ovka normal'nyh znachenij dlya fsize i isize Teper', kogda vy znaete tochnoe mestopolozhenie fsize i isize v superbloke, vy mozhete ispol'zovat' fsdb, chtoby perejti nepos- redstvenno k sootvetstvuyushchemu adresu, projti superblok po slovam i prisvoit' adresu novoe znachenie. Zamechanie Prezhde chem pol'zovat'sya komandoj fsdb, ubedites' v tom, chto fajlovaya sistema demontirovana. CHtoby perejti k pervomu adresu superbloka, vvedite komandu absolyutnogo adresa, kotoryj fiksirovan dlya fajlovoj sistemy (512 dlya fajlovyh sistem UNIX i 1024 dlya fajlovyh sistem XENIX). V sleduyushchem primere proveryaetsya fajlovaya sistema UNIX: +-------------------------------------------------------------- | 512 | 001000: 000173 (123) | Po umolchaniyu fsdb schityvaet adresa, vvodimye vami v vide desya- tichnyh slov (512), a vyvodit adresa vos'merichnymi bajtami (001000). Znachenie, hranyashcheesya po zadannomu adresu, takzhe vyvo- ditsya v vos'merichnom vide (v skobkah daetsya desyatichnyj ekviva- lent). Vvedya adres v vide slova, mozhete nazhimat' <Return>, chtoby prodvigat'sya v superbloke kazhdyj raz na odno slovo. +-------------------------------------------------------------- | 002000: 000173 (123) | <Return> | 002002: 000000 (0) | <Return> | 002004: 007461 (3889) | V fajlovyh sistemah UNIX dlya dostizheniya znacheniya fsize nuzhno dvazhdy nazhat' <Return>, a v fajlovyh sistemah XENIX - tol'ko odin raz. (|to svyazano so sposobom hraneniya znachenij v superblo- ke dlya fajlovyh sistem UNIX.) . - 4-25 - Zamechanie Esli pri vvode nachal'nogo adresa na ekrane poyavitsya sleduyu- shchee soobshchenie ob oshibke: block out of range (blok vne diapazona) to eto znachit, chto zaporchennoe znachenie fsize nastol'ko malo, chto programma fsdb reshila, chto vy ne smozhete prodvinut'sya v su- perbloke tak daleko. CHtoby otklyuchit' registraciyu oshibok, vvedite zaglavnuyu bukvu O. Teper' mozhno besprepyatstvenno vvodit' adres. V lyuboj moment mozhno nazhat' klavishu INTERRUPT (DEL) ili <CTL>d, chtoby prekratit' vyvod adresov na ekran. Predpolozhim, chto pri perehode ko vtoromu znacheniyu v superb- loke na ekran vydano znachenie fsize, ravnoe 0 (vmesto normal'no- go znacheniya 3889): +-------------------------------------------------------------- | 002000: 000173 (123) | <Return> | 002002: 000000 (0) | <Return> | 002004: 000000 (0) | Vy mozhete prisvoit' novoe znachenie adresu, kotoryj vy vidi- te v dannyj moment, s pomoshch'yu komandy prisvaivaniya fsdb. (Pered tem, kak vnosit' kakie-libo izmeneniya, ubedites', chto vy znaete, chto vy sobiraetes' sdelat'. fsdb srazu pishet pryamo na disk, ne ozhidaya sync.) Vvedite znak ravenstva, i za nim - novoe znachenie: +-------------------------------------------------------------- | 002002: 000000 (0) | <Return> | 002004: 000000 (0) | =3889 | 002004: 007461 (3889) | q | Kogda fsdb vydast podtverzhdenie na zaproshennoe vami izmene- nie, vyjdite iz fsdb. Teper' snova mozhno poprobovat' vypolnit' fsck. - 4-26 - Zamechanie Pered izmeneniem isize ne zabud'te vypolnit' vychisleniya (delenie na 16 i pribavlenie 2) dlya velichiny ISIZE, vydannoj ko- mandoj fsdb vo vremya normal'noj raboty sistemy. V sluchae fsize ispol'zujte znachenie FSIZE, vydannoe fsdb pri normal'noj rabote sistemy, bez kakih-libo vychislenij. Glava 5 OBESPECHENIE BEZOPASNOSTI SISTEMY Vvedenie 5-1 CHto takoe nadezhnaya sistema? 5-3 Koncepcii nadezhnoj sistemy 5-3 Rabota nadezhnoj sistemy 5-7 Naznachenie administrativnyh rolej s pomoshch'yu avtorizacij 5-7 Administrativnoe upravlenie podsistemami s pomoshch'yu sysadmsh 5-9 Naznachenie avtorizacij yadra 5-9 Ispol'zovanie parametrov sekretnosti, nastroennyh ili prinyatyh po umolchaniyu 5-11 Upravlenie sistemnym dostupom 5-11 Ispol'zovanie podsistemy kontrolya 5-14 Komponenty podsistemy kontrolya 5-15 Mehanizm kontrolya yadra 5-15 Drajver ustrojstva kontrolya 5-15 Demon kontrolya 5-16 Dostup k kontrolyu cherez sysadmsh 5-17 Metodologiya kontrolya 5-18 Avtorizacii kontrolya 5-18 Istochniki kontrol'nyh zapisej 5-18 Uchityvaemost' v kontrole 5-20 Tipy sobytij kontrolya 5-21 |ffektivnyj sistemnyj kontrol' 5-23 Administrativnye aspekty 5-23 Procedury kontrolya 5-26 Ustanovka shemy sbora dannyh 5-27 Vklyuchenie/vyklyuchenie kontrolya 5-32 Soprovozhdenie fajlov kontrolya 5-32 Vyvod spiska kontrol'nyh zapisej 5-33 Dublirovanie kontrol'nyh zapisej 5-33 Sostavlenie kontrol'nyh otchetov 5-34 Ponyatie redukcii dannyh 5-36 Formaty zapisej dlya sistemnyh vyzovov 5-36 Kontrol'nye zapisi prikladnyh programm 5-41 Problemnye oblasti podsistemy kontrolya 5-44 Prostranstvo na diske 5-44 Fatal'nye sboi sistemy 5-45 . Soobshcheniya podsistemy 5-45 Terminologiya kontrolya 5-45 Sredstva zashchity fajlovoj sistemy 5-48 Ochistka bitov SUID/SGID i sticky-bita pri zapisi 5-48 Sticky-bit i katalogi 5-49 Promeny 5-51 Importirovanie dannyh 5-51 Fajly 5-51 Fajlovye sistemy 5-52 SHifrovanie dannyh 5-53 Ustanovka bita GID kataloga 5-53 Proverka celostnosti sistemy 5-54 /etc/fsck 5-54 Kontrol'nyj zhurnal 5-54 Poryadok proverok posle fatal'nogo sboya sistemy 5-55 Zashchishchennye bazy dannyh 5-55 Proverka bazy dannyh autentifikacii 5-57 Proverka celostnosti sistemy 5-57 Soobshcheniya ob oshibkah, svyazannyh s sekretnost'yu 5-59 Soobshcheniya ob oshibkah registracii v sisteme 5-59 Usloviya oshibok kontrolya 5-60 Problemy avtorizacii 5-61 Funkcionirovanie demonov v nadezhnoj sisteme 5-62 Vklyuchenie zashchity s pomoshch'yu kodovogo parolya 5-64 Razreshenie pol'zovatelyam montirovat' fajlovye sistemy 5-65 Avtorizaciya ispol'zovaniya komand planirovaniya zadanij 5-66 Izmenenie avtorizacii na planirovaniya zadanij, prinyatoj po umolchaniyu 5-66 Razreshenie/zapreshchenie ispol'zovaniya cron otdel'nymi pol'zovatelyami 5-67 Prosmotr pol'zovatel'skih razreshenij na cron 5-68 Razreshenie/zapreshchenie ispol'zovaniya at/batch otdel'nymi pol'zovatelyami 5-68 Prosmotr pol'zovatel'skih razreshenij na at/batch 5-68 Ispol'zovanie fajlov sredy dlya komand at/batch 5-69 . - 5-1 - VVEDENIE Kazhdaya komp'yuternaya sistema nuzhdaetsya v zashchite ot nesankci- onirovannogo dostupa k komp'yuteru, diskam i sistemnym fajlam. Sredstva obespecheniya bezopasnosti, imeyushchiesya v vashej sisteme, predstavlyayut soboj rasshirenie bazovyh sredstv obespecheniya bezo- pasnosti operacionnyh sistem UNIX. Operacionnaya sistema sproek- tirovana takim obrazom, chtoby udovletvoryat' trebovaniyam klassa nadezhnosti C2, soglasno "Kriteriyu ocenki nadezhnosti komp'yuternyh sistem" Ministerstva oborony (tak nazyvaemaya "Oranzhevaya kniga"). V dannoj glave pokazano, kak pol'zovat'sya sredstvami obes- pecheniya bezopasnosti dlya podderzhaniya nadezhnosti sistemy. Sreds- tva, kasayushchiesya obychnogo pol'zovatelya, opisany v glave "Ispol'- zovanie nadezhnoj sistemy" v "Rukovodstve pol'zovatelya" (User's Guide). Dannaya glava soderzhit sleduyushchuyu informaciyu: * obshchij obzor bezopasnosti sistemy * opisanie zashchishchennyh podsistem * kak naznachat' administrativnye roli * administrativnoe upravlenie podsistemami s pomoshch'yu sysadmsh * ispol'zovanie podsistemy kontrolya * zashchita fajlovyh sistem * proverka celostnosti sistemy * soobshcheniya ob oshibkah * rabota demonov v zashchishchennoj sisteme * vklyuchenie zashchity s pomoshch'yu kodovogo parolya * kak pol'zovateli mogut montirovat' fajlovye sistemy * kak pol'zovateli mogut planirovat' zadaniya - 5-2 - Zamechanie O fizicheskoj sekretnosti Sredstva obespecheniya bezopasnosti v operacionnoj sisteme budut bespolezny, esli apparatnaya chast' i nositeli ne zashchishcheny. Vy dolzhny zashchitit' ot nesankcionirovannogo dostupa sam komp'- yuter, distributivnye diskety i vse nositeli s rezervnymi kopiya- mi. Dlya etogo nuzhno soblyusti sleduyushchie pravila: 1. V otsutstvie operatora derzhite sistemu "pod zamkom". 2. Soberite i zaprite vse nositeli s rezervnymi kopiyami. . - 5-3 - CHTO TAKOE NADEZHNAYA SISTEMA? Poskol'ku ne sushchestvuet komp'yuternoj sistemy, v kotoroj risk sveden k nulyu, dlya sistem upotreblyaetsya termin "nadezhnaya" (trusted) vmesto "bezopasnaya" (secure). Zdes' imeetsya v vidu to, chto ponimaetsya pod klassom nadezhnosti S2. "Nadezhnaya" sistema - eto sistema, v kotoroj dostigaetsya nekotoryj uroven' kontrolya nad dostupom k informacii, obespechivayushchij mehanizmy predotvrashche- niya (ili po krajnej mere fiksirovaniya) nesankcionirovannogo dos- tupa. Sredstva sekretnosti operacionnoj sistemy yavlyayutsya rasshire- niem sredstv, imeyushchihsya v tipichnyh, menee "nadezhnyh" sistemah UNIX. Naryadu s rasshireniem vozmozhnostej zashchity pol'zovatel'skoj i sistemnoj informacii, obespechivaetsya polnaya sovmestimost' s sushchestvuyushchimi mehanizmami UNIX. Bol'shaya chast' raboty administra- tora sistemy vklyuchaet soprovozhdenie i zashchitu sistemnoj informa- cii, kak opisano v nastoyashchem razdele. Pri ustanovke sistemy, esli vklyuchen kontrol', sistema kon- figuriruetsya dlya raboty v "nadezhnom" sostoyanii. V etom sostoyanii tol'ko naznachennyj administrator mozhet obrashchat'sya k sistemnoj informacii i izmenyat' ee. Kak tol'ko sistema perehodit v nor- mal'nyj rezhim raboty, nadezhnoe sostoyanie sistemy sleduet podder- zhivat', esli vy namereny polnost'yu ispol'zovat' sredstva nadezh- nosti. Esli vy budete sledovat' privedennym rekomendaciyam, sis- temnaya informaciya ostanetsya zashchishchennoj. Imeetsya takzhe vozmozhnost' prisposobit' eti trebovaniya k nuzhdam vashej vychislitel'noj ustanovki. Mozhno dazhe ustanovit' konfiguraciyu vashej sistemy takim obrazom, chtoby ona rabotala v nenadezhnom rezhime, sovmestimom s drugimi sistemami UNIX. |to opisano v razdele "Konfiguraciya dlya vedeniya ucheta, ustanavlivae- maya po umolchaniyu". Zametim, chto esli vy reshili smyagchit' trebova- niya, opredelyayushchie nadezhnoe sostoyanie svoej sistemy, ee nel'zya s dostovernost'yu vosstanovit' na uroven' S2. Vashi dejstviya kak administratora yavlyayutsya reshayushchimi dlya soprovozhdeniya nadezhnoj sistemy. Lyubye upushcheniya v sekretnom sos- toyanii chrevaty proniknoveniem v sistemu. CHtoby effektivno vesti administrativnuyu rabotu, vy dolzhny ponimat', v chem sostoit sis- temnaya strategiya sekretnosti, kak ona kontroliruetsya sistemnoj informaciej (bazami dannyh) i kak vnosimye vami izmeneniya vliyayut na dejstviya pol'zovatelya i administratora. Koncepcii nadezhnoj sistemy Nizhe privodyatsya osnovnye ponyatiya, svyazannye s nadezhnoj sis- temoj. Buduchi administratorom, vy dlya uspeshnoj raboty sistemy dolzhny usvoit' eti ponyatiya i znat', gde hranitsya informaciya, svyazannaya s sekretnost'yu. Nastoyashchij razdel yavlyaetsya vvodnym v etu temu; v posleduyushchih razdelah dannoj glavy privodyatsya podrob- nosti, a takzhe procedury soprovozhdeniya. . - 5-4 - Vozmozhnost' ucheta Govoryat, chto nekotoroe dejstvie poddaetsya uchetu, esli ego mozhno otsledit' vplot' do istochnika - real'nogo pol'zovatelya. V bezopasnoj sisteme vse pol'zovateli nesut otvetstvennost' za svoi dejstviya, i kazhdoe dejstvie mozhno otsledit' do pol'zovate- lya, otvetstvennogo za nego. V bol'shinstve sistem UNIX otsutstvu- et horoshaya uchityvaemost': nekotorye dejstviya nel'zya otsledit' ni do kakogo pol'zovatelya. Naprimer, psevdo-pol'zovatel'skie byudzhe- ty, takie kak lp ili cron, vypolnyayutsya anonimno; ih dejstviya mozhno obnaruzhit' tol'ko po izmeneniyam v sistemnoj informacii. Kak budet opisano nizhe, nadezhnaya sistema UNIX povyshaet uchityvae- most' za schet sopostavleniya kazhdomu byudzhetu real'nogo pol'zova- telya, kontrolya nad kazhdym dejstviem i sopostavleniya kazhdogo dejstviya konkretnomu pol'zovatelyu v sisteme. V tipichnoj sisteme UNIX u kazhdogo processa est' real'nyj i effektivnyj identifikatory pol'zovatelya, ravno kak i real'nyj i effektivnyj identifikatory gruppy. Process s effektivnym identi- fikatorom pol'zovatelya root mozhet ustanavlivat' eti identifika- tory dlya lyubyh pol'zovatelej. Koncepciya identifikacii pol'zova- telya rasshirena vklyucheniem dopolnitel'nogo identifikatora, nazy- vaemogo registracionnym identifikatorom pol'zovatelya (LUID). |to nechto vrode nestiraemoj metki, prostavlyaemoj na kazhdom processe, svyazannom s pol'zovatelem. LUID identificiruet pol'zovatelya, ot- vetstvennogo za sessiyu processa. LUID processa, buduchi odnazhdy prostavlen, ne mozhet byt' izmenen nikem. Dochernie processy nas- leduyut roditel'skij LUID. Diskrecionnoe upravlenie dostupom Sredstva diskrecionnogo upravleniya dostupom pozvolyayut opre- delit', imeet li nekotoryj pol'zovatel' dostup k informacii, ko- toruyu on hochet poluchit'. |ta informaciya nahoditsya vnutri nekoto- rogo ob®ekta (fajla, ustrojstva i t.d.), kotorym pol'zovatel'- skij process pytaetsya vospol'zovat'sya. V bol'shinstve sistem UNIX zashchita ob®ekta osushchestvlyaetsya cherez vzaimosvyaz' mezhdu pol'zova- telem i gruppoj processa, s odnoj storony, i bitami rezhimov ob®- ekta (vladelec, gruppa, prochie), s drugoj storony. Atributy za- shchity dlya etih ob®ektov nahodyatsya na usmotrenii vladel'ca ob®ek- ta. Poetomu eti atributy vladelec mozhet sdelat' ogranichivayushchimi (kontroliruemyj dostup) ili razreshayushchimi (otkrytyj dostup). V nadezhnoj sisteme UNIX standartnye pravila diskrecionnogo uprav- leniya dostupom rasshireny tak, chto oni obespechivayut bolee polnuyu zashchitu sistemnoj informacii (sistemnyh baz dannyh), razdelyaemoj informacii (vremennyh katalogov) i vhodnyh fajlov programmy SUID (ustanovka identifikatora pol'zovatelya pri vypolnenii) - napri- mer, soobshcheniya pochty. Pomimo etogo, v diskrecionnuyu strategiyu dostupa dlya UNIX dobavlen mehanizm, kotoryj mozhet vosprepyatstvovat' polucheniyu programmoj SUID dostupa k fajlam zapustivshego ee pol'zovatelya. Pol'zovatel' mozhet sozdat' promen (promain - protected domain, t.e. zashchishchennyj domen). Promen yavlyaetsya ierarhiej katalogov (podderevom). Kogda pol'zovatel' zapuskaet programmu SUID, ona mozhet proizvesti dostup k svoim lichnym fajlam tol'ko v tom slu- chae, esli eti fajly nahodyatsya v upomyanutom poddereve. Vne prome- . - 5-5 - na programma SUID imeet dostup tol'ko k tem fajlam, k kotorym imeyut dostup i aktivizator programmy, i ee vladelec. |to suzhaet ramki razrusheniya, kotoroe mozhet byt' vyzvano programmoj SUID v dannom kataloge. Takoj mehanizm podrobno opisyvaetsya v stranice Rukovodstva dlya promain(M) v "Spravochnike pol'zovatelya" (User's Reference). Avtorizacii Avtorizaciya - eto pravo na dostup k nekotoromu ob®ektu ili na vypolnenie kakogo-libo sistemnogo dejstviya. V bol'shinstve sistem UNIX vse resheniya po povodu dostupa prinimayutsya na osnove prostyh diskrecionnyh kriteriev, ili ishodya iz togo, yavlyaetsya li root vladel'cem processa, osushchestvlyayushchego dostup. Kornevoj byud- zhet imeet polnomochiya na vypolnenie takih sistemnyh dejstvij, ka- kie ne mozhet vypolnyat' nikakoj drugoj process. Operacionnaya Sis- tema opredelyaet dva tipa avtorizacij: avtorizacii yadra i avtorizacii podsistemy. Avtorizacii yadra svyazany s processami. (Process - eto programma, vypolnyayushchayasya v sisteme v dannyj mo- ment.) Oni razreshayut processu vypolnyat' opredelennye dejstviya, esli process nadelen trebuemymi privilegiyami. Avtorizacii pod- sistemy svyazany s pol'zovatelyami. Oni pozvolyayut pol'zovatelyu vy- polnyat' special'nye dejstviya s pomoshch'yu komand podsistemy (nadezh- nye utility i programmy). Podsistema - eto svyaznyj nabor fajlov, ustrojstv i komand, sluzhashchih dlya vypolneniya nekotoroj funkcii. Naprimer, podsistema lp sostoit iz fajlov bloka podkachki pechati, pechatayushchih ustrojstv i komand, pomogayushchih soprovozhdat' podsiste- mu, takih kak lpadmin(ADM). Avtorizacii yadra hranyatsya v avtorizacionnom nabore, kotoryj sopostavlyaetsya kazhdomu processu. Avtorizacionnyj nabor - eto spisok privilegij, kotoryj razreshaet nekotoryj tip dejstvij pri nalichii opredelennoj privilegii i zapreshchaet v ee otsutstvie. Av- torizacii budut rassmotreny pozzhe. Ustanovlenie identichnosti i autentichnosti (I&A) Kogda pol'zovatel' registriruetsya v malonadezhnoj sisteme UNIX, vypolnyaetsya ogranichennaya procedura ustanovleniya identich- nosti i autentichnosti. Sistema ishchet imya pol'zovatelya v baze dan- nyh parolej (/etc/passwd). Esli imya pol'zovatelya otyskivaetsya, sistema ustanavlivaet autentichnost' pol'zovatelya, sravnivaya vve- dennyj parol' s shifrovannoj versiej parolya, soderzhashchejsya v stro- ke bazy dannyh parolej pol'zovatelya. Predusmotreny nekotorye pravila otnositel'no harakteristik parolya i vozmozhnosti ego iz- meneniya, no, kak pokazala praktika, etih pravil nedostatochno dlya predohraneniya ot proniknoveniya cherez zashchitu. Nadezhnaya sistema rasshiryaet standartnye mehanizmy I&A. V nej predusmotreno bol'she pravil, kasayushchihsya tipov ispol'zuemyh paro- lej. Imeyutsya procedury generacii i izmeneniya parolej. Izmeneny mestopolozhenie i mehanizm zashchity nekotoryh chastej bazy dannyh parolej. I, nakonec, administrator teper' obladaet bol'shimi voz- mozhnostyami kontrolya nad dejstviyami pol'zovatelej. Dlya obespeche- niya etogo aspekta sistemy sozdana special'naya rol' - Administra- tor autentifikacii (avtorizaciya podsistemy auth). Obyazannosti etogo administratora podrobno opisyvayutsya v posleduyushchih razdelah. . - 5-6 - Kontrol' (audit) V bol'shinstve sistem UNIX vedetsya ogranichennaya registraciya sistemnyh dejstvij s pomoshch'yu sootvetstvuyushchej uchetnoj podsistemy. Uchetnaya podsistema pishet odnu uchetnuyu zapis' pri zavershenii kazh- dogo pol'zovatel'skogo processa. Nadezhnaya operacionnaya sistema obespechivaet prodolzhitel'nyj ryad zapisej o dejstviyah - zhurnal (trail). V etot zhurnal zanositsya zapis' o kazhdom dostupe, osu- shchestvlyaemom mezhdu sub®ektom i ob®ektom, i o kazhdom izmenenii sub®ekta, ob®ekta i sistemnyh harakteristik. Podsistema kontrolya upravlyaetsya special'noj rol'yu, nazyvaemoj Administratorom kont- rolya (avtorizaciya podsistemy audit). Administrator kontrolya re- shaet, skol'ko informacii sleduet zapisat' i naskol'ko nadezhno ona zapisyvaetsya, a takzhe soprovozhdaet informaciyu, kogda ona sobrana. Podsistema kontrolya predostavlyaet Administratoru kont- rolya obshirnuyu istoriyu sistemnyh dejstvij. |to pomogaet administ- ratoru identificirovat', chto proizoshlo v sisteme, kogda i s ch'im uchastiem. Zashchishchennye podsistemy V sistemah UNIX sushchestvuyut mehanizmy setuid - ustanovka identifikatora pol'zovatelya (SUID) - i setgid - ustanovka iden- tifikatora gruppy (SGID). S ih pomoshch'yu mozhno sostavlyat' program- my, obespechivayushchie lichnuyu informaciyu. Dostup k etoj informacii i ee izmenenie razresheny tol'ko operaciyam, vklyuchennym v dannye programmy. Operacionnaya Sistema opredelyaet neskol'ko zashchishchennyh podsistem. Kazhdaya iz takih podsistem sostoit iz sovokupnosti lichnoj informacii (fajly i/ili bazy dannyh), lyubyh svyazannyh s nimi ustrojstv, a takzhe utilit i komand, ispol'zuemyh dlya sopro- vozhdeniya etoj informacii. Zashchishchennye podsistemy pol'zuyutsya meha- nizmami SUID/SGID dlya zashchity svoih lichnyh fajlov, baz dannyh i ustrojstv ot neogranichennogo dostupa. Operacionnaya Sistema ras- shiryaet ponyatie zashchishchennoj podsistemy v neskol'kih aspektah: * v nej opredelena bol'shaya granulyaciya pol'zovatelej i grupp, obespechivayushchih opredelennye nabory sistemnyh resursov (lichnaya informaciya); * ona vedet special'nuyu bazu dannyh dlya pol'zovatelej, ko- torym razresheno vypolnyat' programmy, soprovozhdayushchie lichnuyu in- formaciyu; * v nej ne trebuetsya, chtoby pol'zovateli registrirovalis' v kachestve administratora podsistemy; vmesto etogo ispol'zuetsya baza dannyh dlya proverki avtorizacii podsistemy. |togo dostatoch- no dlya udovletvoreniya vseh trebovanij otnositel'no polnoj uchity- vaemosti lyubyh dejstvij, vypolnyaemyh programmami podsistemy. . - 5-7 - RABOTA NADEZHNOJ SISTEMY V dannom razdele obsuzhdaetsya konceptual'naya struktura sop- rovozhdeniya nadezhnoj sistemy. Pervoe osnovnoe reshenie, kotoroe vy dolzhny prinyat', - kto budet ee soprovozhdat'. Vy mozhete imet' od- nogo vsemogushchego super-pol'zovatelya, zaregistrirovannogo kak root, ili mozhno raspredelit' administrativnye obyazannosti mezhdu drugimi pol'zovatelyami, vydelyaya im rovno stol'ko vozmozhnostej, skol'ko neobhodimo dlya administrativnogo upravleniya kakim-libo odnim aspektom raboty sistemy. Naznachenie administrativnyh rolej s pomoshch'yu avtorizacij V nadezhnoj sisteme UNIX administrativnye zadachi raspadayutsya na neskol'ko logicheskih rolej. Kazhdaya rol' otvetstvenna za sop- rovozhdenie odnogo aspekta sistemy. Ideya o specificheskih admi- nistrativnyh rolyah (i sootvetstvuyushchih im zadachah i obyazannostyah) yavlyaetsya kardinal'noj v vashem predstavlenii o nadezhnoj operaci- onnoj sisteme. Lyubaya logicheskaya rol' mozhet byt' naznachena odnomu i tomu zhe pol'zovatelyu ili razlichnym chlenam nekotoroj administ- rativnoj gruppy. S kazhdoj rasshirennoj rol'yu svyazana special'naya avtorizaciya. |ta svyaz', naryadu so slozhnoj sistemoj trassirovki, pozvolyaet administratoru vesti polnuyu registraciyu administrativ- nyh dejstvij. |to pomogaet predotvrashchat' odni problemy i obleg- chat' identifikaciyu i ustranenie drugih problem. Dlya vypolneniya zadach, svyazannyh s administrativnoj rol'yu, administrator dolzhen imet' sootvetstvuyushchuyu avtorizaciyu. V privo- dimoj nizhe tablice perechislyayutsya administrativnye roli, svyazan- nye s nimi avtorizacii, a takzhe razdely sistemy, soprovozhdaemye kazhdoj rol'yu. . - 5-8 - Tablica 5.1 Zashchishchennye podsistemy i administrativnye roli ---------------------------------------------------------------- Rol' | Avtorizaciya | Razdel sistemy | podsistemy | ---------------------------------------------------------------- Administrator | auth | Sistemnyj uchet autentifikacii | | Administrator printera | lp | Podsistema ustrojstva | | postrochnoj pechati Administrator terminala*| terminal | Razresheniya dlya termi- | | nal'nogo ustrojstva Administrator cron * | cron | Podsistema at i cron Administrator pamyati * | mem | Dostup k pamyati sistemy Administrator kontrolya | audit | Bazy dannyh kontrolya i | | kontrol'nyj zhurnal Operator | backup | Rezervnye kopii fajlovoj | | sistemy Administrator sistemy | su | Dostup su k byudzhetu | | super-pol'zovatelya | sysadmin | Ispol'zovanie programmy | | integrity(ADM) --------------- * V dejstvitel'nosti eti roli ne sovsem administrativnye, kak poyasnyaetsya nizhe. Vy obyazatel'no dolzhny ponyat', kakie obyazannosti vklyuchaet v sebya kazhdaya rol', i kak vashi dejstviya povliyayut na sekretnost' sistemy. Pri formirovanii konfiguracii i rabote sistemy vy dolzh- ny ishodit' iz chuvstvitel'nosti informacii, hranyashchejsya na vashej vychislitel'noj ustanovke, osoznaniya stepeni vzaimodejstviya i kompetencii vashih pol'zovatelej, i ugrozy (izvne ili iznutri) proniknoveniya cherez zashchitu ili nepravil'noj raboty. Lish' vasha bditel'nost' i korrektnoe ispol'zovanie sistemy smogut sohranit' ee nadezhnost' i zashchitit' ee celostnost'. Dlya naznacheniya avtorizacii podsistemy neobhodimo v sysadmsh sdelat' sleduyushchij vybor: Accounts -> User -> Examine:Privilege Zamechanie Vy, veroyatno, zametili, chto kazhdaya avtorizaciya podsistemy okazyvaetsya identichnoj gruppovomu imeni etoj podsistemy. |to oz- nachaet, chto esli kakoj-to pol'zovatel' yavlyaetsya chlenom gruppy podsistemy, to tem samym on imeet dostup k fajlam podsistemy. Tem ne menee, eto ne daet trebuemoj avtorizacii podsistemy. Na samom dele nikogda ne sleduet delat' pol'zovatelya chlenom gruppy podsistemy, tak kak eto podvergnet risku aktual'nye fajly dan- nyh. Dlya razresheniya dostupa k podsisteme ispol'zujte sootvets- tvuyushchuyu avtorizaciyu podsistemy. . - 5-9 - Administrativnoe upravlenie podsistemami s pomoshch'yu sysadmsh Nekotorye podsistemy yavlyayutsya logicheskimi razdelami, a ne dejstvitel'nymi oblastyami administracii sistemy. Naprimer, pod- sistema pamyati po sushchestvu ne podlezhit administrativnomu uprav- leniyu, no prisvaivanie avtorizacii mem obespechit kontrol' nad dostupom k strukturam pamyati yadra. Drugie podsistemy nuzhdayutsya v administracii, i kazhdoj iz nih sootvetstvuet opredelennyj vybor v sysadmsh(ADM). Takie podsistemy mogut byt' naznacheny otdel'nym lyudyam; po kazhdoj oblasti imeetsya dokumentaciya. V tablice 5.2 priveden spisok administrativno upravlyaemyh podsistem, sootvets- tvuyushchie im vybory sysadmsh i razdely ili glavy, v kotoryh oni rassmatrivayutsya. Tablica 5.2 Podsistemy i vybory sysadmsh ---------------------------------------------------------------- Zashchishchennaya | Vybor | Razdel ili glava podsistema | sysadmsh | ---------------------------------------------------------------- Ustrojstvo postro-| Printers | "Ispol'zovanie printerov" chnoj pechati | | Dublirovanie | Backups | "Dublirovanie fajlovyh sistem" Autentifikaciya | Accounts | "Administrativnoe upravlenie | | pol'zovatel'skimi byudzhetami" Cron | Jobs | "Avtorizaciya ispol'zovaniya | | komand planirovaniya zadanij" | | (v dannoj glave) Kontrol' | System->Audit | "Ispol'zovanie podsistemy | | kontrolya" (v dannoj glave) Podsistema audit opisana nizhe v dannoj glave. Podrobnoe opisanie podsistem soderzhitsya v "Spravochnike pol'zovatelya" (User's Reference), na stranice, otnosyashchejsya k subsystem(M). Tam priveden spisok vseh programm i fajlov dannyh, svyazannyh s kazh- doj podsistemoj. Bol'shinstvo funkcional'nyh vozmozhnostej, obychno dostupnyh super-pol'zovatelyu v drugih, menee nadezhnyh sistemah UNIX, peredany zashchishchennym podsistemam, opisyvaemym v dannom raz- dele. Odnako nekotorye funkcii vse ravno dolzhen vypolnyat' super- pol'zovatel'. K ih chislu otnosyatsya montirovanie i demontirovanie fajlovyh sistem, prohozhdenie po polnomu derevu fajla. Tol'ko su- per-pol'zovatel' mozhet delat' vse. Pol'zovateli, obladayushchie av- torizaciej su, imeyut dostup su(C) k byudzhetu super-pol'zovatelya. Sleduet ogranichit' chislo pol'zovatelej, imeyushchih dostup k parolyu root, i naznachit' otvetstvennogo pol'zovatelya dlya byudzheta root. (Podrobnosti sm. v glave "Administrativnoe upravlenie pol'zova- tel'skimi byudzhetami" v nastoyashchem rukovodstve.) Naznachenie avtorizacij yadra V operacionnoj sisteme imeetsya dva tipa avtorizacij: dlya yadra i dlya podsistemy. Pol'zovatel'skie processy vypolnyayutsya s naborom avtorizacij yadra, kotorye kontroliruyut special'nye prava processa na nekotorye privilegirovannye sistemnye dejstviya. V Tablice 5.3 priveden spisok avtorizacij yadra. . - 5-10 - Tablica 5.3 Avtorizacii yadra ---------------------------------------------------------------- Avtorizaciya | Dejstvie ---------------------------------------------------------------- configaudit | Modifikaciya parametrov kontrolya writeaudit | Vnesenie kontrol'nyh zapisej v kontrol'nyj zhurnal execsuid | Vypolnenie programm SUID chmodsugid | Vozmozhnost' ustanavlivat' bit SUID i SGID v fajlah chown | Smena vladel'ca ob®ekta suspendaudit | Priostanov kontrolya processa nopromain | Dostup pol'zovatelya izvne kataloga promena Bol'shinstvu pol'zovatelej trebuyutsya tol'ko avtorizacii nopromain i execsuid dlya vypolneniya standartnyh zadach. (Promeny ispol'zuyutsya dlya izolirovaniya vypolneniya dannoj programmy, a ne kak postoyannaya mera zashchity. nopromain - eto obychnyj rezhim, s ko- torym rabotaet pol'zovatel'; on ego vremenno otmenyaet dlya pro- verki vypolneniya programmy. Podrobnee sm. promain(M).) CHtoby vy- polnyat' programmy SUID, pol'zovatel' dolzhen imet' avtorizaciyu execsuid. (Programmy ustanovki identifikatora pol'zovatelya vy- polnyayutsya pod kontrolem identifikatora, otlichnogo ot identifika- tora iniciatora etih programm. Tak sdelano dlya togo, chtoby pro- cess imel dostup k fajlam i sistemnym sredstvam, kotorye v protivnom sluchae byli by nedostupny.) Esli pol'zovatelyu nuzhno sozdavat' fajly s bitami SUID ili SGID, on dolzhen imet' avtori- zaciyu chmodsugid. CHtoby smenit' vladel'ca fajla (otdat' fajl), nuzhna avtorizaciya chown. Esli u pol'zovatelya net etoj avtoriza- cii, vladel'ca fajla mozhet izmenit' tol'ko root. Zamechanie Dlya sootvetstviya NIST FIPS 151-1 neobhodimo ogranichenie na chown. |tu avtorizaciyu ne nuzhno vydavat' pol'zovatelyam, esli vy namereny soblyudat' trebovaniya NIST FIPS 151-1. U kazhdogo processa imeetsya nabor avtorizacij, v kotorom pe- rechisleny ego avtorizacii yadra. Process mozhet vypolnit' nekoto- roe dejstvie, tol'ko esli sootvetstvuyushchaya avtorizaciya yadra vho- dit v nabor. Naprimer, process s avtorizaciej configaudit mozhet modificirovat' parametry podsistemy kontrolya. Takoj process vy- polnyaetsya Administratorom kontrolya. Ne sleduet vypolnyat' nikakie pol'zovatel'skie processy s kakoj-libo iz avtorizacij audit. Oni prednaznacheny dlya isklyuchitel'nogo ispol'zovaniya Administratorom kontrolya. Dlya naznacheniya avtorizacii yadra nuzhno sdelat' v sysadmsh sleduyushchij vybor: Account->User->Examine:Privileges . - 5-11 - Pol'zovateli, kotorym prisvoeny administrativnye roli, dolzhny imet' opredelennye avtorizacii yadra, chtoby vypolnyat' za- dachi, trebuemye podsistemoj. Esli vy ispol'zuete obshchesistemnye avtorizacii yadra, prinimaemye po umolchaniyu ("C2" ili "Relaxed"), vam pridetsya naznachit' lish' obyazatel'nye avtorizacii kontrolya; avtorizacii chown, execsuid i chown uzhe naznacheny. Tablica 5.4 Trebovaniya podsistem otnositel'no avtorizacij yadra ---------------------------------------------------------------- Podsistema | Trebuemye avtorizacii yadra ---------------------------------------------------------------- audit | configaudit, suspendaudit, execsuid auth | chown, execsuid backup | execsuid lp | chown cron | execsuid, chown, chmodsugid sysadmin | execsuid, chmodsugid, chown Ispol'zovanie parametrov sekretnosti, nastroennyh ili pri- nyatyh po umolchaniyu Po umolchaniyu parametry sekretnosti ustanavlivayutsya soglasno urovnyu nadezhnosti S2. Kak upominalos' vyshe, sushchestvuet dva dos- tupnyh nabora parametrov, prinimaemyh po umolchaniyu: C2 i "Relaxed", sootvetstvuyushchij harakteru raboty menee nadezhnyh sis- tem UNIX. Krome togo, mozhno izmenit' lyuboj parametr - i dlya ot- del'nyh pol'zovatelej, i po vsej sisteme. Izmenenie obshchesistem- nyh parametrov opisano v razdele "Konfiguraciya dlya vedeniya uche- ta, ustanavlivaemaya po umolchaniyu" v glave "Administrativnoe up- ravlenie pol'zovatel'skimi byudzhetami". Informaciya o parametrah dlya otdel'nyh pol'zovatelej privedena v razdele "Upravlenie uche- tom" toj zhe glavy. Upravlenie sistemnym dostupom Odnim iz vazhnyh aspektov raboty v nadezhnoj sisteme yavlyaetsya vyyavlenie potencial'nyh problem, otnosyashchihsya k sekretnosti. Og- ranichitel'nye mehanizmy podrazdelyayutsya na tri kategorii, kazhdaya iz kotoryh mozhet byt' prisposoblena k konkretnym trebovaniyam i soprovozhdat'sya otchetami: * Status parolya * Aktivnost' terminala * Aktivnost' nachal'noj registracii Kazhdaya iz etih oblastej imeet vazhnoe znachenie dlya tochnogo opredeleniya potencial'nyh problem s sekretnost'yu. Procedury dlya vypolneniya etih otchetov mozhno najti v razdele "Generaciya otchetov ob aktivnosti" v glave "Administrativnoe upravlenie pol'zova- tel'skimi byudzhetami". V posleduyushchih podrazdelah poyasnyaetsya, kak realizuyutsya eti ogranicheniya. . - 5-12 - Status parolya V kachestve modeli dlya vvedeniya ogranichenij na paroli byl ispol'zovan dokument "Rukovodstvo po ispol'zovaniyu parolej" (Password Management Guideline) Ministerstva oborony; poetomu pol'zovateli podvergayutsya bolee ser'eznoj proverke na paroli, chem v menee nadezhnyh sistemah UNIX. Administrator autentifikacii mozhet libo razreshit' pol'zovatelyam samim vybirat' sebe paroli, libo obyazat' sistemu generirovat' dlya nih paroli. Parol', buduchi odnazhdy vybran, mozhet podvergnut'sya bol'shomu chislu elementarnyh proverok, chto opyat' zhe zavisit ot Administratora autentifikacii. Dlya parolej sushchestvuet tri urovnya dejstvitel'nosti, chto yav- lyaetsya rasshireniem realizacii processa stareniya parolya v stan- dartnoj sisteme UNIX. Paroli ostayutsya dejstvitel'nymi, poka ne nastanet dostignut ego srok istecheniya dejstviya. Kogda srok dejs- tviya parolya istekaet, pol'zovatel' (esli emu razresheno eto de- lat') poluchaet priglashenie na izmenenie svoego parolya. Esli pol'zovatelyu ne razresheno menyat' svoj parol', administrator dol- zhen naznachit' novyj parol'. Paroli schitayutsya expired, poka ne zavershitsya ih zhiznennyj cikl. Mertvyj parol' vyzyvaet blokirovanie pol'zovatel'skogo byudzheta. Snyat' etu blokirovku mozhet tol'ko Administrator auten- tifikacii, ispol'zuya vybor Accounts v sysadmsh. Esli pol'zovate- lyu ne razresheno menyat' parol', nuzhno naznachit' novyj. Vo izbezhanie povtornogo ispol'zovaniya parolej Administrator autentifikacii mozhet takzhe ustanovit' minimal'nyj srok izmeneniya dlya parolya, do kotorogo pol'zovatel' ne imeet prava menyat' paro- li. Vse eti parametry mozhno izmenit' - i po vsej sisteme (baza dannyh sistemnyh parametrov, prinimaemyh po umolchaniyu), i dlya otdel'nyh pol'zovatelej (baza dannyh zashchishchennyh parolej). Obshche- sistemnoe izmenenie parametrov parolej opisano v razdele "Izme- nenie ogranichenij na paroli, prinyatyh po umolchaniyu" v glave "Ad- ministrativnoe upravlenie pol'zovatel'skimi byudzhetami" nastoyashche- go rukovodstva, a polnoe opisanie procedur izmeneniya parolej privedeno v razdele "Izmenenie parolya pol'zovatelya ili paramet- rov parolya" toj zhe glavy. Otchety po parolyam mozhno ispol'zovat' dlya predotvrashcheniya blokirovki pol'zovatel'skih byudzhetov; eta situaciya ochen' nepri- yatna, esli administrator sistemy otsutstvuet. Esli v vashej sis- teme ne prinyato ezhednevnoe prisutstvie administratorov, vy imee- te pravo pretendovat' na sootvetstvuyushchee uvelichenie parametra zhiznennogo cikla parolya. Aktivnost' terminala Terminal - eto vhod v vashu sistemu. Pomimo ispol'zovaniya parolej byudzhetov, terminaly mozhno zashchitit' ot popytok pronikno- veniya v sistemu. Mozhno zadat' maksimal'noe chislo neudachnyh popy- tok registracii, kotorye obychno svyazany s popytkami ugadat' pa- . - 5-13 - rol' byudzheta. Terminaly, dlya kotoryh prevysheno maksimal'no dopustimoe chislo popytok, budut zablokirovany; snimat' blokirov- ku dolzhen Administrator byudzhetov. Krome togo, mozhno zadat' in- terval vremeni, kotoryj dolzhen projti mezhdu popytkami registra- cii, chto takzhe mozhet pomoch' presech' popytki ugadat' parol'. (Analogichnye ogranicheniya mozhno vvesti dlya byudzhetov, otlichnyh ot terminalov.) O tom, kak izmenyat' ili proveryat' ogranicheniya dlya terminala, sm. razdel "Upravlenie registraciej terminala" v gla- ve "Administrativnoe upravlenie pol'zovatel'skimi byudzhetami" nastoyashchego rukovodstva. Aktivnost' nachal'noj registracii Kak i v sluchae terminalov, u pol'zovatel'skih byudzhetov est' parametry, svyazannye s chislom popytok registracii i intervalom dlya povtornoj popytki, kotorye otnosyatsya k registracii v byudzhe- te, a ne v terminale. O tom, kak izmenyat' ili proveryat' eti og- ranicheniya, sm. razdel "Izmenenie ogranichenij pri registracii, prinyatyh po umolchaniyu" v glave "Administrativnoe upravlenie pol'zovatel'skimi byudzhetami" nastoyashchego rukovodstva. . - 5-14 - ISPOLXZOVANIE PODSISTEMY KONTROLYA Podsistema kontrolya registriruet sobytiya v sisteme, svyazan- nye s sekretnost'yu, zapisyvaya ih v kontrol'nyj zhurnal, kotoryj zatem mozhno prosmotret'. V kontrol'nyh zhurnalah, vydavaemyh pod- sistemoj, mozhno fiksirovat' proniknovenie v sistemu i nepravil'- noe ispol'zovanie resursov. Podsistema kontrolya sproektirovana v sootvetstvii s zadachami kontrolya, opredelyaemymi Nacional'nym centrom zashchity dannyh komp'yuterov SSHA. Kontrol' pozvolyaet prosmatrivat' sobrannye dannye dlya izu- cheniya obrazcov dostupa k ob®ektam i nablyudeniya za dejstviyami ot- del'nyh pol'zovatelej i ih processov. Popytki narusheniya zashchity i mehanizmov avtorizacii kontroliruyutsya. Podsistema kontrolya daet vysokuyu stepen' garantii obnaruzheniya popytok obojti mehanizmy obespecheniya bezopasnosti. Poskol'ku sobytiya, svyazannye s sekret- nost'yu, kontroliruyutsya i poddayutsya uchetu vplot' do vyyavleniya konkretnogo pol'zovatelya, podsistema kontrolya sluzhit sderzhivayu- shchim sredstvom dlya pol'zovatelej, pytayushchihsya nepravil'no vospol'- zovat'sya sistemoj. Podsistema kontrolya ispol'zuet sistemnye vyzovy i utility dlya klassifikacii dejstvij pol'zovatelej, podrazdelyaya ih na tipy sobytij. |to mozhno ispol'zovat' dlya vyborochnoj generacii i re- dukcii kontrolya. Odin iz etih tipov sobytij, Otkaz diskrecionno- go dostupa (DAC), registriruet popytki takogo ispol'zovaniya ob®- ektov, kotoroe ne dopuskaetsya razresheniyami dlya etogo ob®ekta. Naprimer, esli pol'zovatel'skij process pytaetsya pisat' v fajl "tol'ko dlya chteniya", registriruetsya sobytie Otkaza DAC, pokazy- vayushchee, chto process pytalsya proizvesti zapis' v fajl, na chto u nego ne bylo prava. Esli prosmotret' kontrol'nyj zhurnal, to leg- ko budet zametit' povtoryayushchiesya popytki dostupa k fajlam, na ko- torye ne vydany razresheniya. Dlya effektivnosti dannyh kontrolya sushchestvenna vozmozhnost' ucheta pol'zovatelej, vypolnyayushchih dejstviya, podlezhashchie kontrolyu. Kogda pol'zovateli pytayutsya vojti v sistemu, oni dolzhny projti process identifikacii i autentifikacii, prezhde chem im budet pre- dostavlen dostup v sistemu. Mehanizm sekretnosti snabzhaet kazhdyj process, sozdavaemyj pol'zovatelem, postoyannym indikatorom iden- tichnosti - registracionnym identifikatorom pol'zovatelya (LUID). |tot identifikator sohranyaetsya nevziraya na perehody ot odnogo pol'zovatel'skogo byudzheta k drugomu s pomoshch'yu takih komand, kak su(C). Kazhdaya kontrol'naya zapis', generiruemaya podsistemoj, so- der