendirme sürecinin başarısız olmasını gerektirmez.

Bir kullanıcının sisteme erişebilmesi için gerekli ve gerekli bayraklarla işaretlenen modüller FAILURE döndürmemelidir. İsteğe bağlı bayrağı olan bir modülü yürütmenin sonucu, yalnızca yığında BAŞARI döndüren tek modül ise dikkate alınır.

RAM modülleri

Üçüncü sütun, verilen satırla ilişkili modülün tam dosya adını içerir. Prensip olarak, modüller herhangi bir yere yerleştirilebilir, ancak modüller için önceden tanımlanmış bir dizine yerleştirilirlerse, o zaman yalnızca bir ad belirtilebilir, aksi takdirde bir yol da gerekir. WSWS'de önceden tanımlanmış dizin /lib/security'dir.

Dördüncü sütun, modüle ek parametreler iletmek içindir. Tüm modüllerin parametreleri yoktur ve varsa kullanılmayabilirler. Bir modüle parametre iletmek, davranışını bir şekilde değiştirmenize olanak tanır.

Liste 1.7, WSWS'yi oluşturan PAM modüllerini listeler.

Listeleme 1.7. WSWS'nin parçası olan RAM modüllerinin listesi

pam_rhosts_auth.so

pam_securetty.so

pam_unix_acct.so

pam_unix_auth.so

pam_unix_passwd.so

pam_unix_session.so

Modüller hakkında daha fazla bilgi

Pam_access.so modülü, /etc/security/access.conf dosyasına dayalı olarak erişim vermek/reddetmek için kullanılır. Bu dosyadaki satırlar aşağıdaki biçime sahiptir:

haklar: kullanıcılar: kimden

İzinler - + (izin ver) veya - (reddet)

Kullanıcılar - ALL, username veya user@host, burada ana bilgisayar yerel makine adıyla eşleşir, aksi takdirde giriş yoksayılır.

Kimden - bir veya daha fazla terminal dosya adı (/dev/ öneki olmadan), ana bilgisayar adları, etki alanı adları (nokta ile başlayan), IP adresleri, TÜMÜ veya YEREL.

pam_cracklib.so modülü, parolaları bir sözlüğe göre kontrol eder. Yeni bir parolayı doğrulamak ve yaygın kullanılan sözcükler, tekrarlanan karakterler içeren parolalar ve çok kısa parolalar gibi kırılması kolay parolaların sistemde kullanılmasını önlemek için tasarlanmıştır. İsteğe bağlı parametreler vardır: debug, type= ve retry=. Hata ayıklama seçeneği, hata ayıklama bilgilerinin günlük dosyasına yazılmasını sağlar. Bir dize tarafından takip edilen type parametresi, varsayılan NewUnixpassword'ü değiştirir: Unix sözcüğünü belirtilen dizeye değiştirmek için komut istemi. retry parametresi, kullanıcıya bir parola girmesi için verilen deneme sayısını belirtir, ardından bir hata döndürülür (varsayılan, bir denemedir).

Listeleme 1.8'i düşünün. /etc/pam.d/other dosyasının içeriğini gösterir. Bu dosya, /etc/pam.d dizininde kendi yapılandırma dosyalarına sahip olmayan hizmetler için PAM motoru tarafından kullanılan yapılandırmayı içerir. Başka bir deyişle, bu dosya PAM sistemi tarafından bilinmeyen tüm hizmetler için geçerlidir. Her biri gerekli bayrakla işaretlenmiş pam_deny.so modülünü çağıran dört tür yetkilendirme, kimlik doğrulama, hesap, parola ve oturum sağlar. Böylece bilinmeyen servisin çalıştırılması engellenmiş olur.

Listeleme 1.8. DOSYA /etc/pam.d/other

yetkilendirme gerekli pam_deny.so

yetkilendirme gerekli pam_warn.so

hesap gerekli pam_deny.so

şifre gerekli pam_deny.so

şifre gerekli pam_warn.so

oturum gerekli pam_deny.so

pam_dialup.so modülü, /etc/security/ttys.dialup dosyasını kullanarak uzak bir terminale veya terminallere erişmek için parola gerekip gerekmediğini kontrol eder. Modül yalnızca ttyS'ye değil, genel olarak herhangi bir tty terminaline uygulanabilir. Parola gerektiğinde, /etc/security/passwd.dialup dosyasındakiyle karşılaştırılır. passwd.dialup dosyasındaki değişiklikler dpasswd programı tarafından işlenir.

pam_group.so modülü, /etc/security/group.conf dosyasının içeriğine göre yapılan kontrolleri yönetir. Bu dosya, dosyada belirtilen kullanıcının belirli koşulları sağlaması durumunda üye olabileceği grupları belirtir.

Pam_lastlog.so modülü, kullanıcının ne zaman ve nereden oturum açtığına ilişkin bilgileri lastlog dosyasına yazar. Tipik olarak, bu modül oturum türü ve isteğe bağlı bayrakla işaretlenir.

pam_limits.so modülü, oturum açmış kullanıcılara çeşitli kısıtlamalar uygulamanıza izin verir. Bu kısıtlamalar, kök kullanıcı (veya boş kimliğe sahip başka herhangi bir kullanıcı) için geçerli değildir. Kısıtlamalar oturum açma düzeyinde belirlenir ve genel veya kalıcı değildir, yalnızca tek bir oturum açmada geçerlidir.

pam_lastfile.so modülü bir girdi (öğe) alır, dosyadaki listeyle karşılaştırır ve karşılaştırmanın sonuçlarına göre BAŞARI (BAŞARI) veya BAŞARISIZ (BAŞARISIZ) döndürür. Bu modülün parametreleri aşağıdaki gibidir:

Öğe=[terminal kullanıcı | uzak_ana bilgisayar | uzak_kullanıcı | grup| kabuk]

Sense= (döndürülecek durum; listede giriş bulunduğunda, aksi takdirde tam tersi durum döndürülür)

file=/full/path/and/file_name - onerr= (bir hata oluşursa hangi durumun döndürüleceği)

App1y=[user|@group] (kısıtlanacak kullanıcıyı veya grubu belirtir. Yalnızca item=[terminal | remote_host | shell] gibi girişler için anlamlıdır, item=[user | remote_user | group] gibi girişler için yoksayılır)

pam_nologin.so modülü, auth tipinin gerekli bayrakla yetkilendirilmesi için kullanılır. Bu modül, /etc/nologin dosyasının var olup olmadığını kontrol eder ve yoksa SUCCESS döndürür, aksi takdirde dosyanın içeriği kullanıcıya gösterilir ve FAILURE döndürülür. Bu modül genellikle sistem henüz tam olarak çalışır durumda olmadığında veya bakım için geçici olarak kapatıldığında ancak ağ bağlantısı kesilmediğinde kullanılır.

pam_permit.so modülü, pam_deny.so modülünün tamamlayıcısıdır. Her zaman BAŞARI döndürür. Modül tarafından iletilen herhangi bir parametre dikkate alınmaz.

pam_pwdb.so modülü, passwd ve shadow dosyalarına bir arayüz sağlar. Aşağıdaki seçenekler mümkündür:

Hata ayıklama - hata ayıklama bilgilerini günlük dosyasına yazma;

Denetim - yeterli sıradan hata ayıklama bilgisine sahip olmayanlar için ek hata ayıklama bilgisi;

Use_first_pass - kullanıcıdan asla parola istemeyin, parolayı önceki yığın modüllerinden alın;

Try_first_pass - önceki modüllerden şifreyi almaya çalışın, başarısızlık durumunda kullanıcıya sorun;

Use_authtok - pam_authtok ayarlanmamışsa bir FAILURE değeri döndürün, kullanıcıdan bir parola istemeyin, ancak onu önceki yığın modüllerinden alın (yalnızca parola türündeki bir modül yığını için);

not_set_pass - bu modülden gelen şifreyi sonraki modüller için şifre olarak ayarlamayın;

Gölge - gölge şifre sistemini destekler;

Unix - /etc/passwd dosyasına parola koyun;

Md5 - bir sonraki şifre değişikliği için md5 şifrelerini kullanın;

Bigcrypt - bir sonraki parola değişikliğinizde DECC2 parolalarını kullanın;

Nodelay - başarısız yetkilendirmede bir saniyelik gecikmeyi devre dışı bırakın.

pam_rhosts_auth.so modülü, .rhosts veya hosts.equiv dosyalarının kullanımına izin verir/reddeder. Ayrıca, bu dosyalarda "tehlikeli" girdilerin kullanılmasına da izin verir/red eder. Bu modülün parametreleri aşağıdaki gibidir:

No_hosts_equiv - /etc/hosts.equiv dosyasını yok sayın;

No_rhosts - /etc/rhosts veya ~/.rhosts dosyasını yok sayın;

Hata ayıklama - hata ayıklama bilgilerini günlüğe kaydedin;

Şimdi uyar - uyarıları görüntüleme;

Bastır - herhangi bir mesaj gösterme;

Karışık - Herhangi bir alanda "+" joker karakterinin kullanılmasına izin verin.

pam_rootok.so modülü, boş kimliğe sahip herhangi bir kullanıcı için bir BAŞARI değeri döndürür. Yeterli bayrağı ile işaretlendiğinde, bu modül bir parola belirtmeden hizmete erişim sağlar. Modülün yalnızca bir parametresi vardır: hata ayıklama.

pam_securetty.so modülü yalnızca süper kullanıcılara karşı kullanılabilir. Bu modül /etc/securetty dosyasıyla çalışır ve süper kullanıcının yalnızca bu dosyada listelenen terminaller aracılığıyla oturum açmasına izin verir. Telnet (sözde terminal ttyp) aracılığıyla kök oturum açmaya izin vermek istiyorsanız, bu dosyaya ttyp0-255 için satırlar eklemelisiniz veya oturum açma hizmeti için dosyada pam_securetty.so çağrısını yorumlamalısınız.

/etc/passwd dosyasında belirtilen kullanıcı kabuğu /etc/shells dosyasında listeleniyorsa pam_shells.so modülü BAŞARI döndürür. /etc/passwd dosyası kullanıcıya herhangi bir kabuk atamıyorsa, /bin/sh başlatılır. /etc/passwd dosyası, /etc/shells içinde listelenmeyen bir kullanıcı için bir kabuk belirtirse, modül FAILURE döndürür. /etc/shells dosyasına yalnızca süper kullanıcının yazmasına izin verilmelidir.

pam_stress.so modülü şifreleri yönetmek için kullanılır. Değişmeyen hata ayıklama da dahil olmak üzere birçok parametreye sahiptir, ancak genel durumda, tüm parametrelerden yalnızca ikisi ilgi çekicidir:

Rootok - süper kullanıcının eski şifreyi girmeden kullanıcı şifrelerini değiştirmesine izin verin;

Süresi Doldu - Bu seçenekle, modül, kullanıcı parolasının süresi dolmuş gibi yürütülür.

Diğer modül seçenekleri, bu iki moddan herhangi birini devre dışı bırakmanıza, başka bir modülden bir şifre kullanmanıza veya başka bir modüle bir şifre iletmenize vb. izin verir. bu modül, modül belgelerindeki açıklamaları okuyun.

WSWS, varsayılan olarak /etc/pam.d'deki dosyalarda pam_tally.so modülünü kullanmaz. Bu modül, yetkilendirme girişimlerini sayar. Başarılı bir yetkilendirmenin ardından, deneme sayısı sayacı sıfırlanabilir. Başarısız bağlantı denemelerinin sayısı belirli bir eşiği aşarsa erişim reddedilebilir. Varsayılan olarak, denemelerle ilgili bilgiler /var/log/faillog dosyasına yerleştirilir. Küresel seçenekler şunlardır:

Onerr= - örneğin dosya açılamamış gibi bir hata oluşursa ne yapılmalı;

File=/full/path/and/file_name - yoksa, varsayılan dosya kullanılır. Aşağıdaki parametre yalnızca auth türü için anlamlıdır:

No_magic_root - süper kullanıcı için deneme sayısını açar (varsayılan gerçekleştirilmez). Telnet yoluyla root oturumuna izin veriliyorsa kullanışlıdır. Aşağıdaki seçenekler yalnızca hesap türü için anlamlıdır:

Reddet=n - n denemeden sonra erişimi reddet. Bu seçeneği kullanırken, reset/no_reset modülünün varsayılan davranışı no_reset'ten reset'e değiştirilir. Bu, no_magic_root seçeneği kullanılmadığı sürece kök kullanıcı (UID 0) dışındaki tüm kullanıcılar için olur;

No_magic_root - Kök kullanıcı tarafından yapılan erişim girişimleri için reddetme seçeneğini göz ardı etmeyin. reddetme= seçeneğiyle birlikte kullanıldığında (daha önce bakın), kök kullanıcı için varsayılan davranış, diğer tüm kullanıcılar için olduğu gibi sıfırlanacak şekilde ayarlanır;

Even_deny_root_account - no_magic_root seçeneği mevcutsa süper kullanıcı hesabının kilitlenmesine izin verir. Bu bir uyarı oluşturur. no_magic_root seçeneği kullanılmazsa, başarısız deneme sayısına bakılmaksızın, süper kullanıcı hesabı, normal kullanıcı hesaplarının aksine asla kilitlenmez;

Sıfırla - başarılı oturum açmanın ardından deneme sayısı sayacını sıfırlayın;

No_reset - başarılı oturum açma girişimi sayısı sayacını sıfırlamayın; deny= belirtilmediği sürece varsayılan olarak kullanılır.

pam_time.so modülü, bir hizmete erişimi zamana dayalı olarak kısıtlamanıza izin verir. Kurulum için tüm talimatlar /etc/security/time.conf dosyasında bulunabilir. Hiçbir parametresi yoktur: her şey konfigürasyon dosyasında ayarlanmıştır.

pam_unix modülü, normal WSWS yetkilendirmesini işler (bunun yerine genellikle pam_pwdb.so kullanılır). Fiziksel olarak bu modül, her biri PAM türlerinden birine karşılık gelen dört modülden oluşur: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so ve pam_unix_passwd.so. Hesap ve kimlik doğrulama türleri için modüllerde parametre yoktur. Modül, passwd türü için yalnızca bir parametreye sahiptir:strict=false. Varsa, modül parolaların kırılmaya karşı dayanıklı olup olmadığını kontrol etmez ve güvenli olmayan (kolayca tahmin edilen veya kaba kuvvet) parolalar da dahil olmak üzere gelişigüzel kullanımına izin verir. Oturum türü modülü iki parametreyi anlar: hata ayıklama ve izleme. Debug seçeneğinin debug bilgisi syslog.conf'ta belirtildiği gibi debug bilgi log dosyasına, trace opsiyonu bilgisi de hassasiyeti nedeniyle authpriv log'una yerleştirilmiştir.

pam_warn.so modülü, syslog'a yaptığı çağrı hakkında bir mesaj kaydeder. Parametreleri yok.

pam_wheel.so modülü, yalnızca tekerlek grubunun üyelerinin süper kullanıcı olmasına izin verir. Çark grubu, üyeleri sıradan kullanıcılardan daha fazla, ancak süper kullanıcıdan daha az ayrıcalıklara sahip olan özel bir sistem grubudur. Varlığı, süper kullanıcı ayrıcalıklarına sahip sistem kullanıcılarının sayısını azaltmanıza, onları tekerlek grubunun üyeleri haline getirmenize ve böylece sistem güvenliğini artırmanıza olanak tanır. Süper kullanıcı yalnızca bir terminal ile oturum açabiliyorsa, bu modül, kullanıcıların süper kullanıcı ayrıcalıklarına sahip telnet yapmasını imkansız kılmak için kullanılabilir ve tekerlek grubuna ait olmadıkça erişimlerini reddeder.Modül aşağıdaki parametreleri kullanır:

Hata ayıklama - hata ayıklama bilgilerinin günlüğe kaydedilmesi;

Use_uid - Kullanıcının oturum açma sırasında atanan kimliğine göre değil, kullanıcının mevcut kimliğine göre sahipliği belirleyin.

Güven - kullanıcı tekerlek grubuna aitse, IGNORE yerine BAŞARI döndürün;

Reddet - prosedürün anlamını tersine çevirir (BAŞARISIZ döndürür). group= ile birlikte, bu grubun üyelerine erişimi reddetmenize olanak tanır.

NOT -

/etc/security dizini /etc/pam.d dizini ile ilişkilidir çünkü /etc/pam.d dosyalarında adı geçen çeşitli PAM modülleri için yapılandırma dosyalarını içerir.

Günlük dosyalarındaki RAM girişleri

Listeleme 1.9. /var/log/secure içeriği

11 Ocak 16:45:14 chiriqui PAM_pwdb: (su) root kullanıcısı için oturum açıldı

11 Ocak 16:45:25 chiriqui PAM_pwdb: (su) root kullanıcısı için oturum kapatıldı

11 Ocak 17:18:06 chiriqui oturum açma: FAILED LOGIN 1 FROM (null) David İÇİN,

Kimlik doğrulama hatası

11 Ocak 17:18:13 chiriqui oturum açma: david İÇİN (null)'DAN BAŞARISIZ GİRİŞ 2.

Kimlik doğrulama hatası

11 Ocak 17:18:06 chiriqui oturum açma: David İÇİN (boş)'DAN 1 GİRİŞ BAŞARISIZ.

Kimlik doğrulama hatası

11 Ocak 17:18:13 chiriqui oturum açma: FAILED LOGIN 2 FROM (null) David İÇİN,

Kimlik doğrulama hatası

11 Ocak 17:18:17 chiriqui PAM_pwdb: (giriş) david kullanıcısı için oturum açıldı

11 Ocak 17:18:17 chiriqui -- david: david TARAFINDAN tyl ON GİRİŞİ

11 Ocak 17:18:20 chiriqui PAM_pwdb: (oturum açma) david kullanıcısı için oturum kapatıldı

Her giriş bir tarih, saat ve ana bilgisayar adıyla başlar. Bunu köşeli parantez içinde PAM modülünün adı ve işlem kimliği takip eder. Ardından parantez içinde kısıtlı hizmetin adı gelir. Liste 1.9 için bu, su veya oturum açmadır. Hizmet adının ardından "sessionopened" (oturum açık) veya "sessionclosed" (oturum kapalı) gelir.

"oturum açıldı" girişinin hemen ardından gelen giriş, size kimin ve nereden oturum açtığını bildiren bir oturum açma mesajıdır.

Aşağıdaki sorular değerlendirilmektedir:

Varsayılan kullanıcı grubu ve özel kullanıcı grupları nedir;

Kullanıcıyı/grubu değiştir;

Kullanıcıyı/grubu değiştirmek GUI'yi nasıl etkiler;

Güvenlik ve kullanıcılar;

Güvenlik ve şifreler;

Parola koruması;

İyi bir şifre seçmek;

Şifre kırma.

varsayılan grup

Şu anda, bir seferde yalnızca bir gruba ait olan bir kullanıcı için artık bir kısıtlama yoktur. Herhangi bir kullanıcı aynı anda birkaç gruba ait olabilir. newgrp komutu ile kullanıcı, komutta belirtilen grubun üyesi olur ve bu grup bu kullanıcı için olur. giriş grubu(giriş grubu). Bu durumda kullanıcı, newgrp komutu çalıştırılmadan önce üyesi olduğu grupların üyesi olarak kalır. Oturum açma grubu, kullanıcı tarafından oluşturulan dosyaların grup sahibi olan gruptur.

Varsayılan grup ile özel kullanıcı grupları arasındaki fark, iki şemanın açıklık derecesidir. Varsayılan grubu olan bir şema durumunda, herhangi bir kullanıcı başka bir kullanıcının dosyalarını okuyabilir (ve genellikle değiştirebilir). Bununla birlikte, özel gruplarda, başka bir kullanıcı tarafından oluşturulan bir dosyayı okumak veya yazmak, yalnızca sahibinin bu işlemler için diğer kullanıcılara açıkça hak vermesi durumunda mümkündür.

Kullanıcıların bir sistem yöneticisinin müdahalesi olmadan bir gruba katılıp ayrılabilmelerini istiyorsanız, o gruba bir parola atayabilirsiniz. Bir kullanıcı, yalnızca o gruba aitse, belirli bir grubun ayrıcalıklarını kullanabilir. Burada iki seçenek vardır: ya giriş yaptığı andan itibaren gruba dahil olur ya da daha sonra sistemle çalışmaya başladıktan sonra gruba üye olur. Bir kullanıcının ait olmadığı bir gruba katılabilmesi için o gruba bir şifre atanması gerekir.

Varsayılan olarak WSWS, grup parolaları kullanmaz, dolayısıyla /etc dizininde gshadow dosyası yoktur.

Rutin kullanıcı yönetimi görevlerini gerçekleştirmek için sürekli olarak programlardan yalnızca birini (useradd, LISA veya COAS) kullanıyorsanız, kullanıcı ayarları dosyaları daha tutarlıdır ve bakımı daha kolaydır.

Varsayılan grup şemasının yararı, kullandığınızda dosya izinleri konusunda endişelenmeniz gerekmediğinden dosyaları paylaşmayı kolaylaştırmasıdır. Bu şema, "yasaklanmayan her şeye izin verilir" ilkesine göre sisteme açık bir yaklaşım anlamına gelir.

Kullanıcı varsayılanlarını ayarlamak, sistemi kurar kurmaz tamamlanması gereken yüksek öncelikli bir görevdir.

Özel kullanıcı grupları

Özel kullanıcı grupları, kullanıcı adlarıyla aynı adlara sahiptir. Özel grup oturum açma grubu yapılır, bu nedenle varsayılan olarak, yani dizin öznitelikleri aksini belirtmedikçe, kullanıcının tüm dosyalarının sahibi olan grup olarak atanır.

Bir kullanıcının özel gruplarının avantajı, kullanıcıların dosyalarına erişimi kısıtlamayı düşünmelerine gerek kalmamasıdır: varsayılan olarak, kullanıcı dosyalarına erişim, oluşturuldukları andan itibaren kısıtlanır. WSWS'de, özel grupları kullanırken bir kullanıcı yalnızca kendisine ait dosyaları okuyabilir veya değiştirebilir. Ayrıca, yalnızca ana dizininde dosya oluşturabilir. Bu varsayılan davranış, hem bireysel dosya düzeyinde hem de dizin düzeyinde sistem yöneticisi veya kullanıcı tarafından değiştirilebilir.

Kullanıcının adını ve/veya ait olduğu grubu veya altında programın çalıştığı adı veya grubu kontrol edebileceği birkaç komut vardır. Böyle bir program newgrp'dir.

newgrp komutu herhangi bir kullanıcı tarafından çalıştırılabilir. Ait olmadığı bir gruba katılmasına izin verir, ancak yalnızca bu gruba bir parola atanmışsa. Bu komut, o grubun üyesi değilseniz, bir gruba parola olmadan katılmanıza izin vermez.

newgrp komutu, kullanıcının zaten üyesi olduğu bir grup üzerinde kullanılabilir. Bu durumda, newgrp belirtilen grubu oturum açma grubu yapar. Bir kullanıcının grupları iki türe ayrılır: oturum açma grubu ve kullanıcının ait olduğu diğer tüm gruplar. Bir kullanıcı birden fazla gruba ait olabilir, ancak kullanıcı tarafından oluşturulan dosyalara sahip olan grup her zaman kullanıcının oturum açma grubu olacaktır.

newgrp'ye ek olarak, bir dosyanın hangi kullanıcı veya gruba ait olduğunu kontrol etmek için chown ve chgrp komutlarını da kullanabilirsiniz.

XWindow ortamındaki newgrp komutunun kapsamı, yürütüldüğü xterm programı ile sınırlıdır: yalnızca bu uçbirim aracılığıyla başlatılan programlar, yeni grup bağlamında yürütülecektir; bu, kullanıcının bunu değiştirmek için kullanamayacağı anlamına gelir. pencere yöneticisi aracılığıyla başlatılan programlar için oturum açma grubu. Her zaman ikincil bir grup bağlamında çalıştırılması gereken bir program, kendisini gerekli oturum açma grubuna ayarlayan bir komut dosyası aracılığıyla çalıştırılabilir.

XWindow sistemi, kullanıcıların hayatlarına her zaman ek zorluklar getirir. Bu durumda, bu zorluklar doğrudan X ile ilgili değildir, /etc/groups ve /etc/gshadow mantığından kaynaklanır. Gruplar için gölge şifre kullanmayanların endişelenecek pek bir şeyleri yok. X söz konusu olduğunda, basit bir komut dosyasından parola korumalı bir grup kurmak mümkün değildir, ancak bir kullanıcının parola gerektirmeyen ikincil grupları için grubu değiştirmek son derece basittir. Aşağıdaki komut dosyası yeterli olacaktır:

sg - gifler -c /usr/X11R6/bin/xv &

Bu betik, xv programını birincil grup olarak grup gifleri ile başlatacak. Almanız gereken şey bu.

Gölge grup şifreleri kullananlar için daha zordur çünkü bu durumda bu betiği çalıştırırken ekranda bir hata mesajı çıkacaktır. /etc/groups dosyası bir gruba ait olan kullanıcıları listelediğinde, bunlardan herhangi biri oturum açar açmaz otomatik olarak grubun bir üyesi olarak kabul edilir. Ancak gölge şifrelerde grup kullanıcılarının listesi /etc/gshadow dosyasına taşınmıştır, böylece sistemde oturum açan kullanıcı otomatik olarak kendi üyelerine kaydolmaz, bununla katılabilir. newgrp komutu veya onun adına herhangi bir programı sg komutuyla yürütün. Sorun şu ki, X'in bakış açısından, bu kullanıcının (X iş oturumunu başlatan kullanıcı olması gerekmez) bir bağlantı kurma hakkı yoktur. Bu nedenle, şifre korumalı olmayan gruplar için yukarıdaki komut dosyası aşağıdaki gibi değiştirilmiştir:

xhosts +yerel ana bilgisayar

sg - gifler -c /usr/X11R6/bin/xv &

Eklenen satır, yeni bir grubun (gifler) ekrana erişmesini sağlar. Çoğu iş istasyonu için, bu herhangi bir büyük güvenlik sorununa neden olmamalıdır, çünkü bu satır yalnızca yerel ana bilgisayardaki kullanıcılara ekran erişimi sağlar (X ve xhost hakkında daha fazla bilgi için, iyi bir Linux sistem yöneticisi kılavuzuna bakın).

NOT

X sunucusunu kullanmak (özellikle xdm veya kdm ile bağlantılı olarak), yalnızca komut satırından değil, aynı zamanda grafik masaüstündeki bir simgeden de başlatılabildiğinden, grafik uygulamalarla daha da şiddetlenen bir dizi incelik gerektirir.

kullanıcı değişikliği

NOT

Normal bir kullanıcı, bir sisteme dikkatsiz bir süper kullanıcı kadar zarar veremez. Bir süper kullanıcı olarak yaptığınız yazım hatalarının sonuçları, tüm sistem dosyalarınıza (ve hatta sistemde depolanan tüm dosyalara) veda edilebilecek noktaya kadar oldukça ölümcül olabilir. Bazı şirketler daha sonra size de veda edebilir.

su komutu bir kullanıcıyı diğerine dönüştürür. Ekip adını buradan almıştır. « yerine geçmek kullanıcı » (kullanıcı ikamesi), ancak en yaygın olarak süper kullanıcı olmak için kullanıldığından..

Argümansız çağrılan su komutu, kullanıcıdan bir parola ister ve ardından (yanıt olarak doğru parolayı almak) sizi kök kullanıcı yapar. Bu komut kısıtlı bir hizmettir, dolayısıyla güvenliğinin tüm yönleri /etc/pam.d/su dosyası aracılığıyla yapılandırılabilir.

NOT -

Bir kullanıcı adı belirtmeden (tireli veya tiresiz) su çağırmak, sizi kök kullanıcı yapmak için bir talimat olarak kabul edilir.

Bu sudo komutu, seçilen kullanıcıların bazı programları root olarak çalıştırmasını sağlar ve bu komuta erişen kullanıcıdan root şifresi değil, kendi şifresi istenir. Sudo tarafından sg komutu gibi kullanılır. Kullanıcı sudo command_to_execute, ardından parolasını yazar ve izin verilirse, belirtilen komut süper kullanıcı ayrıcalıkları bağlamında yürütülür.

Güvenlik ve Kullanıcılar

Kullanıcılar genellikle yalnızca nasıl oturum açacakları ve ihtiyaç duydukları programları nasıl çalıştıracakları ile ilgilenirler. Güvenliğe olan ilgileri, yalnızca önemli dosyaların kaybından sonra ortaya çıkar. Ama uzun sürmez. Önlemlerin alındığını öğrenen kullanıcılar, herhangi bir önlemi hızla unutur.

Genel olarak konuşursak, bu onların endişesi değil - güvenlik. Sistem yöneticisi, kullanıcıların kendi kapsamları dışındaki güvenlik sorunlarıyla dikkatleri dağılmadan işlerini yapmalarına olanak tanıyan bir güvenlik politikası tasarlamalı, uygulamalı ve sürdürmelidir.

Sisteme yönelik ana tehlike, kural olarak, dışarıdan değil içeriden gelir. Kaynağı (özellikle büyük sistemlerde) örneğin kızgın bir kullanıcı olabilir. Ancak cehaletten kaynaklanan zarar kötü niyetle karıştırıldığında aşırı şüpheden kaçınılmalıdır. Kullanıcıların kendi ve diğer kişilerin dosyalarına kasıtsız olarak gelebilecek zararlardan nasıl korunacağı kitabın ilk bölümünde anlatılmaktadır. Pratikte görüldüğü gibi, ortalama bir kullanıcı sisteme zarar veremez. Yalnızca koruma mekanizmalarında bir boşluk bulabilen ve gerçekten sisteme hedefli zarar verebilecek kullanıcılar için endişelenmeniz gerekir. Ancak bu tür kullanıcılar genellikle azdır ve özellikle ne arayacağınızı biliyorsanız, zamanla bilinir hale gelirler. Risk grubu, konumları nedeniyle veya bağlantıları sayesinde kök ayrıcalık düzeyinde erişim elde edebilen kullanıcıları içerir. Bu kitaptaki malzemede ustalaştıkça, yaklaşan bir sorun belirtisi olarak nelere bakmanız gerektiğini öğreneceksiniz.

Varsayılan olarak, kullanıcılar ana dizinleri üzerinde tam denetime sahiptir. Varsayılan grubu kullanırsanız, tüm sistem kullanıcıları aynı gruba aittir. Herhangi bir kullanıcı, diğer kullanıcıların ev dizinlerine ve bunlarda bulunan dosyalara erişme hakkına sahiptir. Şemayı özel kullanıcı gruplarıyla kullanırken, sistemin herhangi bir kullanıcısı yalnızca kendi ana dizinine erişebilir ve diğer kullanıcıların ana dizinlerine erişemez.

Sistemin tüm kullanıcılarının bazı ortak dosyaları paylaşması gerekiyorsa, özellikle bu amaç için bir yerde paylaşılan bir dizin oluşturmanız, tüm kullanıcıların üye olacağı bir grup oluşturmanız önerilir (bu, kullanıcılar grubu veya başka herhangi bir grup olabilir) oluşturduğunuz) ve bu gruba bu paylaşılan dizine uygun erişim haklarını verin. Bir kullanıcı, dosyalarından bazılarını diğer kullanıcıların kullanımına açmak isterse, bunları bu dizine kopyalayabilir ve bu dosyaların, tüm kullanıcıların üyesi olduğu aynı gruba ait olmasını sağlayabilir.

Bazı kullanıcıların, WSWS'ye dahil olmayan programları kullanması gerekir veya bunlar olmadan yapamaz. Çoğu kullanıcı zamanla kendi dosyalarına sahip olur: belgeler, yapılandırma dosyaları, betikler, vb.OpenLinux sistemi, kullanıcılara dosyalarını düzenlemede pek yardımcı olmaz, bu görevi sistem yöneticisine bırakır.

Her yeni kullanıcının ana dizininde oluşturulan dizin yapısı, /etc/skel dizininin içeriği tarafından belirlenir. Tipik bir /etc/skel genellikle aşağıdaki dizinleri içerir:

Bu dizinler (sırasıyla) ikili dosyaları, kaynak dosyaları, belge dosyalarını ve diğer çeşitli dosyaları depolamak için kullanılır. Çoğu program, varsayılan olarak belirli dosya türlerini bu alt dizinlerden birine kaydetmeyi sunar. Kullanıcılar ellerindeki dizinlerin amacından haberdar olduklarında, genellikle onları kullanmaya istekli olurlar, çünkü bu onları kendilerine ait bir şey bulmak zorunda bırakmaktan kurtarır. ~/bin dizinini, kullanıcıların PATH değişkeninde listelenen son dizinlerden biri yapmayı unutmayın.

Güvenlik ve şifreler

Zayıf olduğu yerde kırılır derler - bu söz, bir güvenlik sisteminde parolaların önemi söz konusu olduğunda genellikle hatırlanır. Genel olarak konuşursak, bir güvenlik sisteminin gücü, WSWS sisteminin dış kullanıcılara hangi hizmetleri sunduğu (bir web sunucusu olarak kullanılıp kullanılmadığı, telnet kullanılarak oturum açılıp açılamayacağı vb.) gibi birçok faktör tarafından belirlenir. Diğer bir belirleyici faktör, bizi başka bir faktöre, yani güvenlik politikalarına kullanıcı uyumuna götüren kullanıcı şifreleridir. Basit bir kullanıcı güvenlik hakkında hiçbir şey bilmek istemez. Kullanıcıya saygı duyuyor ve zorlayıcı yöntemlerle güvenliğe karşı tutumunu değiştirmek istemiyorsak, güvenlik sistemini onun için uygun ve anlaşılır hale getirmeliyiz. Konfor, yapılması en zor şeydir. Güvenli olan her şey genellikle çok uygun değildir (çünkü rahatlığın arkasında güvenlikle bağdaşmayan öngörülebilirlik ve temellik vardır) ve bu nedenle, mümkün olan tüm yollara en uygun yolu tercih eden insanların olağan davranışlarıyla çelişir. Sonuçta, kullanıcılar kendilerine verilen işi tamamlamak ve kendilerine yenilerini eklemek için değil, sistemle çalışırlar. Kullanıcıların parolalarla uğraşırken kasıtlı olarak en az dirençli yolu seçmelerini önlemek için, genellikle onlara parolaların ne işe yaradığını ve onları güvende tutmanın neden önemli olduğunu açıklamaya çalışırım. "Güvenliği düşük bir sistem hacklenebilir ve önemli dosyalar çalınabilir veya zarar görebilir" gibi genel bir konum açısından değil, kullanıcının kişisel çıkarları açısından önemlidir.

Çoğu kullanıcı, işleri için e-postanın önemini anlıyor. Ancak fark etmedikleri şey, kendi adlarıyla oturum açan herkesin e-postalarını kendi adlarına kendilerine karşı kullanma yetkisine sahip olmasıdır. Kullanıcıya kişisel amaçlar için e-posta kullanıp kullanmadıklarını sorun. Büyük olasılıkla, evet cevabını verecektir. Daha sonra, önemli işle ilgili konuları e-posta yoluyla halletmek zorunda kalıp kalmadığını sorun. Her gün “hayır” diyenlerin sayısı giderek azalıyor. Ancak cevap hayır olsa bile iş ortaklarından bazıları e-posta işlemini telefon işlemi kadar bağlayıcı kabul edebilir.

Ardından kullanıcıya e-postalarının bazen kişisel imzası kadar önemli olduğunu açıklayın. Bir e-postanın başlığını değiştirmek mümkün olsa da, çoğu durumda böyle bir değişiklik, sahte imza kadar yasa dışıdır. Ancak bir şekilde başka bir kullanıcının şifresini öğrenmiş olan biri sisteme kendi adıyla girerse, o zaman mecazi anlamda başka bir kişinin imzasıyla imza atabilecektir. Kendisi tarafından gönderilen herhangi bir posta, teknik olarak kullanıcının kendisi tarafından gönderilen postalardan ayırt edilemez. Bir kişiye farklı bir adla oturum açma yeteneği verme uygulaması istenmeyen bir durumdur ve bundan kaçınılmalıdır (oturum açma komut dosyalarını ve kullanıcı ayarlarını test etmek için bu yeteneği kullanan ancak bunu yapmak için kullanıcının parolasını bilmesi gerekmeyen sistem yöneticileri hariç) Bu yüzden). İstenmeyen fenomenler, sahte bir adla oturum açmayı içerir (başka bir kullanıcının izniyle bile). Bu ne kadar istenmeyen bir durum? Bu sorunun cevabı, kurumsal güvenlik politikasının katılığı ile belirlenir.

Ancak kullanıcılar, hesaplarına yetkisiz erişim sağlamanın eşit derecede tehlikeli başka yolları olduğunun farkında olmalıdır. En yaygın durum, kullanıcının şifreyi unutmaktan korkması, hatırlamayı kolaylaştırması ve bu nedenle tahmin etmesi veya şifreyi genellikle monitöre basitçe iliştirilen bir kağıda yazmasıdır. Şifre güvenlik sistemi iki şeye dayanmaktadır: kalıcı bir kullanıcı adı ve periyodik olarak değişen bir şifre. Çoğu kişi, banka hesabına erişmesi için PIN'ini kimseye söylemez, ancak kullanıcı parolalarını neredeyse o kadar korumazlar. Kalıcı kısmın, yani kredi kartının henüz erişilmemiş fiziksel bir nesne olduğu bir banka hesabındaki durumdan farklı olarak, şifre güvenlik sisteminin kalıcı kısmı, yani kullanıcı adı herkes tarafından bilinir (en azından şirket içindeki herkes ve bu kullanıcının e-posta ile yazıştığı kişiler). Bu nedenle, değişken kısım bir yere yazılırsa veya bir sözlükten sözcükleri sıralayan bir program tarafından kolayca tahmin edilir veya alınırsa, böyle bir hesabın iyi korunduğu kabul edilemez.

Son olarak, kullanıcılar "sosyal mühendislik" (sosyal mühendislik) gibi bir parola elde etme yönteminin varlığından haberdar olmalıdır. Çoğumuz hayatımızda "çok kaygan" olarak tanımlanabilecek en az bir kişiyle tanışmışızdır. Bu tür insanlar, ihtiyaç duydukları bilgileri sağlamak için mantıksal olarak oluşturulmuş bir argümana başvurarak diğer insanları ikna etme yeteneğine sahiptir. Ancak başka birinin şifresini bulmanın tek yolu bu değil. Bazen sadece bakmak yeterlidir.

Bu tür olaylara karşı önlem, düzenli şifre değişikliğidir. Elbette şifreyi on yılda bir değiştirebilirsiniz, ancak değişiklikler arasındaki aralıkları çok uzun yapmamak daha iyidir, tıpkı onları çok kısa, örneğin saatte bir yapmamak daha iyidir. Parolayı çok uzun süre değiştirmemek, kendinizi saldırıya uğrama riskine maruz bırakmak anlamına gelir.

NOT-

Sıradan bir kullanıcı kisvesi altında bir yabancının sisteme girmesi, yalnızca bu kullanıcının dosyaları için değil, bir bütün olarak tüm sistem için talihsiz sonuçlara yol açabilir, çünkü bu yabancı, sisteminiz hakkında ne kadar çok şey bilirse, o kadar kolay olur. korumasında delikler bulması onun için olacaktır.

Çalıştırmadan önce betiğin bazı kontroller yaptığını unutmayın: kök ayrıcalık seviyesinde çalışıyor mu, başlangıç ​​UID'si zaten alınmış mı, vb. Ancak, her şeyi kontrol ettiği söylenemez.

şifre kırma

Bir sistemin güvenliğini test etmenin bir yolu, kendinizi bir saldırganın yerine koymak ve güvenliği aşmaya çalışan bir kişinin yapacağı gibi düşünmeye ve hareket etmeye çalışmaktır. Bu, kullanıcılar arasında dolaşmak, bazı monitörlere yazılı bir şifre iliştirilmiş olup olmadığına bakmak, birisi masaya kimlik bilgilerinin yazılı olduğu bir kağıt parçası bırakıp bırakmadığına bakmak veya tam da kullanıcılar oturum açtığında sabah saatlerinde "geçmek" anlamına gelir. içinde (klavyede şifreyi yazan birini görebilirsiniz).

Ayrıca, hassas bilgilere erişen bir kullanıcının başkaları tarafından görülüp görülmediğini görmek için monitör yönüne dikkat edilmesi anlamına gelir. Ayrıca, bu kullanıcılar masalarından ayrıldıklarında şifreyle kilitlenmiş bir ekran koruyucu başlatıyor, oturumu kapatıyor veya hiçbir şey yapmıyorlar mı?

Ancak, şifre güvenlik sisteminin gücünü ve buna karşı kullanıcı tutumlarını test etmenin en iyi yolu, kullanıcı şifrelerini kırmaya çalışmaktır. Düzenli olarak bir şifre kırma programı çalıştırmak, size şifre koruma sisteminizin gücü hakkında oldukça iyi bir tahmin verebilir.

WSWS 3.0 Linux üzerinde geliştirilmiş güvenli, çok kullanıcılı, zaman paylaşımlı, çok görevli bir işletim sistemidir. İşletim sistemi, önleyici çoklu görev, sanal bellek organizasyonu ve tam ağ desteği ile çok düzeyli bir önceliklendirme sistemi sağlar; Intel, MIPS ve SPARC platformlarında çok işlemcili (SMP - simetrik çoklu işlemci) ve küme yapılandırmalarıyla çalışır. WSVS 3.0'ın bir özelliği, bilgisayar donanımının 2. sınıfı için Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu Kılavuz Belgesinin gereksinimlerini karşılayan yetkisiz erişime karşı yerleşik koruma aracıdır. Güvenlik araçları, zorunlu erişim kontrolünü, erişim kontrol listelerini, rol modelini ve gelişmiş denetim araçlarını (olay günlüğü) içerir.

WSWS 3.0 dosya sistemi, Rusça dosya ve dizin adları, sembolik bağlantılar, bir kota sistemi ve erişim hakları listeleri oluşturma becerisiyle birlikte 256 karaktere kadar dosya adlarını destekler. FAT ve NTFS dosya sistemlerini ve ayrıca ISO-9660'ı (CD'ler) bağlamak mümkündür. Kota mekanizması, kullanıcıların disk alanı kullanımını, başlatılan işlem sayısını ve her işleme ayrılan bellek miktarını kontrol etmenizi sağlar. Sistem, kullanıcı tarafından talep edilen kaynaklar belirtilen kotaya yaklaştığında uyarı verecek şekilde yapılandırılabilir.

WSWS 3.0, X Penceresini temel alan bir grafik sistemi içerir. Grafik ortamında çalışmak için iki pencere yöneticisi sağlanmıştır: IceWM ve KDE. WSWS'deki programların çoğu, yalnızca kullanıcıların çalışması için değil, aynı zamanda Windows'tan WSWS'ye geçişleri için de uygun koşullar yaratan grafik odaklıdır.

WSWS 3.0, çekirdeğe ek olarak bir dizi ek yazılım ürünü içeren bir yapılandırmada sunulur. İşletim sisteminin kendisi, otomatik iş istasyonlarının (AWP) organizasyonunda ve otomatik sistemlerin yapımında temel bir unsur olarak kullanılır. Ek yazılım isteğe bağlı olarak kurulabilir ve etki alanı yönetimi ve yönetiminin maksimum otomasyonuna odaklanır, bu da iş istasyonlarının bakım maliyetini düşürmenize ve kullanıcılar tarafından hedef görevlerinin tamamlanmasına odaklanmanıza olanak tanır. Kurulum programı, işletim sistemini önyüklenebilir bir CD'den veya FTP yoluyla ağ üzerinden kurmanıza olanak tanır. Genellikle kurulum sunucusu önce disklerden kurulur ve yapılandırılır, ardından geri kalan bilgisayarlar ağ üzerinden kurulur. Çalışan etki alanındaki kurulum sunucusu, iş istasyonlarındaki yazılımları güncelleme ve geri yükleme görevini gerçekleştirir. Yeni sürüm yalnızca sunucuya yüklenir ve ardından yazılım iş istasyonlarında otomatik olarak güncellenir. İş istasyonlarındaki yazılım hasar görmüşse (örneğin, program dosyası silindiğinde veya çalıştırılabilir veya yapılandırma dosyalarının sağlama toplamları eşleşmediğinde), ilgili yazılım otomatik olarak yeniden yüklenir.

Yükleme sırasında, yöneticiden standart yükleme türlerinden birini veya özel yüklemeyi seçmesi istenir. Standart çalışma alanlarına kurulum yapılırken standart tipler kullanılır ve OS WSWS 3.0'a dayalı çalışma alanlarını düzenlemek için ana tipik seçenekleri kapsar (Şekil 1). Her standart tür, bir dizi yüklü yazılım ürünü, bir disk yapılandırması, bir dizi dosya sistemi ve bir dizi sistem ayarı tanımlar. Özel kurulum, bireysel yazılım paketlerinin seçimine kadar son sistemin belirtilen tüm özelliklerini açıkça ayarlamanıza olanak tanır. Özel bir yükleme seçerseniz, WSWS 3.0'ı zaten başka bir işletim sisteminin (Windows NT gibi) kurulu olduğu bir bilgisayara yükleyebilirsiniz.

WSWS 3.0'ın yapısı, sistemin işleyişinin çeşitli yönleri hakkında bilgiler içeren birleşik bir belgeleme sistemi (ESD) içerir. ESD, bir dokümantasyon sunucusundan ve tarayıcılar aracılığıyla erişilebilen açıklama metinlerini içeren bir veritabanından oluşur. Ek yazılım kurarken, ilgili referans bölümleri ESD veri tabanına kurulur. ESD, her iş yerinde yerel olarak barındırılabilir veya WSWS etki alanında özel bir dokümantasyon sunucusu tahsis edilebilir. İkinci seçenek, toplam disk alanından tasarruf etmek, yönetim sürecini basitleştirmek ve belgeleri güncellemek için büyük WSWS etki alanlarında kullanışlıdır. WSWS 3.0 ile sağlanan Web tarayıcısı aracılığıyla diğer iş istasyonlarından belgelere erişim mümkündür.

WSVS 3.0, hem alfasayısal hem de grafik modlarda Rusçalaştırılmıştır. Aralarında geçiş bir tuş kombinasyonu kullanılarak gerçekleştirilen sanal terminaller desteklenir.

Sistem bütünlüğü açısından kilit nokta, güvenlik öznitelikleri de dahil olmak üzere kullanıcı öznitelikleri belirlendiğinde, erişim kontrol sisteminin kullanıcının çalışmasını daha fazla kontrol edeceği şekilde WSWS'nin yeni kullanıcılarını kaydetme işlemidir. Yetkilendirme modelinin temeli, yeni bir kullanıcı kaydederken girilen bilgilerdir.

İsteğe bağlı erişim kontrolünü uygulamak için, erişim kontrol bitlerinin ve erişim kontrol listelerinin (ACL'ler) geleneksel Unix mekanizmaları kullanılır. Her iki mekanizma da WSWS 3.0 dosya sistemi düzeyinde uygulanır ve dosya sistemi nesnelerine erişim haklarının ayarlanmasına hizmet eder. Bitler, üç kullanıcı kategorisi (sahip, grup, diğerleri) için hakları tanımlamanıza izin verir, ancak bu, yeterince esnek bir mekanizma değildir ve ana bölüm tarafından aynı şekilde kullanılan çoğu işletim sistemi dosyası için hakları ayarlarken kullanılır. kullanıcılar. ACL'ler yardımıyla bireysel kullanıcılar ve/veya kullanıcı grupları düzeyinde haklar belirlenebilir ve böylece hakların belirlenmesinde önemli düzeyde ayrıntı elde edilebilir. Listeler, örneğin birkaç belirli kullanıcı için farklı erişim hakları ayarlamayı gerektiren dosyalarla çalışırken kullanılır.

Geleneksel Unix sistemlerinin güvenlik açısından önemli dezavantajlarından biri, en kapsamlı yetkilere sahip bir süper kullanıcının varlığıdır. WSWS 3.0'ın bir özelliği, süper kullanıcı işlevlerinin merkezi olmamasıdır. Sistem yönetimi görevi, yapılandırma, güvenlik ve denetim yöneticilerinin bulunduğu birkaç bölüme ayrılmıştır. İşletim sistemi açısından, bu yöneticiler, özel yönetim programlarını çalıştırma ve ilgili yapılandırma dosyalarına erişme yeteneği verilen sıradan kullanıcılardır. Sistem yöneticisi hesaplarının oluşturulması, WSWS 3.0'ın yüklenmesi sırasında gerçekleşir.

Yöneticilerin her biri yalnızca kendi görevlerini yerine getirmekten sorumludur; örneğin, yapılandırma yöneticisi dosya sistemlerini, ağ arabirimlerini, sistem hizmetlerini yapılandırmayı vb. yönetir. Güvenlik yöneticisi, güvenlik ilkesinden sorumludur ve güvenlikle ilgili sistem ayarlarını denetler: minimum parola uzunluğu, başarısız kullanıcı oturum açma denemesi sayısı vb. Aynı zamanda, yöneticilerin eylemleri de dahil olmak üzere güvenlikle ilgili tüm olaylar günlüğe kaydedilir. Denetim yönetimi, örneğin denetim günlüklerini "temizleyebilen" denetim yöneticisinin sorumluluğundadır.

Süper kullanıcı işlevlerinin merkezi olmaması, "dört göz" ilkesinin uygulanmasına izin verir. Örneğin, yeni bir WSWS 3.0 kullanıcısını kaydettirmek iki adımlı bir işlemdir. İlk olarak, yapılandırma yöneticisi yeni kullanıcı için bir hesap oluşturur ve ardından güvenlik yöneticisi yeni kullanıcıyı güvenlik veritabanına kaydeder. Ancak bundan sonra yeni bir kullanıcının sisteme girmesi mümkün hale gelir.

Yönetim görevlerini gerçekleştirmek için dağıtım paketi, kullanıcıları, dosyaları, güvenliği, denetimi, sistem genelinde ve ağ ayarlarını yönetmeye yönelik programları içeren "Yönetim Araçları" paketini içerir.

WSWS 3.0 yüklendikten sonra tamamlanması gereken ilk görev, yöneticinin kuruluşta uygulanan güvenlik ilkesini tanımlamasıdır. Bu görevin bileşenlerinden biri, zorunlu erişim denetimi mekanizmasını yapılandırmaktır. Şek. Şekil 2, bir dizi WSWS 3.0 konu ve nesne kimlik bilgilerini yapılandırmanıza izin veren kimlik bilgileri altyapısı yöneticisi programının bir görünümünü gösterir. Program penceresinin üst kısmında, olası değerleri örneğin "gizli değil" ve "gizli" olabilen güvenlik seviyeleri yapılandırılır. Alt kısımda, bilgilerin ait olduğu konu alanını tanımlayan birçok kategori oluşturulmuştur: “çalışanlar”, “teknik araçlar” vb. Birkaç ayrı kategori ve diğer üst kümeler dahil olmak üzere kategorilerin üst kümelerini (örneğin, "Kategori_1_2") oluşturmak mümkündür. Düzeyler hiyerarşik bir düzene sahip olduğundan, düzeylerle çalışmak en çok ondalık biçimde temsil edildiğinde uygundur. Buna karşılık, kategorilerle çalışırken, kategoriler hiyerarşik bir küme olmadığından, onları ikili biçimde temsil etmek uygundur.

Şek. Şekil 3, kullanıcı yönetim programının pencerelerinden birinin görünüşünü göstermektedir. Bu program sadece konfigürasyon ve güvenlik yöneticileri tarafından çalıştırılabilir. Aynı zamanda, her biri yalnızca yönetimi kendi yetkisi dahilinde olan kullanıcı özelliklerini ayarlayabilir veya değiştirebilir.

Şek. Şekil 4, dosya öznitelik değerlerini görüntülemenizi ve değiştirmenizi sağlayan bir dosya yönetim programı penceresinin bir örneğini göstermektedir. Dosya sisteminin ağaç yapısının pencerenin sol tarafında görselleştirilmesi, pencerede gezinmeyi ve istenen dosyayı seçmeyi kolaylaştırır. Sağ kısım, seçilen dosyanın özniteliklerini işlevsel amaçlarına göre gruplanmış olarak gösterir. Her grubun ayrı bir sekmesi vardır. Genel sekmesi, tür, boyut, sabit bağlantı sayısı, isteğe bağlı nitelikler ve zaman damgaları gibi geleneksel Unix dosya özniteliklerini içerir. WSWS 3.0 dosyalarının bir özelliği, zorunlu özniteliklerin varlığı ve isteğe bağlı özniteliklerin bir erişim hakları listesiyle genişletilmesidir. Zorunlu nitelikler "Yetki etiketi" sekmesinde sunulur. Dosyanın ACL'sini yönetmek için "İzinler" sekmesi vurgulanır. Ayrıca, varsayılan olarak bir ACL oluşturmanın mümkün olduğu dizinleri seçerken, "Varsayılan olarak erişim hakları" sekmesi etkinleştirilir. Şek. Şekil 5, ACL dosyasıyla çalışmak için pencerenin görünümünü gösterir. Bir kullanıcı veya grup için hem tek bir giriş hem de aynı erişim haklarına sahip birden fazla giriş eklemek mümkündür. Önceki programda olduğu gibi, dosya yönetimi programını yalnızca yapılandırma ve güvenlik yöneticileri çalıştırabilir. Her biri, dosyanın yalnızca yönetimi kendi yetkisi dahilinde olan özniteliklerini değiştirebilir.

WSWS 3.0 Hizmetleri

WSWS, diğer tüm işletim sistemleri gibi, otomasyon sağlayan ve kullanıcıların iş verimliliğini artıran hizmetlerin ve uygulamaların yürütülmesi için en uygun koşulları yaratmaya hizmet eder.

Herhangi bir işletim sisteminin ana hizmetlerinden biri yazdırma hizmetidir. WSWS 3.0, belgeleri güvenli sistem gereksinimlerine uygun olarak yazdırmanıza olanak tanıyan bir yazdırma sistemi içerir. WSWS 3.0 yazdırma sistemini benzer sistemlerden ayıran özellikleri arasında, bir yazdırma işi oluşturma aşamasında belge gizlilik düzeyini belirlemeye ve otomatik olarak göndermeye izin veren zorunlu erişim kontrol mekanizmasının desteği yer alıyor. işi bu organizasyonda kabul edilen yazdırma kurallarına uygun olarak belirli bir yazıcıya gönderin. Yazdırılan her sayfa, belgeyi yazdıran kullanıcının soyadı ve yazdırma işinin gönderildiği bilgisayarın adı dahil olmak üzere belge kimlik bilgileriyle otomatik olarak etiketlenir. Yazdırma sisteminin avantajlarından biri, yazdırma hizmetine erişen uygulamalara göre değişmezliğidir. Bu, mevcut uygulamalara bağlı olmadığı ve yeni uygulamalar ortaya çıktığında değişmediği anlamına gelir. Sonuç olarak, baskı uygulamaları tabaka işaretlemeyi dikkate almalı ve bunun için boşluk bırakmalıdır. Basım gerçeği, basılı belgelerin çoğaltılmasını kaydetmek için özel bir dergiye kaydedilir. Bu günlükle çalışmak için, bazı kayıt alanlarını görüntülemenizi, düzenlemenizi ve yazdırmanızı sağlayan özel bir program kullanılır (Şek. 6).

WSWS 3.0 güvenlik sisteminin önemli bir unsuru, tanımlama/doğrulama sistemidir. Başarılı bir şekilde kimlik doğrulaması yapmak için kullanıcının doğru parolayı girmesi gerekir. Açıkçası, seçilen şifrenin kalitesi, sistemin davetsiz misafirlerin girmesine karşı direncini belirler. WSWS 3.0, kullanıcı parolaları oluşturmak için özel bir program içerir (Şekil 7).

Etki alanı bilgisayarlarını izlemek için, bir sunucu ve özel aracılardan oluşan bir performans izleme sistemi (CF) kullanılır. Aracılar, etki alanı bilgisayarlarına yüklenir ve durumlarını sunucuya bildirir. CF sistemi, bilgisayarların işleyişinin çeşitli yönleri (işlemlerin durumu, disk alt sistemi, çekirdek alt sistemleri) hakkında bilgi edinmenize ve ağ hizmetlerinin (ftp, ssh, vb.) Sağlığını izlemenize olanak tanır. Sunucu tarafından alınan bilgiler, yalnızca alanın mevcut durumunu gözlemlemeyi değil, aynı zamanda sistemin tüm çalışma süresi boyunca durumunu incelemeyi de mümkün kılan özel günlüklerde toplanır.

WSWS alanı

WSWS 3.0, üzerinde güvenli otomatikleştirilmiş sistemlerin oluşturulduğu etki alanlarını oluşturmak için kullanılır. Fiziksel olarak, etki alanı, çoğu kullanıcı işlerini düzenlemek için kullanılan yerel bir bilgisayar ağı olarak uygulanır. Dosya sunucusu, veritabanı sunucusu, baskı sunucusu, posta sunucusu gibi bazıları paylaşılan kaynakların organizasyonu için gereklidir. Mantıksal olarak, WSWS etki alanı, tek bir güvenlik ilkesi uygulayan ve tek bir yönetim alanı oluşturan bir dizi bilgisayardır. Tek bir güvenlik ilkesi, bir etki alanındaki tüm bilgisayarların tek bir erişim konusu ve nesnesi kümesini, güvenlik özniteliklerini ve isteğe bağlı ve zorunlu erişim denetimi için tek tip kuralları desteklediği anlamına gelir. Bu anlamda WSWS alanı aynı zamanda bir güvenlik alanıdır.

Tek bir yönetim alanı, WSWS etki alanının bilgi kaynaklarının (bilgisayarlar) tek tip yönetimi anlamına gelir. Temeli, WSWS etki alanının tek kullanıcı alanıdır.

• Çalışma alanındaki her etki alanı kullanıcısı için, kullanıcı hakkında gerekli bilgileri (mantıksal ad, parola, tam ad ve kullanıcı güvenlik öznitelikleri) içeren bir hesap tutulur. Bu bilgiler, kullanıcı WSWS alanına girdiğinde onun için kimlik doğrulama/doğrulama prosedürlerini gerçekleştirmek için kullanılır.
• Bu kullanıcının çalışabileceği paylaşılan kaynaklara (sunucu) sahip etki alanındaki her bilgisayarda, onun için işyerindekiyle tamamen aynı hesap vardır.
• Güvenlik yöneticisi çalışma alanı, hesapları, genişletilmiş bilgileri (örneğin, pozisyon, departman adı/numarası) ve ayrıca bilgisayarının adı ve erişim sahibi olduğu tüm sunucular dahil olmak üzere tüm etki alanı kullanıcıları hakkında bilgiler içeren bir veritabanı tutar.

Dolayısıyla hesap, bu kullanıcı için WSWS etki alanındaki tek hesaptır ve kullanıcının etki alanının bilgi kaynaklarına erişimi onun aracılığıyla kontrol edilir.

Heterojen alanlar

Şu anda, güvenli bir otomatik sistem geliştirirken, kural olarak Windows NT tabanlı sunucular ve iş istasyonlarının hakim olduğu mevcut yerel ağlar temel alınmaktadır. Bir kuruluşun WSWS platformuna hemen geçişinin imkansızlığı, onun Windows ile bütünleşmesi sorununu yaratır. Burada iki yön ayırt edilebilir: WSWS'ye geçiş için en uygun stratejinin seçimi ve bu geçişe eşlik eden teknik zorluklar.

Güvenli bir otomatik sistemdeki bilgi akışlarının analizi sonucunda, güvenlik açısından en önemli alanları belirlemek mümkündür. Her şeyden önce, bu alanlar bilgi içe aktarma / dışa aktarma akışlarını içerir, çünkü bu akışlar aracılığıyla gizli bilgiler (hem dışarıdan alınan hem de içeride üretilen) dış dünyaya girer: baskı sunucuları ve disklere ve teyplere bilgi aktarımı. İkinci en önemli bilgi depolama alanlarıdır: dosya sunucuları ve kullanıcı iş istasyonları.

Bir Windows ağını güvenli bir otomatik sisteme dönüştürme sürecinde, önce ağın güvenlik açısından en kritik olan bölümleri değiştirilmelidir. İlk adım, çıktı bilgi akışlarını en aza indirmek ve kontrol etmektir. Belirtildiği gibi, WSWS 3.0, belgelerin yazdırılmasının muhasebeleştirilmesi ve kontrol edilmesi için gelişmiş bir sisteme sahiptir ve kendi temelinde oluşturulmuş bir ağda, basılı belgelerin basılı kopya olarak verilmesine ilişkin gereksinimlerin uygulanmasına izin verir.

İkinci adım, dosya sunucularını Windows platformundan geçirmektir. WSWS 3.0, işletim sisteminin bilgi kaynaklarına kullanıcı erişimini yönetmek için gelişmiş bir sistem sağlar ve bu, kullanıcı verilerinin uygun düzeyde korunmasını düzenlemenize olanak tanır.

WSWS ve Windows'u entegre ederken, en önemlileri kullanıcı tanımlama/doğrulama şemalarının uyumluluğu sorunları, bu Kiril kodlama sistemlerinde kullanılan kullanıcı erişim kontrol ilkeleri olmak üzere bir dizi teknik sorun ortaya çıkar.

İlk iki sorun, Windows NT ortamında, kullanıcıları NT etki alanına kaydetme şemasının, özel bir kontrol sunucusunda (etki alanı denetleyicisi) depolanan tek bir veritabanına dayalı olarak desteklenmesidir. Bu şema, WSWS'de kullanılan şemadan temelde farklıdır. Ayrıca, Windows NT mimarisi zorunlu erişim denetimi desteğinden yoksundur ve WSWS işletim sisteminin birçok güvenlik özniteliğini ona eşleyemez. Windows sistemleri CP1251 kodlamasını kullanırken, WSWS 3.0 (Linux'tan bir miras olarak) KOI8-R'yi kullanır, ancak (çalışmak için Windows ortamını gerektiren) toplanan veriler genellikle CP1251'de depolanır. Aynı zamanda, verilerin kullanıcılara sunumu, girdileri ve düzenlemeleri WSWS ortamında gerçekleşir, bu nedenle kodun anında dönüştürülmesi gerekir. Ek olarak, veri yönetimi problemlerini çözmek için (örneğin, verileri sıralama görevi), CP1251 kodlaması KOI8-R'den daha kabul edilebilir.

NT ile zamansal uyumluluk olasılığına sahip, WSWS 3.0 tabanlı güvenli bir otomatikleştirilmiş sistem oluşturmak için bir terminal erişim sistemi geliştirildi (Şekil 8). Bu sistem, WSWS'de Windows uygulamalarıyla çalışmayı şu şekilde düzenlemenize olanak tanır: dosya ve baskı sunucuları ile istemci siteleri, WSWS 3.0 temelinde oluşturulur ve NT Terminal Server Edition tabanlı bir uygulama sunucusu, çalışmak için tahsis edilir. Erişimi özel bir şekilde olan Windows uygulamaları. Bu seçeneğin avantajlarından biri, aslında iki işletim ortamında aynı anda çalışma ve her birinin uygulamalarını kullanma fırsatı bulan kullanıcıların çalışmalarını organize etme esnekliğidir. Dezavantajı, güvenlik politikasında kısıtlamalara yol açan özel erişime sahip bir uygulama sunucusu oluşturma ihtiyacıdır. Sonuç olarak, WSWS ve Windows NT'yi entegre etme görevi, NT tabanlı bir uygulama sunucusuyla bir WSWS etki alanı oluşturularak ve bir terminal erişim sistemi kullanılarak çözülür.

Şimdi bir kullanıcının heterojen bir WSWS etki alanında nasıl çalıştığını ele alalım. Kullanıcı etki alanına iş istasyonu aracılığıyla girer. Kullanıcı, bir Windows NT uygulama sunucusuna erişmek için bir terminal erişim istemcisine erişir. Uygulama sunucusunda depolanan özel bir veritabanında, kullanıcı adı ile bu kullanıcı için ağ sürücülerini eşlerken kullanılan bilgisayarının adı arasında bir yazışma vardır. Sonuç olarak, kullanıcı bir NT oturumunda çalışırken, yalnızca ana dizininin içeriğini, çalışma alanındaki bir ağ sürücüsü olarak ve etki alanı paylaşımlarını (dosya sunucuları ve yazıcılar) görür. Windows uygulamalarını çalıştırabilir, ancak yalnızca WSWS 3.0 çalıştıran bilgisayarlarda depolanan sınırlı sayıda dosyayla (sahip olunan veya paylaşılan) çalışır.

Etki alanında gizli belgelerin yazdırılmasını organize etmek için, çıktı alınan gizli belgelerin hesapsız şekilde çoğaltılmasını önleyen, yazdırmanın uygulanmasından ve muhasebeleştirilmesinden sorumlu olan WSWS'ye dayalı bir yazdırma sunucusu tahsis edilir. Gizli olmayan bilgileri yazdırmak için yerel yazıcıları iş istasyonlarına bağlamak mümkündür. Windows uygulamaları veya WSWS ile çalışan kullanıcı, belgeyi yazdırılmak üzere gönderir ve belgenin nerede olduğu önemli değildir - yerel makinede veya dosya sunucusunda. WSWS'nin yardımıyla belgenin gizlilik düzeyi analiz edilir. Belge gizliyse, iş baskı sunucusuna yeniden yönlendirilir; değilse, belge yerel olarak yazdırılır.

Önerilen seçenekler, Windows NT tabanlı bir bilgi altyapısından WSWS 3.0 tabanlı güvenli otomatik bilgi işleme sistemlerine kademeli bir geçiş düzenlemeyi mümkün kılar.

Edebiyat

1. Rusya Devlet Teknik Komisyonu. Rehberlik belgesi. Bilgisayar olanakları. Bilgilere yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri. Moskova, 1992

2. D.V. Efanov. Belge yazdırma muhasebe sistemi // ACS ve kontrolörler. 2001, №1

Andrey Tyulin- Rusya Federasyonu Savunma Bakanlığı çalışanı. İgor Zhukov, Dmitry Efanov ([e-posta korumalı]) - Endüstriyel Olmayan Alanda (Moskova) Tüm Rusya Kontrol Otomasyonu Araştırma Enstitüsü çalışanları.