- •38. Репликация в Active Directory.
- •39. Реплики. Сравнение репликации в аd c Novell.
- •40. Безопасность ad. Механизм делегирования.
- •41. Наследование прав в Novell Netware. Сравнение с Windows, Unix. Эквивалентность прав.
- •42. Защита входа в Novell Netware. Подпись пакетов. Sas, pki, nsso, nmas, nici
- •43. Система безопасности eDirectory и файловой системы
- •44.Атрибуты файлов и каталогов.
- •45. Основные компоненты Novell
- •46. Данные, хранимые в учетной карточке. Месторасположение базы данных учетных записей в Unix-системах. Шифрование
- •47. Виды пользователей в unix-системах. Группы. Основные …. Пароль групп.
- •48. Флаги в unix. Команды просмотра и изменения. Аналоги флагов в других операционных системах.
- •49. Файлы и права доступа к ним в unix. Классификация пользователей по отношению прав доступа к файлам?, ее недостаток и достоинства.
- •50. Виды доступа к файлам в unix. Синтаксис изменения команд прав доступа. Используемые в Unix сочетания битов прав доступа к файлам и директориям.
- •51. Владелец файла, права доступа вновь создаваемого файла. Изменение прав досупа при копировании и перемещении файла. Права доступа, при создании файла
- •52. Понятие межсетевых экранов. Причины их использования. Возникающие проблемы. Соответствие категорий мэ уровням модели osi. Nat.
- •53. Межсетевые экраны канального уровня. Мэ с фильтрацией пакетов. Анализируемая информация. Достоинства и недостатки.
- •54. Мэ сеансового уровня. Nat.
- •56. Мэ прикладного уровня. Особенности. Достоинства и недостатки.
- •57 Межсетевые экраны экспертного уровня.
51. Владелец файла, права доступа вновь создаваемого файла. Изменение прав досупа при копировании и перемещении файла. Права доступа, при создании файла
Владелец файла определяется эффективным идентификатором программы, которая создала файл. Владельцем является пользователь, который создал файл. Если программа suid’на, то все порожденные ею файлы будут принадлежать владельцу этой программы, а не пользователю, который ее запустил.
Группы во FreeBSD наследуются от родительской папки, даже, если пользователь, создавший файл не является членом этой группы, что не очень хорошо с точки зрения безопасности. Во многих дистрибутивах, создавшему файл присваивается первичная группа пользователя, создавшего файл. Чтобы группа как во FreeBSD наследовалась от родительской папки, нужно установить sgid.
Права доступа, создавшего файл, определяются параметром umask. Он задает, какие биты доступа не установлены в разрешениях. Если umask=022, то это соответствует R W X, R - X, R - X. Для просмотра данного параметра используется одноименная команда без аргумента. Для его изменения надо указать в команде в качестве аргумента трехзначное восьмеричное значение.
Изменение прав доступа, при копировании\перемещении файла
При копировании создается новый файл. При перемещении меняется только место его расположения. При копировании действуют те же правила, что и при создании. Если используется команда копирования с ключом p (разрешение) - все сохраняется, если команду запустил root. Если не root, то разрешения сохраняются, а владельца группы нет; биты suid, sgid сбрасываются. При копировании все сохраняется, если в месте назначения такой файл существует. Если эту операцию выполняет пользователь, то suid, sgid сбрасываются. При перемещении все сохраняется, включая suid, sgid. Но, чтобы обычный пользователь мог изменить чужой файл, он должен иметь права записи в каталогах источника и назначения перемещения.
В команде изменения разрешения chmod. битам suid3, sgid2, sticky1 соответствует дополнительное четвертое восьми битное значения. Кроме прав доступа, есть флаги. Они действуют одинаково для всех пользователей, включая root и владельца. Но они могут убрать флаги с файлов и делать все, что угодно. В некоторых версиях Linux\UNIX флаги делятся на две группы:
Пользователи (может убрать только root и владелец).
Супер пользователи (только супер пользователь, т.е. root).
52. Понятие межсетевых экранов. Причины их использования. Возникающие проблемы. Соответствие категорий мэ уровням модели osi. Nat.
МЭ- однокомпонентное или функционально распределенное средство реализующий контроль за инфой поступающей или исходящей из АС.
Межсетевой экран разделяет сеть на две или более части и реализует набор правил - политику безопасности, определяющие условия прохождения пакетов из одной части сети в другую, а так же разрешенные службы и типы доступа.
Границы защищаемой сети обычно проводятся на стыке корпоративной сети и сети Интернет. Но можно располагать их и внутри корпоративной сети, например для защиты подразделений, где обрабатывается более конфиденциальная информация.
Самой простой политикой безопасности является предоставление доступа к интернету всем внутренним компьютерам корпоративной сети и полный запрет доступа из внешних к внутренним сетям.
Особенности межсетевых экранов
Управление доступом в интернет;
Фильтрация небезопасных служб, чтобы они не использовались за пределами защищенной сети;
Концентрированная безопасность;
Повышенная конфиденциальность;
Детальная протоколируемость.
Недостатки:
Ограничение нужных по мнению пользователей служб;
Остающиеся уязвимыми места;
Плохая защита от собственных сотрудников;
Межсетевые экраны не защищают от вирусов;
Уменьшение пропускной способности;
Все яйца в одной корзине.
Межсетевые экраны можно классифицировать в зависимости от уровня модели OSI, на котором они работают.
МЭ может классифицироваться в соответствии с уровнями модели OSI. Выделяют несколько видов МЭ: 1) коммутаторы(канальный и физический уровень), управление коммутатором позволяет присваивать мак адреса к сет карте ПК к определенным портам и осуществлять фильтрацию. 2) МЭ с фильтрацией пакетов (сетевой уровень), представл-т собой маршрутизатор либо работаю-я программа, реалии-й фильтр-ю вх/ис пакетов в соответствии с инфой в ip заголовке пакетов. 3) МЭ сеансового уровня 4) МЭ прикладного уровня