41. Наследование прав в Novell Netware. Сравнение с Windows, Unix. Эквивалентность прав.

Общими принципами защиты eDirectory и ФС являются:

- назначение доверенных (опекунов);

- наследование;

- фильтр наследуемых прав;

- эквивалентность по правам.

Пользователь, который является эквивалентным по правам другому объекту, обладает всеми правами этого объекта как в eDirectory, так и в файловой системе NetWare. Пользователь автоматически эквивалентен группам, к которым он принадлежит. Можно вручную добавить объект, которому пользователь должен быть эквивалентен по правам.

Назначение прав на контейнеры в Edirectory могут наследоваться или нет. В ФС все назначения прав на папки являются наследуемыми. Хотя наследование можно заблокировать (кроме права "супервизор"), настроив фильтр наследования прав:

для прав на файл или папку - в соответствующем окне их свойств, для прав на объект или свойство eDirectory - в свойствах объекта.

Действующие права = унаследованные от родителя - отфильтрованные + явные права (игнорируют наследуемые) + механизм эквивалентности. Для eDirectory указывается, что права на доступ к каталогам не наследуются всеми входящими в него объектами. Личные и групповые права складываются.

42. Защита входа в Novell Netware. Подпись пакетов. Sas, pki, nsso, nmas, nici

Служба безопасности аутентификации (SAS) Включает в себя:

NMAS – служба многомодульной аутентификации Novell;

NSSO – служба единого входа Novell.

NSSO обеспечивает доступ ко всем приложениям в системе при однократной аутентификации. Все пароли приложений хранятся с помощью подсистемы eDirectoy – Secret Store.

В Secret Store хранятся пароли доступа к веб сайтам, серверным приложениям.

Пароли хранятся в шифрованном виде внутри объекта пользователя. ЗЛУ приходится вскрывать индивидуальные хранилища, а не одну общую базу, что требует большего времени Информация шифруется 128 битным ключом при помощи NICI.

NMAS (module auth service) - увеличивает безопасность входа за счет возможности использования многофакторной аутентификации. Можно совместно использовать несколько разных методов биометрической аутентификации.

Самая простая политика безопасности: предоставление доступа от внутренних внешним системам и запрет полный или частичный внешних к внутренним.

Так же в Novell используется подпись передаваемых пакетов. При использовании подписи снижается производительность, и пользователь по-прежнему может подглядывать их; не подписываются пакеты при удаленной загрузке рабочей станции, что создает возможность их подмены. В шестой версии появилась служба PKI (Инфраструктура открытых ключей = Public Key Infrastructure).Она позволяет использовать ассиметричную криптографию, реализовать СА, создавать и использовать сертификаты.

43. Система безопасности eDirectory и файловой системы

Презентация 92 до 18 слайда!

44.Атрибуты файлов и каталогов.

Презентация 92 с 19 по 23 слайды.

45. Основные компоненты Novell

46. Данные, хранимые в учетной карточке. Месторасположение базы данных учетных записей в Unix-системах. Шифрование

Данные, которые хранятся в базе учетных записей:

1. Уникальное имя входа (запрашивается при входе в ОС);

2) хешированный по DES пароль (12-24 символа). Символы берутся из строчных\заглавных 52 букв латинского алфавита; цифры 0-9, точка ".", слеш "\", слеш "/". Первые два символа являются случайно сгенерированным значением – соль (salt). Это обеспечивает различные хеши к одинаковым паролям. В последних версиях линукса, где используется теневое хранение паролей (пароль хранится в \etc\shadow), то в этом случае, в файле password сам пароль не указывается.

3)Уникальный ID пользователя. (UID). UID используется внутри ОС при проверке прав доступа, ведении статистики и т.д. Между ID и пользователем должно быть однозначное соответствие. Контролируются не имена пользователей, а значения ID. При ручном редактировании файла учетной записи можно присвоить разным пользователям одинаковые ID. Эти пользователи смогут читать и удалять файлы, завершать процессы другого пользователя. У root ID=0. Обычно первые значения зарезервированы (500-1000) под системные цели. 65535 – принадлежит пользователю Nobody и рассматривается как ID без прав. Данный пользователь не может создавать, удалять ни одного файла.

4)Идентификатор группы – GID. Содержит числовой ID первичной группы пользователей.

5)Полное имя пользователя.

6)Домашний каталог пользователя. Содержит файлы настроек конкретного пользователя. Соответствующему пользователю предоставляется полный доступ.

7)Командный интерпретатор, запускается при входе в ОС.

Поля отделяются двоеточием.

Обязательными являются: системное имя и GID.

Из соображений безопасности хеш паролей хранится в файле shadow, владельцем которого является root, только он может прочитать файл. По умолчанию значения для новых пользователей берутся из файла etc\login.defs.

При необходимости root можно использовать su, которая позволяет запустить команду интерпритатор от имени другого пользователя, если вы знаете его пароль. Еще есть sudo, которая позволяет избранным юзерам выполнять определенные команды в качестве root. При запуске необходим пароль. Храним в \sudoers.