Кога инсталирате преку мрежа користејќи сервер, потребни се неколку дополнителни прелиминарни чекори:

• 
  производство на сет на флопи дискови за подигнување на компјутер и организирање мрежен пристап до серверот;
• 
  избор на опција за мрежна инсталација;
• 
  поставување мрежа и организирање мрежен пристап до серверот.

1. Инсталација од ЦД

Пред да започнете со инсталацијата, треба да го конфигурирате BIOS-от на компјутерот така што ЦД-то е првиот уред за подигање во списокот и вметнете го ЦД-то со модулот за подигање MCWS 3.0 OS во уредот за ЦД.

Ако BIOS-от не поддржува подигање од ЦД, мора дополнително да вметнете дискета за подигање во уредот и да го конфигурирате BIOS-от на компјутерот така што првиот уред за подигање во списокот е флопи дискот. Современите компјутери обично поддржуваат подигање од ЦД, така што потребата за дискета за подигање може да се појави само при инсталирање на MCWS 3.0 OS на „стар“ компјутер.

Потоа треба да го рестартирате компјутерот. Ќе се појави известување на екранот на мониторот:

Во форматот на овој промпт, можно е да се пренесат дополнителни параметри на инсталерот. На пример, командата:

подигање: MCBC mem=128M

му кажува на инсталерот дека компјутерот има 128 MB RAM.

За да започнете со вчитување на програмата за инсталација, треба да притиснете копче. Јадрото на MCWS 3.0 OS ќе започне да се вчитува, придружено со дијагностички пораки, потоа ќе започне инсталационата програма, која автоматски ќе ги вчита драјверите за CD-уредот и контролерите на хард дискот присутни во компјутерот и поддржани од MSWS 3.0 OS.

Ако иницијализацијата не успее, тоа значи дека треба да преземете дополнителен драјвер за тој тип на ЦД-диск или хард диск. Инсталаторот ќе понуди листа на драјвери од кои треба да го изберете соодветниот драјвер и да кликнете „Да“.

Ако сте подигнале од флопи за подигање, откако ќе го извршите инсталаторот, ќе се појави дијалог-кутија за диск со драјвери со инструкции да ја вметнете дискетата на драјверите во уредот. Во овој случај, мора да се отстрани дискетата за подигање и да се вметне флопи дискот за двигатели.

По вчитувањето на потребните драјвери, на екранот на мониторот ќе се појави известување (Слика 9-1).

1.1.41.Избор на манипулатор со глушец

Изберете го типот „глувче“, на пример, „Regular PS/2 mouse“ и, ако „глувчето“ има две копчиња, тогаш можете да користите емулација на режимот со три копчиња. За да го направите ова, треба да овозможите емулација на третото копче и кликнете на копчето „Да“.

1.1.42.Партиционирање на хард дискот

Во повеќето случаи, поделбата на хард дискови, низи на дискови и волумени на LVM се случува во програмата Disk Druid. Покрај тоа, режимот „Автоматско партиционирање“ е посебен случај на работа со Disk Druid со автоматско пресметување на пропорциите на простор на дискот во согласност со реално инсталираната опрема. Ако ви треба работа на ниско ниво со хард диск, треба да ја користите алатката fdisk.

Изберете Disk Druid и притиснете го копчето.

Дијалогот за партиција што се појавува (Слика 9-4) ќе прикаже листа на достапни дискови и постоечки партиции.

Исто така, во овој прозорец има копчиња за работа со делови: „Ново“, „Уреди“, „Избриши“, „RAID“, „Да“, „Назад“.

Крајната линија дава совети за користење на копчињата: „F1-Help, F2-New, F3-Edit, F4-Delete, F5-Reset, F12-Yes“.

Општо земено, MCWS 3.0 OS е инсталиран на компјутер со празен хард диск. Во овој случај, можете да извршите партиционирање или со помош на програмата Disk Druid или со избирање на автоматско партиционирање.

За успешно инсталирање на MSWS 3.0 OS, доволно е да се создадат две партиции: root партицијата „/“ и партицијата swap. Големината на root партицијата мора да биде најмалку 1200 MB.

Можете да ги поставите директориумите /boot, /home, /var, /tmp и други на посебни партиции. Ова ви овозможува да ги изолирате, на пример, домашните директориуми на корисниците од root датотечен систем.

ВНИМАНИЕ. Во MSWS 3.0 OS, не можете да го поставите директориумот /usr на посебна партиција!

За да преместите директориум во посебна партиција, треба да креирате партиција со датотечен систем „ext3“ и да му доделите точка на монтирање што одговара на името на директориумот.

За да креирате дел, изберете го копчето „Ново“ и притиснете го копчето. Во полето за дијалог „Додај дел“ што се појавува (уредување на нов дел) (сл. 9-5):

• 
  изберете го типот на датотечниот систем (за делот swap – „swap“, во други случаи – „ext3“).
• 
  големина на партицијата во мегабајти (доколку е потребно, можете да ја „истегнете“ партицијата за да го покрие целиот диск);
• 
  точка на монтирање, за root партицијата е „/“; за swap партицијата, поставувањето на точката за монтирање не е потребно.

Кога ќе завршите со создавање на партиции, кликнете на копчето „Да“ во прозорецот „Партиција“.

На екранот на мониторот ќе се појави дијалог прозорецот „Зачувај промени“.

Кликнете на копчето „Да“.

Следниот чекор е форматирање на креираните партиции. На екранот на мониторот ќе се појави дијалог-кутија со наслов „Внимание!“. и листа на партиции кои ќе се форматираат кога ќе кликнете на копчето „Да“ (сл. 9-6).

1.1.43.Поставување на подигачот

На екранот ќе се појави дијалог-кутија „Поставки за подигнувачот“ (Слика 9-7). Во овој прозорец, мора да ја изберете опцијата за инсталирање на системот со или без подигнувач. Подигнувачот ви овозможува да имате неколку опции за стартување на системот или го избирате оперативниот систем за подигање (ако има повеќе од една). Во режим без подигнувач, MCWS 3.0 OS кернелот ќе биде исклучиво вчитан на овој систем.

Кликнете на копчето „Да“.

Следно, на екранот ќе се појави дијалог-кутија (сл. 9-8) со барање да внесете дополнителни параметри кои ќе се користат за време на вчитувањето. Стандардно, овој прозорец е поставен да го користи знамето на режимот LBA32 (со користење на 32-битни логички адреси на блоковите на тврдиот диск), бидејќи овој режим во повеќето случаи е потребен за поддршка на дискови со голем капацитет.

Ако компјутерот има уред за снимање на IDE CD, програмата за инсталација ќе постави линија како „hdc=ide-scsi“ во полето за внесување параметри (на пример, ако уредот е поврзан во Master режим на втор IDE контролер).

Ако не треба да пренесувате други параметри ниту на подигнувачот на LILO ниту на кернелот, се препорачува да ги оставите параметрите што ги нуди инсталерот и да кликнете на копчето „Да“.

Следната постапка при поставувањето на подигнувачот е поставување лозинка за пристап до промена на почетните параметри на системот. Бидејќи, ако има подигнувач, можно е да се префрлат специјализирани параметри на кернелот од тастатурата при стартување на системот, оваа функција е заштитена со лозинка за да се обезбеди потребното ниво на безбедност. Во следниот дијалог прозорец што се појавува (сл. 9-9), внесете лозинка, чија големина не треба да биде помала од 8 знаци. Потврдете ја вашата лозинка со повторно внесување на следната линија од прозорецот.

Кликнете на копчето „Да“.

На екранот ќе се појави дијалог-кутија за избор на партиции за подигање (сл. 9-10), барајќи од вас да наведете други партиции за подигање што може да се вчитаат со помош на подигачот на MSWS 3.0 OS. На пример, ако вашиот компјутер има друг оперативен систем, можете да го означите и да го подигнете користејќи го подигнувачот MSWS 3.0 OS.

Внесете ги бараните податоци во соодветните линии и кликнете на копчето „Да“.

Следниот прозорец (сл. 9-11) ја одредува локацијата на подигнувачот на дискот. Постојат две опции: главен запис за подигање (MBR) на хард дискот (се препорачува во повеќето случаи) или запис за подигање на соодветната партиција каде што се врши инсталацијата.

Направете избор и кликнете на копчето „Да“.

1.1.44.Поставување мрежа

Ако инсталационата програма открие барем една мрежна картичка, на екранот ќе се појави низа од дијалог-кутија „Мрежни поставки за ethX“ (сл. 9-12), каде што X е сериски број, во кој параметрите се конфигурирани за секоја мрежа картичка.

Протоколите за автоматска конфигурација на мрежните параметри BOOTP и DHCP се користат кога на мрежата има посебен сервер кој обезбедува услуга за автоматска конфигурација по барање на клиентската машина.

Ако нема DHCP сервер, мора експлицитно да ги поставите мрежните параметри со избирање „Активирај при подигање“. По ова, неколку линии ќе бидат означени во прозорецот во кој треба да ги наведете параметрите за мрежната врска.

Мрежните адреси се претставени во децимална формат (на пример, 192.168.1.1). Информациите за пополнување на полињата мора да ги обезбеди мрежниот администратор.

Мрежна адреса – IP адреса на компјутер на мрежата.

Мрежна маска е параметар кој ја карактеризира класата на мрежен сегмент.

Стандардната порта е јазол кој опслужува комуникации на оваа локална мрежа со надворешни мрежни сегменти.

Примарниот сервер за имиња е јазол кој ја поддржува услугата за резолуција на име на домен користејќи го протоколот DNS до IP адресите. Внесете ги IP адресите на дополнителните сервери за имиња (DNS) во соодветните полиња. Ако вашата мрежа користи единствен сервер за имиња, овие полиња може да се остават празни.

Кликнете на копчето „Да“.

Кликнете на копчето „Да“.

1.1.45.Избор на временска зона

Следното поле за дијалог „Изберете временска зона“ ќе се појави на екранот, во кое можете да ги конфигурирате поставките за времето на системот. Во MSWS 3.0 OS, времето се брои во локален режим, т.е. Хардверскиот часовник на системот уникатно го одредува неговото време без дополнителна конверзија во однос на различни референтни точки како што е UTC.

Во прозорецот, треба да ја изберете руската временска зона што најмногу се совпаѓа со локацијата на компјутерот, означувајќи ја разликата во стандардното време во однос на зоната „нулта“ - Европа / Москва (слика 9-14).

Кликнете на копчето „Да“.

1.1.46.Избор и инсталирање на пакети

На екранот ќе се појави дијалог-кутија „Избери комплекси“ (сл. 9-15).

Во овој дијалог прозорец, од вас е побарано да ги изберете следниве комплекси:

• 
  Основна конфигурација на ОС;
• 
  Подсистем за графички интерфејс;
• 
  Алатки за развој.

Изборот на групата „Основна конфигурација на оперативниот систем“ е задолжително, таа ги содржи сите потребни компоненти за работа на MSWS 3.0 OS во основната верзија (без дополнителни алатки).

Режимот за инсталација „Сите (вклучувајќи опционални)“ значи инсталирање на сите пакети на дистрибуцијата, вклучувајќи модификации на кернелот на ОС што не се специфични за даден компјутер и збир на пакети неопходни за правење диск за подигање за MSWS 3.0 OS .

За подетален избор на пакети (можеби за да заштедите простор на дискот окупиран од ОС), треба да ја проверите опцијата „Избор на индивидуален пакет“ и да кликнете на копчето „Да“. Ќе се појави прозорецот „Избери пакети“ (Слика 9-16) со листа на групи на пакети и самите пакети.

Групата може да се склопи/прошири со цртање линија за означување на неа и притискање на копче. За да добиете информации за пакетот, треба да нацртате линија за означување на него и да го притиснете копчето. Вклучувањето/оневозможувањето на пакетите во списокот за инсталација се врши со притискање на копчето.

Откако ќе го завршите изборот на пакети, кликнете на копчето „Да“.

Ако сте избрале приспособена листа на пакети за инсталација, може да се појави ситуација кога меѓу нив се појавуваат неисполнети зависности. Ова значи дека избраната листа содржи пакети кои бараат инсталација од други пакети од дискот за подигање WSWS 3.0 кои не биле избрани. Зависностите од пакетот ќе бидат решени автоматски од страна на инсталерот.

Откако ќе го завршите изборот на пакети, на вашиот екран ќе се појави полето за дијалог Start Installation. Овој прозорец ќе содржи информации за датотеката /root/log, во која инсталационата програма ќе зачува листа на инсталирани пакети по завршувањето.

Вистинската партиција на дискот и инсталацијата на пакетите ќе започне само откако ќе кликнете на копчето „Да“ во прозорецот „Започни со инсталација“. Доколку е потребно, сè уште можете да го прекинете процесот на инсталација пред оваа точка со рестартирање на компјутерот. Во овој случај, сите податоци на хард дисковите ќе останат непроменети.

За да започнете со инсталирање на пакетите, кликнете на копчето „Да“.

На екранот ќе се појави прозорецот „Инсталација на пакети“ (Слика 9-17).

Во оваа фаза, можете да го набљудувате процесот на инсталација на избраните пакети, кој се изведува автоматски. За секој пакет се прикажува краток опис, како и статистички информации за процесот на инсталација на тековниот пакет и сите пакети заедно.

1.1.47.Поставување лозинка за суперкорисник

На екранот ќе се појави дијалог-кутија „Root User Password“ (Слика 9-18). Поставете лозинка во линијата „Лозинка“ и потврдете го нејзиното внесување во линијата „Потврди лозинка“ (ограничувањата за видот и големината на лозинката се одредуваат според безбедносните барања за системот; стандардно, големината на лозинката е најмалку осум ликови). Кога поставувате лозинка со помош на тастатурата, од безбедносни причини, на екранот се прикажуваат ѕвездички наместо внесени знаци. Кликнете на копчето „Да“.

1.1.48.Креирање флопи за подигање

Следното поле за дијалог „Поставување дискови за подигање“ ќе се појави на екранот (Слика 9-19). Може да биде потребен сет на флопи за подигање ако записот за подигање на вашиот хард диск е оштетен.

За да креирате дискети за подигање, кликнете на копчето „Да“. Потоа следете ги упатствата понудени во полето за дијалог.

Ако не треба да креирате комплет за подигање, кликнете Бр. Во иднина, можете да креирате диск за подигање користејќи графичка алатка или командата mkbootdisk.

1.1.49.Поставување на видео картичката и мониторот

Следниот чекор е да го конфигурирате графичкиот систем. За да го направите ова, следете ги инструкциите во полето за дијалог за да внесете информации за видео картичката и мониторот.

Ако инсталационата програма автоматски го открие типот на видео картичката, ќе се појават информации за неа (Слика 9-20).

Ориз. 9-19. Креирање флопи дискови за подигање.

Ориз. 9-20. Избор на видео картичка.

Во спротивно, ќе се појави полето за дијалог Изберете картичка. Изберете го неговиот тип од списокот. Ако потребната видео картичка не е на списокот, изберете „Неодредена картичка“.

Во прозорецот „Избери сервер“, изберете X сервер со кој може да работи вашата постоечка видео картичка.

После ова, ќе се појави полето за дијалог „Поставки за монитор“ (Слика 9-21). Ако инсталаторот не го открие автоматски типот на вашиот монитор, изберете го соодветниот монитор од списокот Промени.

Доколку е потребно, можете рачно да ги наведете параметрите на мониторот. За да го направите ова, изберете ја ставката од типот „Друго“ во списокот и поставете ја работната фреквенција на скенирање на слики вертикално и хоризонтално (60~100Hz).

Кликнете на копчето „Да“.

Откако ќе го изберете мониторот, на екранот ќе се појави прозорецот „Advanced“ (Сл. 9-22). Изберете ја потребната длабочина на бојата и резолуцијата на мониторот во прозорецот. Покрај тоа, во овој прозорец можете да го изберете режимот за најавување „Графички“ (препорачано) или „Текст“. Ако изберете графичко најавување, GUI системот ќе стартува стандардно. Направете избор и кликнете на копчето „Да“.

По поставувањето на графичкиот систем, ќе се појави информативниот прозорец „Installation Complete“ (Слика 9-23) со порака „Честитки, инсталацијата на MSWS 3.0 OS е завршена“.

Кликнете на копчето „Да“ за да се рестартира. Компјутерот ќе почне да се рестартира. За време на рестартирањето, фиоката за ЦД автоматски ќе се исфрли. Отстранете го дискот од фиоката.

Ориз. 9-23. Инсталирањето е завршено.

Ориз. 9-24. Начин на инсталација

Мобилниот систем на вооружените сили (MSMS) е безбеден, повеќекориснички, оперативен систем со повеќе задачи и општа намена за споделување време (ОС) развиен врз основа на оперативниот систем Red Hat Linux. ОС обезбедува приоритетен систем на повеќе нивоа со превентивно извршување на повеќе задачи, организација на виртуелна меморија и целосна мрежна поддршка; работи со мултипроцесорски (SMP - симетрично мултипроцесирање) и конфигурации на кластер на платформите Intel, IBM S390, MIPS (комплекси од серијата Baguette произведени од Korund-M) и SPARC (Elbrus-90micro). Посебна карактеристика на MSWS 3.0 OS е вградената заштита од неовластен пристап што ги исполнува барањата на Водечкиот документ на Државната техничка комисија под претседателот на Руската Федерација за компјутерска опрема од класа 2. Безбедносните карактеристики вклучуваат задолжителна контрола на пристап, списоци за контрола на пристап, модел на улоги и напредни алатки за ревизија (логирање на настани). MSWS OS е дизајниран за изградба на стационарни безбедни автоматизирани системи. Развивачот на MSVS е Серускиот истражувачки институт за автоматизација на контрола во неиндустриската сфера наречен по име. В.В.Соломатина (ВНИИНС). Прифатен за снабдување на вооружените сили на РФ во 2002 година.

Датотечниот систем MSWS 3.0 OS поддржува имиња на датотеки долги до 256 знаци со можност за создавање имиња на датотеки и директориуми на руски јазик, симболични врски, систем за квоти и списоци со права за пристап. Можно е да се монтираат датотечни системи FAT и NTFS, како и ISO-9660 (ЦД). Механизмот за квоти ви овозможува да контролирате како корисниците користат простор на дискот, бројот на започнати процеси и количината на меморија доделена на секој процес. Системот може да се конфигурира да издава предупредувања кога ресурсите што ги бара корисникот се приближуваат до одредена квота.

MSWS 3.0 OS вклучува графички систем базиран на X прозорецот. За работа во графичко опкружување, се испорачуваат два менаџери на прозорци: IceWM и KDE. Повеќето програми во WSWS OS се дизајнирани да работат во графичко опкружување, што создава поволни услови не само за работата на корисниците, туку и за нивна транзиција од Windows OS во WSWS OS.

MSWS 3.0 OS е испорачан во конфигурација која, покрај главната контролна програма (кернел), вклучува сет на дополнителни софтверски производи. Самиот ОС се користи како основен елемент за организирање на автоматизирани работни станици (AWS) и градење на автоматизирани системи. Дополнителен софтвер (софтвер) може да се инсталира опционално, и е фокусиран на максимална автоматизација на управувањето и администрацијата на доменот, што ви овозможува да ги намалите трошоците за сервисирање на работните станици и да се концентрирате на корисниците кои ја извршуваат својата целна задача. Инсталационата програма ви овозможува да го инсталирате оперативниот систем од бутабилно ЦД или преку мрежа користејќи FTP. Обично, серверот за инсталација прво се инсталира и конфигурира од дискови, а потоа преостанатите компјутери се инсталираат преку мрежата. Серверот за инсталација во доменот што работи ја извршува задачата за ажурирање и обновување на софтверот на работните станици. Новата верзија се објавува само на серверот и потоа софтверот автоматски се ажурира на работното место. Ако софтверот на работните станици е оштетен (на пример, кога програмската датотека е избришана или контролните суми на извршните или конфигурациските датотеки не се совпаѓаат), соодветниот софтвер автоматски се инсталира повторно.

За време на инсталацијата, од администраторот се бара да избере еден од стандардните типови на инсталација или прилагодена инсталација. Стандардните типови се користат кога се инсталираат на стандардни работни станици и ги покриваат главните стандардни опции за организирање работни станици врз основа на MSWS 3.0 OS. Секој стандарден тип дефинира збир на инсталирани софтверски производи, конфигурација на дискот, збир на датотечни системи и голем број системски поставки. Прилагодената инсталација ви овозможува експлицитно да ги поставите сите наведени карактеристики на финалниот систем, сè до изборот на поединечни софтверски пакети. Ако изберете приспособена инсталација, можете да инсталирате MCWS 3.0 OS на компјутер кој веќе има инсталиран друг оперативен систем (на пример, Windows NT).

MSWS 3.0 OS вклучува унифициран систем за документација (UDS) со информации за различни аспекти од работата на системот. ESD се состои од сервер за документација и база на податоци што содржи текстови за опис, до кои може да се пристапи преку прелистувачи. Кога инсталирате дополнителен софтвер, соодветните референтни делови се инсталирани во базата на податоци за ESD. Унифицираниот лист со податоци може да се наоѓа локално на секоја работна станица или може да се додели посебен сервер за документација во доменот MSWS OS. Последната опција е корисна за употреба во големи домени на MCWS OS за да се заштеди вкупен простор на дискот, да се поедностави процесот на управување и да се ажурира документацијата. Пристапот до документацијата од други работни станици е возможен преку веб-прелистувачот испорачан со MSWS 3.0 OS.

ОС MSWS 3.0 е русифициран и во алфанумерички и во графички режими. Поддржани се виртуелни терминали, префрлувањето меѓу нив се врши со помош на комбинација на копчиња.

Клучната точка од гледна точка на интегритетот на системот е операцијата на регистрација на нови корисници на MSWS OS, кога се одредуваат корисничките атрибути, вклучувајќи ги и безбедносните атрибути, според кои системот за контрола на пристап последователно ќе ја контролира работата на корисникот. Основа за моделот на мандати се информациите внесени при регистрација на нов корисник.

За спроведување на дискрециона контрола на пристап, се користат традиционални Unix механизми на битови за правата на пристап и листи за контрола на пристап (ACL). Двата механизми се имплементирани на ниво на датотечен систем на MSWS 3.0 OS и се користат за поставување права за пристап до објектите на датотечниот систем. Битовите ви дозволуваат да дефинирате права за три категории корисници (сопственик, група, други), меѓутоа, ова не е доволно флексибилен механизам и се користи при поставување права за повеќето датотеки на ОС, кои се користат на ист начин од страна на мнозинството корисници. Користејќи ACL, можете да поставите права на ниво на поединечни корисници и/или кориснички групи и со тоа да постигнете значителна грануларност во поставувањето права. Списоците се користат при работа со датотеки кои бараат, на пример, различни права за пристап за неколку специфични корисници.

Технички карактеристики на MSWS 3.0 OS:

Инсталирање MSWS 3.0 OS

Практичната лекција ќе го опфати процесот на инсталирање на MSWS OS на компјутер или компјутерски мрежен сервер. Процесот на инсталација за MSWS 3.0 OS се состои од следниве чекори:

1. Подигнување на компјутер или компјутерски мрежен сервер од медиум за складирање на кој се наоѓа комплетот за дистрибуција со MSWS 3.0 OS. Откако ќе заврши процесот на вчитување од медиумот, сликата прикажана на сл. 2.1. За да продолжите, мора да го притиснете копчето<Ввод> ().

Слика 2.1. Стартување на екранот за волшебникот за инсталација MSWS 3.0 OS.

1. Јадрото на MCWS OS се иницијализира и се открива опремата, по што на екранот се прикажува сликата прикажана на сл. 2.2. За да продолжите, мора да кликнете на копчето<Готово>.

Слика 2.2. Откриен екран на уреди.

1. На екранот се прикажува „Добредојдовте“ прикажано на сл. 2.3. За да продолжите, мора да кликнете на копчето<Да>.

Слика 2.3. Екран за добредојде.

1. Избор на модел на глушец поврзан со компјутерот (сл. 2.4). Поради фактот што манипулаторот „глувче“ нема да се користи во понатамошната работа, треба да ја изберете ставката „Нема глушец“ и да го притиснете копчето<Да>.

Слика 2.4. Избор на модел на глушец поврзан со компјутерот.

1. Поделбата на хард дискот е еден од најкритичните моменти за време на инсталацијата на MSWS OS. Не затоа што партиционирањето на хард дискот е толку комплицирано, туку затоа што грешките направени за време на тоа може да се поправат само со голема тешкотија и овој процес може да биде полн со губење на податоци.

Ова поглавје ги опфаќа следните теми:

Корисници;

Разлики помеѓу привилегирани и непривилегирани корисници;

Датотеки за најавување;

Датотека /etc/passwd;

Датотека /etc/shadow;

Датотека /etc/gshadow;

Датотека /etc/login.defs;

Измена на информации за стареење на лозинката;

Безбедноста на WSWS се заснова на концептите на корисници и групи. Сите одлуки за тоа што е или не смее да прави корисникот се донесуваат врз основа на тоа кој е најавениот корисник од перспектива на кернелот на оперативниот систем.

Општ поглед на корисниците

WSWS е мултитаскинг, мулти-кориснички систем. Одговорноста на оперативниот систем е да ги изолира и заштити корисниците едни од други. Системот го следи секој корисник и, врз основа на тоа кој е овој корисник, одредува дали може да му се даде пристап до одредена датотека или да му се дозволи да изврши одредена програма.

Кога се креира нов корисник, му се доделува единствено име

ЗАБЕЛЕШКА

Системот ги одредува корисничките привилегии врз основа на корисничкиот ID (userID, UID). За разлика од корисничкото име, UID може да не е единствен, во тој случај пронајденото прво име чие UID се совпаѓа со даденото се користи за да се совпадне со корисничкото име.

На секој нов корисник регистриран во системот му се доделуваат одредени елементи на системот.

Привилегирани и непривилегирани корисници

Кога ќе се додаде нов корисник во системот, му се доделува посебен број наречен кориснички ID(кориснички ID, UID). Во Caldera WSWS, распределбата на ИД на нови корисници започнува од 500 и продолжува нагоре, до 65.534. Броевите до 500 се резервирани за системските сметки.

Општо земено, идентификаторите со броеви помали од 500 не се разликуваат од другите идентификатори. Честопати, програмата бара специјален корисник со целосен пристап до сите датотеки за да функционира правилно.

Нумерирањето на идентификаторите започнува од 0 и продолжува до 65 535. UID 0 е посебен UID. Секој процес или корисник со ID од нула е привилегиран. Таквото лице или процес има неограничена моќ над системот. Ништо не може да му биде забрана. Корен-сметката (сметка чија UID е 0), исто така наречена сметка суперкорисник,го прави лицето што влегува да го користи, ако не сопственик, тогаш барем негов овластен претставник.

Тоа остава UID еднаков на 65535. Исто така, не е обичен. Овој UID му припаѓа на корисникот никој (никој).

Некогаш, еден од начините за хакирање на системот беше да се создаде корисник со ID 65536, како резултат на што тој доби привилегии за суперкорисник. Навистина, ако земете кој било UID и го претворите соодветниот број во бинарна форма, ќе добиете комбинација од шеснаесет бинарни цифри, од кои секоја е еднаква на 0 или 1. Огромното мнозинство идентификатори вклучуваат и нули и единици. Исклучок се UID на суперкорисник, кој е сите нули, и UIDnobody, кој е 65535 и се состои од 16 единици, односно 1111111111111111. Бројот 65.536 не може да се стави во 16 бита - за да го претставите овој број во бинарна форма, потребен ви е да користите 17 бита. Најзначајната цифра ќе биде еднаква на еден (1), сите други ќе бидат еднакви на нула (0). Значи, што се случува кога ќе креирате корисник со идентификатор со должина од 17 бинарни цифри - 100000000000000000? Теоретски, корисник со нулта идентификатор: бидејќи само 16 бинарни бита се распределени за идентификаторот, нема каде да се складира 17-тиот бит и тој е отфрлен. Затоа, единствената единица на идентификатор се губи, а остануваат само нули, а во системот се појавува нов корисник со идентификатор, а со тоа и привилегии на суперкорисник. Но, сега нема програми во WSWS што ќе ви овозможат да го поставите UID на 65536.

ЗАБЕЛЕШКА

Може да се креираат корисници со ID поголеми од 65.536, но не можат да се користат без замена на /bin/login.

Секој хакер дефинитивно ќе се обиде да добие суперкориснички привилегии. Откако ќе ги прими, понатамошната судбина на системот целосно ќе зависи од неговите намери. Можеби тој, задоволен од самиот факт на хакирање, нема да и направи ништо лошо и, откако ви испрати писмо во кое ги опишува дупките што ги нашол во безбедносниот систем, ќе ја остави засекогаш сама, но можеби и не. Ако намерите на хакерот не се толку чисти, тогаш најдоброто на што може да се надеваме е да го оневозможи системот.

Датотека /etc/passwd

Секој што сака да се најави мора да внесе корисничко име и лозинка, кои се проверуваат во однос на корисничката база на податоци зачувана во датотеката /etc/passwd. Меѓу другото, ги чува лозинките на сите корисници. При поврзување со системот, внесената лозинка се проверува со лозинката што одговара на даденото име, а доколку се совпадне, корисникот се дозволува да влезе во системот, по што програмата наведена за даденото корисничко име во датотеката со лозинка е лансиран. Ако е командна школка, корисникот може да внесува команди.

Да го погледнеме списокот 1.1. Ова е датотека passwd од стар стил.

Листа 1.1.Датотека /etc/passwd во стар стил

корен: *: 1i DYwrOmhmEBU: 0: 0: корен:: / корен: /bin/bash

bin:*:1:1:bin:/bin:

демон:*:2: 2: демон:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

синхронизирање:*:5:0:синхронизирање:/sbin:/bin/sync

исклучување:*:6:11:исклучување:/sbin:/sbin/shutdown

halt:*:7:0:halt:/sbin:/sbin/halt

пошта:*:8:12:пошта:/var/spool/mail:

вести:*:9:13:вести:/var/spool/вести:

uucp:*:10:14:uucp:/var/spool/uucp:

оператор:*:11:0:оператор:/root:

игри:*:12:100:игри:/usr/игри:

Gopher:*:13:30:gopher:/usr/1ib/gopher-data:

ftp:*:14:50:FTP Корисник:/home/ftp:

man:*:15:15:Manuals Сопственик:/:

мајордом:*:16:16:Мајордомо:/:/bin/неточно

postgres:*:17:17:Postgres Корисник:/home/postgres:/bin/bash

mysql:*:18:18:MySQL Корисник:/usr/local/var:/bin/false

silvia:1iDYwrOmhmEBU:501:501:Silvia Bandel:/home/silvia:/bin/bash

никој:*:65534:65534:Никој:/:/bi n/неточно

Дејвид:1iDYwrOmhmEBU:500:500:Дејвид А. Бандел:/дома/давид:/бин/баш

Датотеката со лозинка има строго дефинирана структура. Содржината на датотеката е табела. Секоја линија од датотеката е запис од табелата. Секој запис се состои од неколку полиња. Полињата во датотеката passwd се одделени со две точки, така што запирките не можат да се користат во ниту едно од полињата. Има вкупно седум полиња: корисничко име, лозинка, кориснички ID, ID на група, поле GECOS (познато како поле за коментар), домашен директориум и школка за најавување.

Дознајте повеќе за /etc/passwd

Првото поле го содржи корисничкото име. Таа мора да биде единствена - нема двајца корисници на системот да го имаат истото име. Полето за име е единственото поле чија вредност мора да биде единствена. Второто поле ја складира лозинката на корисникот. За да се обезбеди безбедност на системот, лозинката се чува во хеширана форма. Терминот „хаширан“ во овој контекст значи „шифриран“. Во случај на MSWS, лозинката е шифрирана со користење на DES (DataEncryptionStandard) алгоритам. Должината на хашираната лозинка во ова поле е секогаш 13 знаци, а некои знаци како две точки и единечен цитат никогаш не се појавуваат меѓу нив. Секоја вредност на полето, освен точната лозинка од 13 знаци, ќе го оневозможи тој корисник да се најави, со еден исклучително важен исклучок: полето за лозинка може да биде празно.

Второто поле не содржи ништо, дури ни празно место, што значи дека на соодветниот корисник не му е потребна лозинка за да се најави. Ако ја промените лозинката зачувана во полето со додавање знак, како што е единечен цитат, сметката ќе биде заклучена и корисникот нема да може да се најави. Факт е дека по додавањето на нелегален знак на хаширана лозинка од 14 знаци, системот одби да го автентицира корисникот со таква лозинка.

Должината на лозинката моментално е ограничена на осум знаци. Корисникот може да внесе подолги лозинки, но само првите осум знаци ќе бидат значајни. Првите два знака од хашираната лозинка се семка(сол). (Семето е бројот што се користи за иницијализирање на алгоритмот за шифрирање. Секогаш кога се менува лозинката, семето се избира случајно.) Како резултат на тоа, бројот на сите можни пермутации е доволно голем што е невозможно да се открие дали има корисници на системот со исти лозинки едноставно со споредување на хаширани лозинки.

ЗАБЕЛЕШКА

Нападот во речник е метод на брутална сила за пробивање лозинки и вклучува употреба на речник и познато семе. Нападот се состои од набројување на сите зборови во речникот, нивно шифрирање со дадено семе и споредување на резултатот со пробиената лозинка. Покрај тоа, покрај зборовите од речникот, обично се разгледуваат и некои нивни модификации, на пример, сите букви се напишани со големи букви, само првата буква е напишана со голема буква и додавање броеви (обично само 0-9) на крајот на сите овие комбинации. . На овој начин може да се пробијат доста лозинки кои лесно се погодуваат.

Третото поле го означува корисничкиот ID. Корисничкиот ID не мора да биде единствен. Конкретно, покрај root корисникот, може да има кој било број други корисници со нулта идентификатор и сите ќе имаат привилегии за суперкорисник.

Четвртото поле ја содржи групата ID (GroupID, GID). Групата наведена во ова поле се нарекува примарна група на корисникот(примарна група). Корисникот може да припаѓа на неколку групи, но една од нив мора да биде примарна група.

Петтото поле сега се нарекува поле за коментари, но неговото првобитно име беше GECOS, за „GEConsolidatedOperatingSystem“. Кога барате кориснички информации преку прст или друга програма, содржината на ова поле сега се враќа како вистинско име на корисникот. Полето за коментар може да биде празно.

Шестото поле го одредува домашниот директориум на корисникот. Секој корисник мора да има свој домашен директориум. Обично, кога корисникот се најавува, тој завршува во неговиот домашен директориум, но ако таков не постои, тој завршува во root директориумот.

Седмото поле ја одредува обвивката за најавување. Не секоја школка може да биде наведена во ова поле. Во зависност од поставките на вашиот систем, може да наведе само школка од списокот со валидни школки. Во WSWS, листата на валидни школки се наоѓа стандардно во датотеката /etc/shells.

Датотека /etc/shadow

Сопственикот на датотеката /etc/shadow е root корисникот и само тој има право да ја чита оваа датотека. За да го креирате, треба да ги земете корисничките имиња и хашираните лозинки од датотеката passwd и да ги ставите во датотеката во сенка, додека сите хаширани лозинки во датотеката passwd да ги замените со x знаци. Ако ја погледнете системската датотека passwd, можете да видите дека има x знаци наместо хашираните лозинки. Овој симбол му укажува на системот дека лозинката не треба да се бара овде, туку во датотеката /etc/shadow. Преминот од едноставни лозинки до оние во сенка и назад се врши со користење на три комунални услуги. За да пристапите до лозинките во сенка, прво стартувајте ја алатката pwck. Ја проверува датотеката passwd за какви било аномалии што би можеле да предизвикаат неуспех на следниот чекор или едноставно да се заглават во јамка. По извршувањето на pwck, алатката pwconv се активира за да се создаде /etc/shadow. Ова обично се прави по рачно ажурирање на датотеката /etc/passwd. За да се вратите на нормалните лозинки, стартувајте го pwuncov.

Датотеката со лозинка во сенка е слична на обична датотека со лозинка на многу начини. Особено, првите две полиња од овие датотеки се исти. Но, покрај овие полиња, природно содржи дополнителни полиња кои не се присутни во обичната датотека со лозинка. Листа 1.2. ја прикажува содржината на типична датотека /etc/shadow.

Листа 1.2.Датотека /etc/shadow

root:1iDYwrOmhmEBU:10792:0:: 7:7::

bin:*:10547:0::7:7::

демон:*:10547:0::7:7::

adm:*:10547:0::7:7::

лп:*:10547:0::7:7::

синхронизирај:*:10547:0::7:7::

исклучување:U:10811:0:-1:7:7:-1:134531940

стоп:*:10547:0::7:7::

пошта:*:10547:0::7:7::

вести:*:10547:0::7:7::

uucp:*:10547:0::7:7::

оператор:*:10547:0::7:7::

игри:*: 10547:0: :7:7::

Gopher:*:10547:0::7:7::

ftp:*:10547:0::7:7::

човек:*:10547:0::7:7::

мајсторија:*:10547:0::7:7::

postgres:*:10547:0::7:7::

mysql:*:10547:0::7:7::

si1via:1iDYwrOmhmEBU:10792:0:30:7:-l::

никој :*:10547:0::7:7::

david:1iDYwrOmhmEBU:10792:0::7:7::

Дознајте повеќе за /etc/shadow

Целта на првото поле од датотеката во сенка е иста како и првото поле од датотеката passwd.

Второто поле ја содржи хашираната лозинка. Имплементацијата на WSWS на лозинки во сенка дозволува хаширани лозинки со должина од 13 до 24 знаци, но програмата за шифрирање на лозинка за криптата може да произведе само хаширани лозинки од 13 знаци. Карактерите што се користат во хашот се земени од збир од 52 азбучни букви (мали и големи), броеви 0-9, точка и обратна коса црта (/). Севкупно, дозволени се 64 знаци во полето за хаширана лозинка.

Значи, семето, кое, како и досега, е првите два симболи, може да се избере од 4096 можни комбинации (64x64). Енкрипцијата го користи алгоритмот DES со 56-битен клуч, односно клучниот простор на овој алгоритам има 2 56 клучеви, што е приближно еднакво на 72.057.590.000.000.000 или 72 квадрилиони. Бројката изгледа импресивно, но повторувањето на сите копчиња од простор со оваа големина всушност може да потрае многу кратко време.

Третото поле започнува со информации за стареењето на лозинката. Го зачувува бројот на денови што поминале од 1 јануари 1970 година до последниот пат кога е сменета лозинката.

Четвртото поле го одредува минималниот број денови што мора да поминат пред да може повторно да се смени лозинката. Сè додека не помине бројот на денови наведени во ова поле од последната промена на лозинката, не можете повторно да ја промените лозинката.

Петтото поле го одредува максималниот број денови во кои може да се користи лозинката, по што мора да се смени. Ако ова поле е поставено на позитивна вредност, обидот на корисникот да се најави по истекот на лозинката ќе резултира со тоа што командата за лозинка не се извршува како и обично, туку во режимот за задолжителна промена на лозинката.

Вредноста во шестото поле одредува колку дена пред истекот на лозинката треба да започне предупредувањето за ова. По добивањето предупредување, корисникот може да почне да излегува со нова лозинка.

Седмото поле го одредува бројот на денови, почнувајќи од денот на задолжителната промена на лозинката, по што оваа сметка е блокирана.

Претпоследното поле го складира денот кога сметката била блокирана.

Последното поле е резервирано и не се користи.

Дознајте повеќе за /etc/group

Секој запис во датотеката /etc/group се состои од четири полиња одделени со две точки. Првото поле го одредува името на групата. Слично на корисничкото име.

Второто поле обично е секогаш празно, бидејќи механизмот за лозинка обично не се користи за групи, но ако ова поле не е празно и содржи лозинка, тогаш секој корисник може да се приклучи на групата. За да го направите ова, треба да ја извршите командата newgrp со името на групата како параметар, а потоа да ја внесете точната лозинка. Ако не поставите лозинка за група, само корисниците наведени во списокот за членство во групата можат да се придружат.

Третото поле го одредува идентификаторот на групата (GroupID, GID). Неговото значење е исто како и на корисничкиот ID.

Последното поле е листа на кориснички имиња кои припаѓаат на групата. Корисничките имиња се наведени одделени со запирки без празни места. Примарната група на корисникот е означена (задолжително) во датотеката passwd и се доделува кога корисникот се поврзува со системот врз основа на овие информации. Соодветно на тоа, ако ја промените примарната група на корисникот во датотеката passwd, корисникот повеќе нема да може да се приклучи на неговата поранешна примарна група.

Датотека /etc/login.defs

Постојат неколку начини да додадете нов корисник во системот. Следниве програми се користат во MSVS за ова: coastooL, LISA, useradd. Било кој од нив ќе направи. Услужната алатка COAS користи своја сопствена датотека. И програмите useradd и LISA земаат информации за стандардните вредности за полињата на датотеките passwd и shadow од датотеката /etc/login.defs. Содржината на оваа датотека е прикажана во скратена форма во Списокот 1.4.

Листа 1.4.Кратка датотека /etc/login.defs

#Максимален број на денови во кои е дозволено да се користи лозинка:

#(-1 - не е потребна промена на лозинката) PASS_MAX_DAYS-1

Минимален број денови помеѓу промените на лозинката: PASS_MIN_DAYSO

#Колку дена пред датумот за промена на лозинката треба да се издаде предупредување: PASS_WARN_AGE7

#Колку дена мора да поминат по истекот на лозинката пред да се заклучи сметката: PASS_INACTIVE-1

#Присили истекување на лозинката на даден ден:

# (датумот се идентификува со бројот на денови по 70/1/1, -1 = не присилувај) PASS_EXPIRE -1

#Вредности на полињата на креираната сметка за програмата useradd

#стандардна група: GROUP100

#user домашен директориум: %s = корисничко име) HOME /home/%s

#стандардна школка: SHELL/bin/bash

#директориум каде што се наоѓа скелетот на домашниот директориум: SKEL/etc/skel

#минимални и максимални вредности за автоматско избирање gid во groupaddGID_MIN100

Содржината на оваа датотека поставува стандардни вредности за полињата passwd и shadow датотека. Ако не ги отфрлите од командната линија, тие ќе се користат. Како почетна точка, овие вредности се во ред, но некои од нив ќе треба да се променат за да се имплементира стареењето на лозинката. Вредноста -1 значи дека нема ограничувања.

Програмата COAS на Caldera користи графички кориснички интерфејс (GUI).

За да ги промените информациите за стареење на лозинката за еден или двајца корисници, можете да ја користите командата chage (промена). Непривилегираните корисници можат да извршат промена само со опциите -l и сопственото корисничко име, што значи дека ќе им биде побарано само стареење на информации за сопствената лозинка. За да ги промените информациите за застареност, едноставно наведете го корисничкото име; останатите параметри ќе бидат побарани во режим на дијалог. Повикувањето надомест без параметри ќе даде кратка помош за користењето.

COAS може да се користи за промена на поставките за стареење на лозинката на основа на сметката. Во овој случај, вредностите се означени во денови. Програмскиот интерфејс е очигледен.

ЗАБЕЛЕШКА -

За да добиете информации за истекување на лозинката на корисникот или да го присилите овој процес, можете да ја користите командата за истекување.

RAM безбедносен систем

Основната идеја на RAM е дека секогаш можете да напишете нов безбедносен модул кој пристапува до датотека или уред за информации и го враќа резултатот од процедурата за овластување: УСПЕШЕН, НЕСПЕШЕН или ИГНОРИРАЈ. И RAM меморијата, пак, ќе ги врати SUCCESS или FAILURE на услугата што ја повика. Така, не е важно какви лозинки, сенка или обични, се користат во системот ако има RAM меморија: сите програми што поддржуваат RAM меморија ќе работат добро со двете.

Сега да продолжиме да ги разгледуваме основните принципи на работа на RAM меморијата. Да го погледнеме списокот 1.6. Директориумот /etc/pam.d содржи и конфигурациски датотеки за други услуги како што се su, passwd итн., во зависност од тоа каков софтвер е инсталиран на системот. Секоја ограничена услуга има своја конфигурациска датотека. Ако нема, тогаш оваа услуга со ограничен пристап спаѓа во категоријата „друго“, со конфигурациската датотека other.d. (Ограничена услуга е секоја услуга или програма што бара овластување за користење. Со други зборови, ако услугата вообичаено бара корисничко име и лозинка, тоа е ограничена услуга.)

Список 1.6. Датотека за конфигурација на услугата за најава

потребно е да се потврди pam_securetty.така

потребна е потврда pam_pwdb.so

се бара auth pam_nologin.so

#auth бара pam_dialup.so

auth опционален pam_mail.so

потребна е сметка pam_pwdb.so

потребна е сесија pam_pwdb.so

сесија незадолжителна pam_lastlog.so

потребна е лозинка pam_pwdb.so

Како што можете да видите од списокот, конфигурациската датотека се состои од три колони. Линиите кои започнуваат со хеш знак (#) се игнорираат. Затоа, модулот pam_dialup (четврта линија од списокот 1.6.) ќе биде прескокнат. Датотеката содржи линии со истото трето поле - pam_pwd.so, а првото - auth. Употребата на неколку линии со исто прво поле се нарекува редење на модули и ви овозможува да добиете повеќестепена овластување (стек од модули), вклучувајќи неколку различни процедури за авторизација.

Првата колона е тип колона. Типот се одредува со една од четирите ознаки на знаци: авт, сметка, сесија и лозинка. Содржините на сите колони се сметаат за нечувствителни на букви.

Типот auth се користи за да се утврди дали корисникот е тој што вели дека е. Како по правило, ова се постигнува со споредување на внесените и зачуваните лозинки, но можни се и други опции.

Типот на сметка проверува дали на даден корисник му е дозволено да ја користи услугата, под кои услови, дали лозинката е застарена итн.

Типот на лозинка се користи за ажурирање на токените за авторизација.

Типот на сесија врши одредени дејства кога корисникот се најавува и кога корисникот се одјавува.

Контролни знамиња

Втората колона е поле за контролно знаменце кое одредува што да се прави по враќањето од модулот, односно одговорот на PAM на вредностите УСПЕХ, ИГНОРИРАЊЕ и НЕФИЛУРА. Дозволени вредности: задолжителни, потребни, доволни и опционални. Вредноста во ова поле одредува дали ќе се обработуваат преостанатите линии од датотеката.

Потребното знаме (задолжително) го одредува најрестриктивното однесување. Секоја линија со потребното знаменце чиј модул враќа вредност FAILURE ќе биде прекината и услугата што ја повикала ќе врати статус FAILURE. Нема да се разгледуваат други линии. Ова знаме се користи доста ретко. Факт е дека ако прво се изврши модулот означен со него, тогаш модулите што го следат може да не се извршат, вклучително и оние кои се одговорни за евиденција, па наместо тоа обично се користи потребното знаменце.

Потребното знаменце не го прекинува извршувањето на модулите. Без оглед на резултатот од извршувањето на модулот означен со него: УСПЕХ, ИГНОРИРАЊЕ или НЕСПЕШНОСТ, RAM меморијата секогаш продолжува да го обработува следниот модул. Ова е најчесто користеното знаме, бидејќи резултатот од извршувањето на модулот не се враќа додека сите други модули не го завршат своето извршување, што значи дека модулите одговорни за логирање дефинитивно ќе бидат извршени.

Доволното знаменце предизвикува низата веднаш да ја заврши обработката и да се врати УСПЕШНО, под услов модулот што го означил да се врати УСПЕШЕН и да нема претходно сретнато модул со бараното знаменце кое вратило НЕСПЕШНО. Ако се сретне таков модул, доволното знаменце се игнорира. Ако модулот означен со ова знаменце врати IGNORE или FAILURE, тогаш доволното знаменце се третира на ист начин како и изборното знаменце.

Резултатот од извршувањето на модулот со опционалното знаменце се зема предвид само ако тоа е единствениот модул на оџакот што враќа SUCCESS. Во спротивно, резултатот од неговото извршување се игнорира. Така, неуспешното извршување на модулот означен со него не повлекува неуспех на целиот процес на овластување.

За да може корисникот да добие пристап до системот, модулите означени со потребните и потребните знаменца не смеат да враќаат FAILURE. Резултатот од извршувањето на модулот со опционалното знаменце се зема предвид само ако тоа е единствениот модул на оџакот што враќа SUCCESS.

RAM модули

Третата колона го содржи целото име на датотеката со модул поврзана со овој ред. Во принцип, модулите можат да се лоцираат каде било, но ако се стават во однапред дефиниран директориум за модули, тогаш може да се наведе само името, инаку е потребна и патеката. Во WSWS, предефинираниот директориум е /lib/security.

Четвртата колона е наменета за пренесување дополнителни параметри на модулот. Не сите модули имаат параметри, а ако имаат, можеби нема да се користат. Предавањето параметар на модул ви овозможува да го промените неговото однесување на еден или друг начин.

Списокот 1.7 содржи список на модули за RAM меморија вклучени во MSVS.

Листа 1.7.Список на RAM-модули вклучени во MSVS

pam_rhosts_auth.така

pam_securetty.така

pam_unix_acct.така

pam_unix_auth.така

pam_unix_passwd.така

pam_unix_session.така

Повеќе за модулите

Модулот pam_access.so се користи за давање/одбивање на пристап врз основа на датотеката /etc/security/access.conf. Линиите во оваа датотека го имаат следниов формат:

права: корисници: од

Права - или + (дозволи) или - (негирај)

Корисници - СИТЕ, корисничко име или user@node, каде што јазолот се совпаѓа со името на локалната машина, инаку записот се игнорира.

Од - едно или повеќе имиња на датотеки на терминали (без префиксот /dev/), имиња на домаќини, имиња на домени (почнувајќи со точка), IP адреси, СИТЕ или ЛОКАЛНИ.

Модулот pam_cracklib.so ги проверува лозинките користејќи речник. Дизајниран е да потврди нова лозинка и да помогне да се спречи системот да користи лозинки кои лесно се пробиваат, како што се вообичаени зборови, лозинки кои содржат повторени знаци и лозинки кои се премногу кратки. Постојат опционални параметри: debug, type= и retry=. Опцијата за отстранување грешки овозможува евидентирање на информации за дебагирање во датотека за евиденција. Параметарот тип проследен со стринг го менува стандардниот NewUnixpassword: Unix збор во наведената низа. Параметарот повторен обид го одредува бројот на обиди дадени на корисникот да внесе лозинка, по што се враќа грешка (стандардно, се дава еден обид).

Да го погледнеме списокот 1.8. Ја прикажува содржината на датотеката /etc/pam.d/other. Оваа датотека ја содржи конфигурацијата што ја користи PAM моторот за услуги кои немаат свои конфигурациски датотеки во директориумот /etc/pam.d. Со други зборови, оваа датотека се однесува на сите услуги непознати за RAM системот. Ги содржи сите четири типа овластување, авторизација, сметка, лозинка и сесија, од кои секоја го повикува модулот pam_deny.so означен со потребното знаме. Затоа, извршувањето на непозната услуга е забрането.

Листа 1.8.Датотека /etc/pam.d/other

потребно е да се потврди pam_deny.така

потребно е да се потврди pam_warn.така

потребна е сметка pam_deny.so

потребна е лозинка pam_deny.so

потребна е лозинка pam_warn.so

потребна е сесија pam_deny.so

Модулот pam_dialup.so проверува дали мора да се наведе лозинка за пристап до далечинскиот терминал или терминалите, што се прави со помош на датотеката /etc/security/ttys.dialup. Модулот е применлив не само за ttyS, туку и за кој било терминал tty воопшто. Кога е потребна лозинка, таа се проверува со онаа што е напишана во датотеката /etc/security/passwd.dialup. Промените во датотеката passwd.dialup ги прави програмата dpasswd.

Модулот pam_group.so врши проверки во согласност со содржината на датотеката /etc/security/group.conf. Оваа датотека ги одредува групите на кои корисникот наведен во датотеката може да стане член доколку се исполнети одредени услови.

Модулот pam_lastlog.so пишува информации за тоа кога и каде корисникот се најавил во датотеката lastlog. Обично овој модул е ​​означен со тип на сесија и опционално знаменце.

Модулот pam_limits.so ви овозможува да наметнете различни ограничувања за најавените корисници. Овие ограничувања не важат за root корисникот (или кој било друг корисник со нула ID). Ограничувањата се поставени на ниво на најавување и не се глобални или трајни, туку влијаат само на едно најавување.

Модулот pam_lastfile.so зема запис (артикал), го споредува со список во датотеката и, врз основа на резултатите од споредбата, враќа УСПЕХ или НЕСПЕШЕН. Параметрите на овој модул се како што следува:

Ставка=[терминален корисник | далечински_јазол | далечински_корисник | група| школка]

Sense= (статус за враќање; кога ќе се најде запис во списокот, во спротивно се враќа спротивниот статус)

file=/full/path/and/file_name - onerr= (каков статус да се врати во случај на грешка)

App1y=[корисник|@група] (го одредува корисникот или групата на која се применуваат ограничувањата. Значајни само за записите на ставката на формуларот=[терминал | далечински_јазол | школка], за записите на ставката на формуларот=[корисник | далечински_корисник | група ] се игнорира)

Модулот pam_nologin.so се користи за овластување за тип на автентичност со потребното знаменце. Овој модул проверува дали датотеката /etc/nologin постои и ако не, враќа SUCCESS, во спротивно содржината на датотеката се прикажува на корисникот и се враќа вредноста FAILURE. Овој модул обично се користи во случаи кога системот сè уште не е целосно пуштен во употреба или е привремено затворен заради одржување, но не е исклучен од мрежата.

Модулот pam_permit.so е дополнителен на модулот pam_deny.so. Секогаш враќа УСПЕХ. Сите параметри донесени од модулот се игнорираат.

Модулот pam_pwdb.so обезбедува интерфејс за датотеките passwd и shadow. Можни се следниве опции:

Debug - запишува информации за дебагирање во датотеката за евиденција;

Ревизија - дополнителни информации за дебагирање за оние кои немаат доволно редовни информации за дебагирање;

Use_first_pass - никогаш не го поттикнувајте корисникот за лозинка, туку земете ја од претходните модули на стекот;

Try_first_pass - обидете се да добиете лозинка од претходните модули, доколку не успеете, прашајте го корисникот;

Use_authtok - вратете ја вредноста FAILURE ако pam_authtok не е поставена, не барајте од корисникот лозинка, туку земете ја од претходните модули на стекот (само за куп модули од типот лозинка);

Not_set_pass - не поставувајте ја лозинката од овој модул како лозинка за следните модули;

Shadow - поддржува систем за лозинка во сенка;

Unix - ставете лозинки во датотеката /etc/passwd;

Md5 - користете лозинки md5 следниот пат кога ќе ги промените лозинките;

Bigcrypt - користете лозинки DECC2 следниот пат кога ќе ги промените лозинките;

Nodelay - оневозможете го доцнењето од една секунда кога авторизацијата не успее.

Модулот pam_rhosts_auth.so дозволува/негира употреба на датотеки .rhosts или hosts.equiv. Покрај тоа, тој исто така дозволува/забранува употреба на „опасни“ записи во овие датотеки. Параметрите на овој модул се како што следува:

No_hosts_equiv - игнорирајте ја датотеката /etc/hosts.equiv;

No_rhosts - игнорирајте ја датотеката /etc/rhosts или ~/.rhosts;

Debug - информации за дебагирање на дневници;

Nowarn - не прикажувај предупредувања;

Потиснете - не прикажувајте никакви пораки;

Промискуитетна - дозволете ја употребата на знакот „+“ во кое било поле.

Модулот pam_rootok.so враќа УСПЕХ за секој корисник со нулта ID. Кога е означен со доволно знаменце, овој модул дозволува пристап до услугата без да наведе лозинка. Модулот има само еден параметар: дебагирање.

Модулот pam_securetty.so може да се користи само против суперкорисници. Овој модул работи со датотеката /etc/securetty, дозволувајќи му на суперкорисникот да се најавува само преку терминалите наведени во оваа датотека. Ако сакате да дозволите најавување на суперкорисникот преку телнет (ttyp псевдо-терминал), треба или да додадете линии за ttyp0-255 во оваа датотека или да го коментирате повикот до pam_securetty.so во датотеката за услугата за најава.

Модулот pam_shells.so враќа УСПЕХ ако школката на корисникот наведена во датотеката /etc/passwd е присутна во листата на школки во датотеката /etc/shells. Ако датотеката /etc/passwd не му додели ниту една школка на корисникот, тогаш се стартува /bin/sh. Ако датотеката /etc/passwd на корисникот специфицира школка што не е наведена во /etc/shells, модулот враќа FAILURE. Само суперкорисникот мора да има пристап за пишување до датотеката /etc/shells.

Модулот pam_stress.so се користи за управување со лозинки. Има доста параметри, вклучувајќи го и непроменливото отстранување грешки, но во општ случај, од сите параметри, само два се од интерес:

Rootok - дозволете му на суперкорисникот да ги менува корисничките лозинки без да ја внесува старата лозинка;

Истечен - со овој параметар, модулот работи како лозинката на корисникот да е веќе истечена.

Другите параметри на модулот ви дозволуваат да оневозможите некој од овие два режими, да користите лозинка од друг модул или да ја пренесете лозинката на друг модул итн. Нема да ги опфатам сите параметри на модулот овде, па ако треба да ги користите специјалните карактеристики на овој модул, прочитајте го описот во документацијата на модулот.

Во WSWS, модулот pam_tally.so стандардно не се користи во датотеките од /etc/pam.d. Овој модул ги брои обидите за авторизација. Ако овластувањето е успешно, бројачот на обиди може да се ресетира на нула. Ако бројот на неуспешни обиди за поврзување надмине одреден праг, пристапот може да се одбие. Стандардно, информациите за обидот се ставаат во датотеката /var/log/faillog. Глобалните параметри се:

Onerr= - што да направите ако се појави грешка, на пример, датотеката не може да се отвори;

Датотека=/целосна/пат/и/име_датотека - ако ја нема, се користи стандардната датотека. Следниот параметар има смисла само за типот авти:

No_magic_root - овозможува броење на бројот на обиди за суперкорисникот (не се брои стандардно). Корисно ако е дозволено најавување на root преку телнет. Следниве параметри се значајни само за типот на сметката:

Deny=n - одбие пристап по n обиди. Користењето на оваа опција го менува стандардното однесување на модулот reset/no_reset од no_reset во reset. Ова се случува за сите корисници освен root (UID 0), освен ако не се користи no_magic_root;

No_magic_root - не го игнорирајте параметарот за одбивање за обиди за пристап направени од root корисникот. Кога се користи заедно со опцијата deny= (видете претходно), стандардното однесување за root корисникот се ресетира, како и за сите други корисници;

Even_deny_root_account - овозможува блокирање на сметката на суперкорисникот доколку е присутен параметарот no_magic_root. Се издава предупредување. Ако не се користи no_magic_root, тогаш без оглед на бројот на неуспешни обиди, сметката на суперкорисникот, за разлика од обичните кориснички сметки, никогаш нема да биде заклучена;

Ресетирање - ресетирајте го бројачот на обиди по успешното најавување;

No_reset - не го ресетирај бројачот на бројот на обиди по успешното најавување; е стандардно, освен ако не е наведено deny=.

Модулот pam_time.so ви овозможува да го ограничите пристапот до услугата врз основа на времето. Сите инструкции за негово поставување може да се најдат во датотеката /etc/security/time.conf. Нема параметри: сè е поставено во конфигурациската датотека.

Модулот pam_unix се справува со нормална овластување за WSWS (обично наместо овој модул се користи pam_pwdb.so). Физички, овој модул се состои од четири модули, од кои секој одговара на еден од типовите на PAM: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so и pam_unix_passwd.so. Модулите за типовите на сметката и автификацијата немаат параметри. Модулот за типот passwd има само еден параметар: строго=неточно. Доколку е присутен, модулот не ги проверува лозинките за отпорност на хакирање, дозволувајќи употреба на произволни, вклучително и несигурни (лесно погодни или избрани) лозинки. Модулот за типот на сесијата разбира два параметри: отстранување грешки и трага. Информациите за отстранување грешки за опцијата за отстранување грешки се сместени во датотеката за евиденција за информации за отстранување грешки како што е наведено во syslog.conf, а информациите за опцијата за трага, поради нејзината чувствителност, се ставаат во дневникот за authpriv.

Модулот pam_warn.so пишува порака за неговиот повик до syslog. Нема параметри.

Модулот pam_wheel.so дозволува само членовите на групата тркала да станат суперкорисници. Групата тркала е посебна системска група чии членови имаат поголеми привилегии од обичните корисници, но помалку од суперкорисникот. Неговото присуство ви овозможува да го намалите бројот на корисници на системот со привилегии за суперкорисник, правејќи ги членови на групата тркала и со тоа зголемување на безбедноста на системот. Ако суперкорисникот може да се најавува само со терминал, тогаш овој модул може да се користи за да ги спречи корисниците да телнетираат со привилегии за суперкорисник, така што ќе им се оневозможи пристап, освен ако не припаѓаат на групата тркала. Модулот ги користи следните параметри:

Debug - евиденција на информации за дебагирање;

Use_uid - утврдување на сопственост врз основа на тековниот кориснички ID, а не на оној што му е доделен кога се најавил;

Доверба - ако корисникот припаѓа на групата тркала, вратете ја вредноста УСПЕХ наместо ИГНОРИРАЈ;

Одби - го менува значењето на постапката во спротивно (враќање НЕУСПЕШНО). Во комбинација со group=, ви овозможува да одбиете пристап до членовите на дадена група.

ЗАБЕЛЕШКА -

Директориумот /etc/security е директно поврзан со директориумот /etc/pam.d бидејќи содржи конфигурациски датотеки за различните PAM-модули повикани во датотеките од /etc/pam.d.

Записи на RAM меморијата во датотеките за евиденција

Список 1.9. Содржина на /var/log/secure

11 јануари 16:45:14 chiriqui PAM_pwdb: (су) сесија е отворена за root root

11 јануари 16:45:25 chiriqui PAM_pwdb: (су) сесијата е затворена за коренот на корисникот

11 јануари 17:18:06 chiriqui најавување: НЕСПЕШНА НАЈАВА 1 ОД (null) ЗА Дејвид,

Неуспех во автентикацијата

Јануари 11 17:18:13 chiriqui најавување: НЕСПЕШНА НАЈАВА 2 ОД (null) ЗА david.

Неуспех во автентикацијата

11 јануари 17:18:06 chiriqui најавување: НЕСПЕШНО НАЈАВАЊЕ 1 ОД (null) ЗА david.

Неуспех во автентикацијата

11 јануари 17:18:13 chiriqui најавување: НЕСПЕШНО НАЈАВА 2 ОД (null) ЗА Дејвид,

Неуспех во автентикацијата

11 јануари 17:18:17 chiriqui PAM_pwdb: (најава) сесија отворена за корисникот david

11 јануари 17:18:17 chiriqui -- david: НАЈАВИ НА ttyl ОД Дејвид

11 јануари 17:18:20 chiriqui PAM_pwdb: (најава) сесија затворена за корисникот david

Секој запис започнува со датум, време и име на домаќинот. Потоа следи името на PAM-модулот и ID на процесот затворени во квадратни загради. Потоа, во загради, доаѓа името на услугата со ограничувања за пристап. За огласот 1.9 ова е или su или најавување. По името на услугата следи или „сесија отворена“ или „сесија затворена“.

Влезот веднаш по записот „сесија отворена“ е пораката за најавување, која ви кажува кој е логиран и од каде.

Се разгледуваат следните прашања:

Кои се стандардните кориснички групи и приватните кориснички групи;

Промена на корисник/група;

Како промената на корисникот/групата влијае на GUI;

Безбедност и корисници;

Безбедност и лозинки;

Заштита со лозинка;

Избор на добра лозинка;

Хакирање лозинки.

Стандардна група

Во моментов, повеќе не постои ограничување за корисник кој припаѓа на само една група во исто време. Секој корисник може да припаѓа на неколку групи во исто време. Користејќи ја командата newgrp, корисникот станува член на групата наведена во командата, а оваа група станува за овој корисник група за најава(логинггрупа). Во овој случај, корисникот продолжува да остане член на групите во кои членувал пред да ја изврши командата newgrp. Групата за најавување е групата која станува сопственик на група на датотеки креирани од корисникот.

Разликата помеѓу стандардната група и групите на приватни корисници е степенот на отвореност на двете шеми. Со стандарден дизајн на група, секој корисник може да чита (и често да менува) датотеките на друг корисник. Кај приватните групи, читањето или пишувањето датотека создадена од друг корисник е можно само ако нејзиниот сопственик експлицитно ги доделил правата за овие операции на други корисници.

Ако сакате корисниците да можат да се придружуваат и да ја напуштат групата без интервенција на системскиот администратор, можете да доделите лозинка на групата. Корисникот може да ужива во привилегиите на одредена група само ако припаѓа на неа. Овде има две опции: или тој припаѓа на групата од моментот кога ќе се најави во системот, или ќе стане член на групата последователно, откако ќе започне да работи со системот. За да може корисникот да се приклучи на група во која не припаѓа, на таа група мора да и се додели лозинка.

Стандардно, WSWS не користи групни лозинки, така што нема датотека gshadow во директориумот /etc.

Ако редовно користите само една од програмите - useradd, LISA или COAS - за извршување на рутински задачи за администрација на корисникот, датотеките со поставките за корисникот се поконзистентни и полесни за одржување.

Придобивката од стандардниот дизајн на групата е што го олеснува споделувањето на датотеки бидејќи не треба да се грижите за дозволите за датотеки. Оваа шема подразбира отворен пристап кон системот според принципот „се што не е забрането е дозволено“.

Конфигурирањето на стандардните кориснички вредности е задача со висок приоритет што треба да се заврши веднаш откако ќе го инсталирате системот.

Приватни кориснички групи

Приватните кориснички групи имаат имиња кои се исти како и корисничките имиња. Приватната група е направена како група за најавување, така што стандардно, односно ако атрибутите на директориумот не специфицираат ништо друго, таа е назначена како сопственичка група на сите датотеки за тој корисник.

Придобивката од приватните кориснички групи е тоа што корисниците не треба да се грижат за ограничување на пристапот до нивните датотеки: стандардно, пристапот до корисничките датотеки ќе биде ограничен од моментот кога тие ќе бидат креирани. Во WSWS, кога користи приватни групи, корисникот може само да чита или менува датотеки што му припаѓаат. Покрај тоа, тој може да креира датотеки само во неговиот домашен директориум. Ова стандардно однесување може да се промени од администраторот или корисникот на системот, и на ниво на поединечна датотека и на ниво на директориум.

Постојат неколку команди со кои корисникот може да го контролира своето име и/или група на која припаѓа, или име или група во име на која се извршува програмата. Една таква програма е newgrp.

Командата newgrp може да ја изврши секој корисник. Тоа му овозможува да се приклучи на група на која не припаѓал, но само ако на таа група и е доделена лозинка. Оваа команда нема да ви дозволи да се придружите на група без лозинка ако не сте член на таа група.

Командата newgrp може да се користи на група во која корисникот е веќе член. Во овој случај, newgrp ја прави наведената група група за најавување. Групите на корисникот се поделени на два вида: група за најавување и сите други групи на кои припаѓа корисникот. Корисникот може да припаѓа на повеќе групи, но сопственичката група за датотеки што корисникот ги создава секогаш ќе биде доделена на групата за најавување на тој корисник.

Покрај newgrp, можете да ги користите и командите chown и chgrp за да контролирате дали датотеката припаѓа на одреден корисник или група.

Обемот на командата newgrp во околината XWindow е ограничен на програмата xterm во која е извршена: само програмите стартувани преку тој терминал ќе бидат извршени во контекст на новата група, што значи дека корисникот не може да ја користи за да ја промени група за најава за програми лансирани преку менаџерот на прозорци. Програма што секогаш мора да се извршува во контекст на секундарна група може да се стартува преку скрипта што ја поставува на потребната група за најавување.

Системот XWindow секогаш носи дополнителни тешкотии во животот на корисниците. Во овој случај, овие тешкотии не се директно поврзани со X, туку произлегуваат од логиката на /etc/groups и /etc/gshadow. Оние кои не користат лозинки во сенка за групи, немаат многу за грижа. Во случајот на X, поставувањето група заштитена со лозинка не е можно со едноставна скрипта, но за секундарните кориснички групи кои не бараат лозинка, менувањето на групата е исклучително едноставно. Следното сценарио е доволно:

sg - gifs -c /usr/X11R6/bin/xv &

Како резултат на извршувањето на оваа скрипта, ќе се стартува програмата xv, чија примарна група ќе биде групата gifs. Тоа е она што требаше да го добиеме.

Потешко е за оние кои користат лозинки за групи во сенка, бидејќи во овој случај, при извршување на оваа скрипта, на екранот ќе се појави порака за грешка. Кога датотеката /etc/groups ги наведува корисниците кои припаѓаат на група, секој од нив автоматски се смета за член на групата веднаш по најавувањето. Меѓутоа, во случај на лозинки во сенка, списокот на корисници на групата се преместува во датотеката /etc/gshadow, така што најавениот корисник не се запишува автоматски како член на групата, туку може да се придружи со помош на команда newgrp или стартувајте која било програма во нејзино име користејќи ја командата sg. Проблемот е што, од гледна точка на X, овој корисник (кој не е нужно корисникот кој ја иницирал работната сесија на X) нема дозвола да воспостави врска. Затоа, за групите што не се заштитени со лозинка, претходната скрипта се менува на следниов начин:

xhosts +localhost

sg - gifs -c /usr/X11R6/bin/xv &

Додадената линија дозволува новата група (гифови) да пристапи до екранот. За повеќето работни станици, ова не треба да предизвика никакви значајни безбедносни проблеми бидејќи оваа линија само им овозможува пристап на екранот на корисниците на локалниот домаќин (проверете добар водич за Linux sysadmin за повеќе информации за X и xhost).

ЗАБЕЛЕШКА

Користењето на серверот X (особено во врска со xdm или kdm) повлекува голем број сложености, кои дополнително се влошуваат со графичките апликации, бидејќи тие можат да се стартуваат не само преку командната линија, туку и со користење на икона на графичката работна површина.

Променете го корисникот

ЗАБЕЛЕШКА

Обичен корисник не може да предизвика толкава штета на системот како што може да направи невнимателен суперкорисник. Последиците од вашата печатна грешка како суперкорисник може да бидат доста фатални, до тој степен што сите ваши системски датотеки (или дури и сите датотеки складирани на системот) може да се збогуваат. Некои компании може да се збогуваат со вас после ова.

Командата su е одговорна за конвертирање на еден корисник во друг. Тимот го доби своето име од « замена корисник » (замена на корисникот), но бидејќи најчесто се користи за да стане суперкорисник..

Командата su, повикана без аргументи, ќе побара од корисникот лозинка, по што (добивајќи ја точната лозинка како одговор) ќе ве направи root корисник. Оваа команда е ограничена услуга, така што сите аспекти на нејзината безбедност може да се конфигурираат преку датотеката /etc/pam.d/su.

ЗАБЕЛЕШКА -

Повикувањето su без назначување на корисничко име (со или без цртичка) се толкува како инструкција за да бидете корисник на root.

Оваа sudo команда им овозможува на избраните корисници да извршуваат одредени програми како суперкорисник, а од корисникот кој ја повикува оваа команда не се бара лозинката за суперкорисникот, туку неговата сопствена лозинка. Користете sudo слично на командата sg. Корисникот внесува sudo command_to_execute, потоа неговата лозинка и доколку е дозволено, наведената команда се извршува во контекст на правата на root.

Безбедност и корисници

Корисниците обично се заинтересирани само за тоа како да се логираат и да ги стартуваат програмите што им се потребни. Тие стануваат заинтересирани за безбедноста само откако ќе изгубат важни датотеки. Но, тоа не трае долго. Откако корисниците ќе дознаат дека се преземени мерки, тие брзо забораваат на какви било мерки на претпазливост.

Општо земено, безбедноста не е нивна грижа. Администраторот на системот мора да размисли, да имплементира и да одржува безбедносна политика која ќе им овозможи на корисниците да ја вршат својата работа без да бидат одвлечени од безбедносните прашања што се туѓи за нив.

Главната опасност за системот обично доаѓа од внатре, а не однадвор. Неговиот извор (особено во големи системи) може да биде, на пример, лут корисник. Сепак, треба да се избегнува прекумерно сомневање кога штетата предизвикана од незнаење погрешно се смета за злонамерна намера. Како да се заштитат корисниците од ненамерно оштетување на нивните и туѓите датотеки е опишано во првиот дел од книгата. Како што покажува практиката, просечниот корисник не може да го оштети системот. Треба да се грижите само за оние корисници кои можат да најдат дупка во безбедносните механизми и всушност се способни да предизвикаат насочена штета на системот. Но, таквите корисници обично се малку на број и стануваат познати со текот на времето, особено ако знаете што да барате. Ризичната група вклучува корисници кои, поради нивната позиција или преку нивните врски, можат да добијат пристап на ниво на права на root. Како што ќе го совладате материјалот во оваа книга, ќе научите што точно треба да се смета за знаци на претстојна неволја.

Стандардно, корисниците имаат целосна контрола врз нивните домашни директориуми. Ако ја користите стандардната група, сите корисници на системот припаѓаат на истата група. Секој корисник има право на пристап до домашните директориуми на други корисници и до датотеките што се наоѓаат во нив. Кога користите шема со приватни кориснички групи, секој корисник на системот има пристап само до неговиот домашен директориум, а домашните директориуми на други корисници не му се достапни.

Ако треба да обезбедите заеднички пристап до одреден сет на заеднички датотеки за сите корисници на системот, се препорачува да креирате споделен директориум некаде специјално за овие цели, да креирате група во која ќе бидат членови сите корисници (ова може да биде група на корисници или која било друга група што сте ја создале), и дајте и на оваа група соодветни права за пристап до овој споделен директориум. Ако некој корисник сака да направи некои од неговите датотеки достапни на други корисници, тој едноставно може да ги копира во овој директориум и да се погрижи овие датотеки да припаѓаат на истата група во која членови се сите корисници.

Некои корисници треба да користат или едноставно не можат без програми кои не се вклучени во пакетот WSWS. Повеќето корисници на крајот добиваат многу свои датотеки: документи, конфигурациски датотеки, скрипти итн. OpenLinux не им помага многу на корисниците во организирањето на нивните датотеки, оставајќи ја оваа задача на системскиот администратор.

Структурата на директориумот создадена во домашниот директориум на секој нов корисник е одредена од содржината на директориумот /etc/skel. Типичен /etc/skel обично ги содржи следните директориуми:

Овие директориуми се користат за складирање (соодветно) бинарни датотеки, изворни датотеки, датотеки со документи и други различни датотеки. Многу програми стандардно нудат зачувување на датотеки од одредени типови во еден од овие поддиректориуми. Откако добиле објаснување за целта на каталозите со кои располагаат, корисниците обично се подготвени да почнат да ги користат, бидејќи тоа ги спасува од потребата да смислат нешто свое. Само не заборавајте да направите ~/bin еден од последните директориуми наведени во PATH на вашите корисници.

Безбедност и лозинки

Велат дека каде доаѓа тенкото, се крши - оваа изрека често се памети кога станува збор за важноста на лозинките во безбедносниот систем. Општо земено, веродостојноста на безбедносниот систем е одредена од многу фактори, особено кои услуги WSWS системот им ги прави достапни на надворешните корисници (дали се користи како веб-сервер, дали може да се најави со помош на телнет итн.). Друг одлучувачки фактор се корисничките лозинки, што нè доведува до друг фактор - усогласеноста на корисникот со безбедносните политики. Просечниот корисник не сака да знае ништо за безбедноста. Доколку го почитуваме корисникот и не сакаме да го промениме неговиот однос кон безбедноста преку присилни методи, треба да го направиме безбедносниот систем удобен и разбирлив за него. Најтешко е да се постигне погодност. Сè што е безбедно обично не е многу погодно (бидејќи зад удобноста има предвидливост и елементарност кои не се комбинираат со безбедноста) и затоа доаѓа во конфликт со вообичаеното однесување на луѓето кои претпочитаат најзгодно од сите можни методи. На крајот на краиштата, корисниците работат со системот за да ја завршат работата што им е доделена, а не да додаваат нова работа на себе. За да ги спречам корисниците намерно да тргнат по патот на помал отпор кога се занимаваат со лозинки, обично се обидувам да им објаснам за што служат лозинките и зошто е толку важно да се чуваат безбедни. Важно е не од општа гледна точка како „систем со ниска безбедност може да биде хакиран и важни датотеки да бидат украдени или оштетени“, туку од гледна точка на личните интереси на корисникот.

Повеќето корисници ја разбираат важноста на е-поштата за нивната работа. Сепак, тие не сфаќаат дека секој што е логиран под нивно име има можност да ја користи нивната е-пошта во нивно име против нив. Прашајте го корисникот дали користи е-пошта за лични цели. Најверојатно ќе одговори да. Потоа прашајте го дали некогаш морал да решава важни деловни прашања преку е-пошта. Оние кои одговараат со „не“ стануваат се помалку и помалку секој ден. Но, дури и ако одговорот е не, некои од деловните партнери може да сметаат дека трансакцијата преку е-пошта е исто толку обврзувачка како и телефонската трансакција.

Потоа објаснете му на корисникот дека неговите пораки понекогаш се исто толку важни колку и неговиот личен потпис. И иако насловот на е-пораката може да се смени, во повеќето случаи таквата промена е исто толку нелегална како и фалсификувањето потпис. Но, ако некој, откако некако ја научил лозинката на друг корисник, се најави во системот под негово име, тогаш, фигуративно кажано, тој на тој начин ќе може да се потпише со потпис на друго лице. Секоја пошта испратена од него технички нема да се разликува од пошта испратена од самиот корисник. Практиката да се дозволи некој да се најавува под друго име е непожелна и треба да се избегнува (исклучок се системските администратори, кои ја користат оваа функција за тестирање скрипти за најавување и кориснички поставки, но не треба да ја знаат лозинката на тој корисник за да го направат тоа) . Несаканите појави вклучуваат најавување во системот под туѓо име (дури и со дозвола на друг корисник). Колку е ова непожелно? Одговорот на ова прашање се одредува според сериозноста на безбедносната политика на претпријатието.

Сепак, корисниците треба да разберат дека има и други подеднакво опасни начини да се добие неовластен пристап до нивната сметка. Најчестиот случај е кога корисникот, плашејќи се да ја заборави лозинката, го прави лесно запомнувањето, а со тоа и лесно да се погоди или ја запишува лозинката на лист хартија, кој често едноставно е прикачен на мониторот. Системот за безбедност на лозинка се заснова на две работи: постојано корисничко име и лозинка која периодично се менува. Повеќето луѓе никому нема да го кажат PIN-от на нивната банкарска сметка, но не ја чуваат својата корисничка лозинка толку љубоморно. Иако за разлика од банкарска сметка, каде што постојаниот дел, т.е. кредитната картичка, е физички објект до кој сè уште треба да се пристапи, постојаниот дел од безбедносниот систем за лозинка, односно корисничкото име, е познат на сите (барем сите во компанијата и оние со кои корисникот се допишувал преку е-пошта). Затоа, ако променливиот дел е запишан некаде или е лесно погоден или избран од програма што пребарува низ зборови од речник, тогаш таквата сметка не може да се смета за добро заштитена.

Конечно, корисниците треба да бидат свесни за постоењето на метод наречен „социјален инженеринг“ за да добијат лозинка. Повеќето од нас сретнале барем една личност во нашите животи за која можеме да кажеме „лизгава по ѓаволите“. Таквите луѓе имаат способност да ги убедат другите луѓе, користејќи логична аргументација, да ги дадат информациите што им се потребни. Но, ова не е единствениот можен начин да ја дознаете туѓата лозинка. Понекогаш е доволен само еден ѕир.

Начин да се спротивставите на ваквите инциденти е редовно да ја менувате лозинката. Лозинката, се разбира, можете да ја менувате еднаш на секои десет години, но подобро е интервалите помеѓу промените да не се премногу долги, исто како што е подобро да не се прават премногу кратки, на пример, еднаш на час. Да не ја менувате лозинката предолго значи да се изложите на ризик од хакирање.

ЗАБЕЛЕШКА-

Пенетрацијата на аутсајдер во системот под маската на обичен корисник може да има страшни последици не само за датотеките на тој корисник, туку и за целиот систем како целина, бидејќи колку повеќе овој аутсајдер знае за вашиот систем, толку полесно ќе биде тој да најде дупки во неговата безбедност.

Забележете дека скриптата прави неколку проверки пред да започне: дали работи како root, дали почетниот UID е окупиран итн. Сепак, не проверува сè.

Хакирање лозинки

Еден начин да се тестира безбедноста на системот вклучува да се ставите во кожата на напаѓачот и да се обидете да размислувате и дејствувате како што би постапила личност која се обидува да ја наруши безбедноста. Ова значи дека треба да шетате меѓу корисниците, да шпионирате за да видите дали има запишана лозинка закачена на некој монитор, дали некој оставил лист хартија со податоци за идентификација напишани на масата или „поминете“ само на тоа време наутро кога корисниците се најавуваат (можеби ќе можете да видите како некој од нив пишува лозинка на тастатурата).

Ова исто така значи да се обрне внимание на ориентацијата на мониторот на корисникот кој пристапува до чувствителни информации за да се утврди дали тие се видливи за некој друг. Следно, кога овие корисници ќе го напуштат своето биро, дали стартуваат скринсејвер заклучен со лозинка, се одјавуваат или не прават ништо?

Сепак, најдобриот начин да се тестира силата на безбедносниот систем со лозинка и односот на корисниците кон него е да се обидат да ги пробијат корисничките лозинки. Редовното водење програма за пробивање лозинка може да даде прилично добар показател за силата на вашиот систем за заштита на лозинка.

Сигурно барем некои од нашите читатели размислувале каков оперативен систем се користи во нашите вооружени сили. На крајот на краиштата, сите ние разбираме дека Windows не може да се инсталира на кој било ракетен систем што е на борбена должност. Денес малку ќе го подигнеме превезот на тајноста и ќе разговараме за MSWS OS. Ова е таканаречениот Мобилен систем. Неговиот опсег на примена е означен со неговото име, но ние ќе ви кажеме како е структуриран во општи термини.

Предуслови за создавање

Безбедносните критериуми за компјутерските системи првпат беа формулирани во доцните 60-ти години на минатиот век. Во средината на 80-тите години во САД, сите овие случувања беа собрани во еден документ. Така се роди Портокалова книга на Министерството за одбрана, првиот стандард за безбедност на компјутерските системи. Потоа, слични документи се појавија во европските земји и во Канада. Во 2005 година, врз основа на нив, беше подготвен меѓународниот безбедносен стандард ISO/IEC 15408 „Општи безбедносни критериуми“.

Во Русија, слични студии беа спроведени во 22-от Централен истражувачки институт на Министерството за одбрана. Конечниот резултат од развојот беше воведувањето на MSWS OS во вооружените сили на Руската Федерација во 2002 година. Во 2008 година беше усвоена верзија на државниот стандард врз основа на барањата ISO/IEC.

Зошто војската има свој оперативен систем?

Оперативните системи што ги користиме секојдневно не се погодни за употреба во владините агенции во однос на безбедноста. Државната техничка комисија при претседателот на Руската Федерација ги формулираше на следниов начин:

• Информациите мора да бидат заштитени од неовластен пристап, и од внатре и од надвор.
• Системот не треба да содржи недокументирани функции; со други зборови, не треба да има никакви „велигденски јајца“ во кодот на ОС.

Дополнително, безбедниот оперативен систем мора да има хиерархиска пристапна структура на повеќе нивоа и посебни административни функции.

Така, задачата за создавање на специјализиран затворен оперативен систем не е толку едноставна како што изгледа на прв поглед. Отсуството на недокументирани способности претпоставува дека изворниот код и техничкиот опис на сите оперативни процедури ќе бидат темелно проучени во центарот за сертификација. И ова е областа на трговските тајни на сопственичките корпорации или интелектуалната сопственост на програмерите. Овој парадокс не принудува да го насочиме вниманието кон отворените оперативни системи, бидејќи е речиси невозможно да се добие целосна техничка документација за комерцијален софтвер.

Барања за ГОСТ Р

FSTEC, како служба одговорна за безбедноста на информациите низ целата земја, воспостави поделба на ОС според степенот на заштита на информациите што се обработуваат. За погодност, сите податоци се сумирани во една табела.

Од табелата се гледа дека, според низа барања, формирани се три групи и девет класи на безбедност од неовластен пристап и врз основа на нив се врши натамошна поделба за пристап до разни видови доверливи информации.

Врз основа на Linux

Зошто Линукс е толку удобен што доброволно е ангажиран во државната служба? На крајот на краиштата, повеќето обични корисници се плашат од тоа како ѓаволот на темјанот. Ајде да го сфатиме. Прво, да ја погледнеме лиценцата под која се дистрибуира Linux. Ова е таканаречената GPL2 - Општа јавна лиценца или бесплатна лиценца. Секој може да го добие изворниот код и да создаде свој производ врз основа на него. Со други зборови, никој не ве спречува да ги земете најдобрите дистрибуции на Linux и да ги користите за да развиете сопствен безбеден ОС.

Глобалното искуство на владините агенции покажува дека преминот кон слободен софтвер се случува насекаде, идејата е барана и е целосно оправдана. Водечките земји во светот, како што се САД, Германија, Јапонија и Кина и Индија, кои брзо им се приближуваат, активно користат Linux во владиниот сектор и образованието.

WSWS и неговата содржина

Верзијата на мобилниот систем 3.0 работи во војската деценија и пол, сега се заменува со понапреден производ и можеме безбедно да изгледаме „под хаубата“ на ветеран. Значи, тоа е мрежен оперативен систем кој работи во режим на повеќе корисници користејќи графички кориснички интерфејс. Поддржува хардверски платформи:

• Интел.

SPAPC/Елбрус.

• IBM System/390.

Се базираше на најдобрите дистрибуции на Linux достапни во тоа време. Многу системски модули беа позајмени од RedHat Linux и прекомпајлирани за да се исполнат барањата на Министерството за одбрана. Со други зборови, мобилниот систем на вооружените сили е RPM Linux дистрибуција со сите придружни апликативни програми и развојни алатки.

Поддршката на датотечниот систем е на ниво на почетокот на векот, но бидејќи најчестите од нив веќе постоеја тогаш, овој индикатор не е критичен.

Верзии на WSWS

И покрај фактот дека ова е мрежен оперативен систем, тој нема складишта на софтвер познати на кој било корисник на Линукс. Целиот софтвер се испорачува комплетно на инсталационите ЦД-а. Секоја програма што се користи во овој систем е прво сертифицирана од Министерството за одбрана. И бидејќи процедурата е далеку од брза, во текот на целата деценија и пол работа, беа објавени ограничен број верзии и измени на нив.

Развивачот на MSVS е Серускиот истражувачки институт за автоматизација на контрола во неиндустриската сфера. На неговата официјална страница можете да најдете информации за верзиите на WSWS кои моментално се поддржани и ги имаат потребните безбедносни сертификати од Министерството за одбрана.

Мобилниот систем на вооружените сили за 2017 година е претставен со две поддржани собранија:

OS WSWS 3.0 FLIR 80001-12 (промена бр. 4).

• OS WSWS 3.0 FLIR 80001-12 (промена бр. 6).

Верзијата 5.0, лоцирана на веб-страницата VNIINS, има безбедносен сертификат од Министерството за одбрана, но не е официјално прифатена за снабдување на војниците.

Наследник на WSWS

Следниот безбеден оперативен систем, кој беше претставен како замена за MSVS, кој служеше деценија и пол, беше оперативниот систем Astra Linux. За разлика од својот претходник, кој доби сертификат за безбедност само од Министерството за одбрана, Astra ги доби сите можни сертификати во Русија, а тоа се документи од Министерството за одбрана, ФСБ и ФСТЕЦ. Благодарение на ова, може да се користи во сите владини агенции, а присуството на неколку верзии прилагодени за различни хардверски платформи дополнително го проширува опсегот на неговата примена. Како резултат на тоа, може да ги обедини под своја контрола сите уреди - од мобилна до стационарна серверска опрема.

Astra Linux е модерна дистрибуција на Linux заснована на deb пакети, ја користи најновата верзија на кернелот и ажуриран софтвер. Списокот на поддржани процесори и нивните архитектури исто така е проширен и вклучува модерни примероци. Списокот на официјално објавени верзии ни овозможува да се надеваме на успех на овој софтверски производ, барем во владата и одбранбената индустрија.

Конечно

Во оваа статија зборувавме за MSWS OS - главниот оперативен систем на вооружените сили на Руската Федерација, кој верно служеше „во служба“ 15 години и сè уште е на својата „борбена позиција“. Покрај тоа, накратко беше опишан нејзиниот наследник. Можеби ова ќе поттикне некои од нашите читатели да погледнат што е Linux и да формираат непристрасно мислење за производот.