- •1.Основные св-в безопасной ос. Основные принципы построения безопасных ос.
- •2.Стандарты иб в обл. Ос. Оценка и сертификация ос по треб-ям без-ти инф-ции
- •4 Уровня контроля отсутствия ндв:
- •3. Упр-е доступом в ос. Дискрец. Упр-е дост. Особ-ти реал-ции в ос unix и Linux
- •4.Упр-е дост. В ос. Принудит. Упр-е дост. Особ-ти реализации в ос unix и Linux.
- •5. Суб. И объекты доступа в ос. Атр. Без-ти файла в ос Linux. Хранение атр. Без-ти.
- •6. Суб. И об. Доступа в ос. Атр. Без-ти процесса. Хранение атр.В без-ти. Жиз. Цикл процесса. Сост-я процесса. Вып-е процесса в режиме ядра и в режиме польз-ля.
- •7. Субъекты и объекты доступа в ос. Взаимод-е процессов в ос Linux. Механизм сигналов. Реакция на получение сигнала. Игнорир-е и перехват сигналов.
- •9. Упр-е дост. Польз-лей к файлам в ос Linux. Права доступа к файлам и кат-гам в ос Linux. Кодир-е прав доступа. Влия-е прав доступа на вып-е операций над ф и к.
- •10. Упр-е доступом польз-лей к файлам в ос Linux. Назначение прав доступа к файлам и каталогам при создании файла. Маска доступа. Изменение прав доступа.
- •11.Упр-е доступом к файлам в linux. Списки прав доступа acl: формат, хранение, создание, удаление, права по умолчанию для каталогов.
- •12. Упр-е польз-лями в ос Linux. Хар-и бюджета польз-ля. Формат файла /etc/passwd.
- •13. Идт-я, аут. И авт. Польз-ля. Вход польз. В сист. Вып-е команд от им. Др. Польз
- •14.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удаление бюджета польз-ля
- •15.Упр-е польз. В ос Linux. Гр. Польз. Перв. Гр., pug. Формат файла /etc/group.
- •16.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удал-е группы польз-лей.
- •17. Упр-е польз-ми в ос Linux. Хар-ки пароля польз-ля. Формат файла /etc/shadow
- •18. Упр-е польз-лями в ос Linux.
- •19. Упр-е дисковыми разделами, фс и простр-вом свопинга.
- •20. Упр-е дисковыми разделами, фс и пространством свопинга. Дисковые фс. Типы фс. Формат фс unix. Создание фс. Монтир-еФс.
- •21. Упр-е дисковыми разделами, фс и простр-вом свопинга. Создание и форматир-е раздела свопинга. Подключение и отключение раздела свопинга.
- •22.Упр-е по, входящим в состав ос. Без-ть при установке, обновлении и удалении по. Основные возм-ти системы упр-я пакетами rpm.
- •23.Упр-е по ос. Пакет rpm. Зависимости пакетов. Состав пакета (файлы, метаданные, скрипты). Бинарные и src-пакеты. Назначение spec-файла.
- •24.Упр-е по ос. Верификация установл. Пакета. Восстановление прав доступа файлов по бд пакетов. Восстановление владельца и группы файлов по бд пакетов.
- •25. Упр-е по ос. Обесп-е без-ти при уст-е и обнов-ии по ос. Подпись пакетов rpm.
- •26. Упр-е сервисами
- •27. Упр-е системными и сетевыми сервисами. Упр-е service-юнитами. Разрешенные и запрещённые сервисы. Запуск, останов и перезагрузка сервиса.
- •28. Упр-е системными и сетевыми сервисами. Упр-е target-юнитами, target-юнит по умолчанию.
- •29.Упр-е системными и сетевыми сервисами. Выгрузка системы, перезагрузка, приостановка и остановка системы.
- •30.Система принудит. Упр-я доступом seLinux. Режимы работы. Формат файла /etc/selinux/config. Получение инф-ции о режиме работы. Изменение режима работы.
- •31. Сист. Принуд. Упр-я дост. SeLinux. Об и суб дост. Назн-е и формат контекста без.
25. Упр-е по ос. Обесп-е без-ти при уст-е и обнов-ии по ос. Подпись пакетов rpm.
RPM предоставляет широкий спектр функций проверки без-ти при установке и обновлении ПО: анализ пакетов; проверка файлов в пакетах; установка подписи, проверка подписи пакетов. GPG-подпись – стандартный механизм подписи пакетов в RPM. Для ее генерации необходимо: Генерация пары GPG-ключей; Конфигурирование RPM для исп-я ключа; Подпись пакетов; Экспорт публичного ключа.
Генерация пары ключей. Команда генерации ключа: gpg --gen-key.
После запуска генерации ключей появляется сообщение, в котором нужно выбрать: (1) DSA and ElGamal (default) (2) DSA (sign only) (4) RSA (sign only).
Примите значение (1) DSA and ElGamal, что позволит создать цифровую подпись. Введите 1 и нажмите Enter. Выберите длину ключа, срок действия ключа. Далее надо указать идентификатор польз-ля, который должен содержать имя, электронный адрес и, дополнительно, комментарий. Инф-ция будет запрошена постепенно, после чего можно просмотреть введенные данные.
Конфигурирование RPM для исп-я ключа. В файл ~/.rpmmacros нужно добавить:
%_signature gpg
%_gpg_name key_id
key_id – идентификатор польз-ля, указанный в предыдущем пункте.
Подпись пакета. Команда подписи пакета: package-name-1.0-1.noarch.rpm Параметры:
--addsign – начальная подпись. Исп-ся, если пакет не подписывался ранее.
--resign – переподписать уже подписанный пакет.
Команда экспорта открытого ключа: gpg --export -a 'имя' > public_key.txt
В этом случае ключ будет сохранен в файле public_key.txt
Команда импорта открытого ключа: rpm -import public_key.txt
Команда проверки подписи пакета: rpm --checksig -v package-name-1.0-1.noarch.rpm
Вывод: Good signature from "имя", где имя – имя польз-ля, подписавшего пакет.
26. Упр-е сервисами
Сервисы следят за: Состоянием системы; Автоматическим подключением внешних устройств; Взаимодействием с сетью; Обеспечением безотказной работы разл. служб
Сервисы бывают: системные и сетевые. systemd – системный менеджер, демон инициализации др. демонов в Linux. Особенность: интенсивное распараллеливание запуска служб в процессе загрузки системы, что позволило существенно ускорить запуск ОС. Оперируют специально оформленными файлами конфигурации – юниты (units). Unit отвечает за отдельно взятую службу; точку монтирования; подключаемые устройства; файлы подкачки; виртуальные машины
Юниты представлены конфигурацион. файлами, размещенными в одной из директорий:
/usr/lib/systemd/system/ – юниты из установленных пакетов RPM.
/run/systemd/system/ – юниты, созданные в рантайме. Этот каталог приоритетнее каталога с установленными юнитами из пакетов.
/etc/systemd/system/ – юниты, созданные и управляемые системным администратором. Этот каталог приоритетнее каталога юнитов, созданных в рантайме.
Типы юнитов:
.target - позволяет группировать юниты, воплощая концепцию уровней запуска (runlevel)
.service - отвечает за запуск сервисов (служб), также поддерживает вызов интерпретаторов для исполнения пользовательских скриптов
.mount - отвечает за монтирование файловых систем
.automount - позволяет отложить монтирование файловых систем до фактического обращения к точке монтирования
.swap - отвечает за подключение файла или устройства подкачки
.timer - позволяет запускать юниты по расписанию
.socket - предоставляет службам поддержку механизма сокет-активации
.slice - отвечает за создание контейнера cgroups
.device - позволяет реагировать на подключение устройств
.path - управляет иерархией файловой системы
Основные команды упр-я systemd
systemctl start name.service – запуск сервиса
systemctl stop name.service – остановка сервиса
systemctl restart name.service – перезапуск сервиса
systemctl try-restart name.service – перезапуск сервиса только, если он запущен
systemctl reload name.service – перезагрузка конфигурации сервиса
systemctl status name.service – проверка, запущен ли сервис с детальным выводом состояния сервиса
systemctl is-active name.service – проверка, запущен ли сервис с простым ответом: active или inactive
systemctl list-units --type service --all – отображение статуса всех сервисов
systemctl enable name.service – активирует сервис (позволяет стартовать во время запуска системы)
systemctl disable name.service – деактивирует сервис
systemctl reenable name.service – деактивирует сервис и сразу активирует его
systemctl is–enabled name.service – проверяет, активирован ли сервис
systemctl list-unit-files --type service – отображает все сервисы и проверяет, какие из них активированы
systemctl mask name.service – заменяет файл сервиса симлинком на /dev/null, делая юнит недоступным для systemd
systemctl unmask name.service – возвращает файл сервиса, делая юнит доступным для systemd