- •Безопасность операционной системы unix
- •Введение в безопасность unix Основы информационной безопасности
- •Политика безопасности
- •Управление доступом
- •Аутентификация и авторизация
- •Концепции безопасности unix
- •Пользователи и группы
- •Права доступа
- •Разделяемые каталоги
- •Подмена идентификатора субъекта
- •Недостатки базовой модели доступа и её расширения
- •Суперпользователь
- •Аутентификация пользователей
- •Настройка системы безопасности База данных пользователей системы
- •Изменение базы данных пользователей
- •Изменение прав доступа
- •Ограничения сеанса пользователя
Настройка системы безопасности База данных пользователей системы
Все данные о пользователяхUNIX хранит в файле/etc/passwdв текстовом виде. Каждому пользователю соответствует одна строка, поля которой разделяются двоеточиями:
входное имя:x:UID:GID:полное имя:домашний каталог:стартовый shell
Пример 4.1. Пример файла /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/var/adm:/bin/false
...
Каждый пользователь явно связан с одной из групп – это основная группапользователя. Это сделано для того, чтобы каждый пользователь состоял хотя бы в одной группе. Все новые файлы, создаваемые этим пользователем, в качестве группы владельцев будут иметь его основную группу.
Из примера видно, что некоторые пользователи имеют «неправильные» командные оболочки, работа в которых невозможна. Это сделано специально для того, чтобы исключить возможность входа таких пользователей в систему.
Пароли на вход в систему пользователей в UNIX не хранятся в открытом виде, хранятся только их хэши (набор байт, получаемый из пароля с помощью односторонней функции). Даже если злоумышленник получит значение этого хэша, ему придется подбиратьпароль, применяя данную одностороннюю функцию к различным словам и сравнивая со значением хэша. Часто хэши хранятся в специальном файле (например,/etc/shadow), доступ к которому разрешен только системе, так что перебор вообще не возможен.
Аналогичным образом информация о группах хранится в файле /etc/group. Каждой строке файла соответствует информация о группе: её имя, числовой идентификатор и список пользователей, входящих в эту группу.
Изменение информации о пользователях, также как и добавление новых пользователей, может производиться простым редактированием этого файла, однако более корректным способом является использование специальных утилит, которые рассматриваются далее.
Изменение базы данных пользователей
Для добавления и удаления пользователей и групп существует набор команд: useradd,userdel,groupadd,groupdel. Эти команды доступны только суперпользователю и имеют единственный обязательный параметр: имя пользователя или группы.
С помощью команд usermodиgroupmodможно изменять информацию в базах данных пользователей и групп. Эти команды также может выполнять только администратор системы.
Команда passwdпозволяет простым пользователям изменять свой системный пароль, а суперпользователю – изменять пароль любого из пользователей системы.
Изменение прав доступа
Для изменения владельца файла или группы владельцев используются команды chownиchgrp. Из соображений безопасности спользовать эти команды может только суперпользователь.
Пользователь может изменять права доступа к своим файлам с помощью команды chmod.
Ограничения сеанса пользователя
В UNIX существует ряд динамических ограничений, накладываемых на процесс аутентификации пользователя и запущенные им программы. Ограничения можно разделить на следующие группы:
ограничения входа в систему
Вход пользователя в систему может быть ограничен видом терминала, удалённым адресом (в случае сетевого входа в систему), временем работы. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/login.access
ограничения запускаемых процессов
Процессы пользователей могут быть ограничены по одному из следующих параметром: объём используемой памяти, число одновременно открытых файлов, число запускаемых процессов и т.п. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/limits.
ограничения использования диска
Дисковые квотыпозволяют ограничить объём используемого пространства жёсткого диска для каждого из пользователей системы. Для настройки данного ограничения необходима утилитаquote, а также поддержка в выбранной файловой системе.
Ограничения действуют на протяжении всего сеанса работы пользователя.
Резюме
Основой информационной безопасности любого предприятия является политика безопасности, которая включает в себя технические, организационные и правовые аспекты.
Основными элементами политики безопасности являются субъект, объект и отношения между ними. Выделяют ряд моделей доступа, среди которых маркерный доступ, списки пользователя (субъект-объектный доступ) и произвольное управление доступом (субъект-субъектный доступ).
В операционной системе UNIX субъектом является процесс пользователя, а объектом файл. Права группируются по владельцу объекта, группе владельцев и остальным и состоят из базовых прав: чтение, запись и исполнение, а также дополнительных прав (подмены субъекта и разделяемости каталога).
Аутентификация пользователя при входе в систему состоит в проверке пароля, соответствующего имени пользователя.
Информация о пользователях системы хранится в специальном файле /etc/passwd. Существует набор системных команд по изменению базы данных пользователей и групп.
В UNIX можно устанавливать динамические ограничения на сеанс пользователя.