- •1.Основные св-в безопасной ос. Основные принципы построения безопасных ос.
- •2.Стандарты иб в обл. Ос. Оценка и сертификация ос по треб-ям без-ти инф-ции
- •4 Уровня контроля отсутствия ндв:
- •3. Упр-е доступом в ос. Дискрец. Упр-е дост. Особ-ти реал-ции в ос unix и Linux
- •4.Упр-е дост. В ос. Принудит. Упр-е дост. Особ-ти реализации в ос unix и Linux.
- •5. Суб. И объекты доступа в ос. Атр. Без-ти файла в ос Linux. Хранение атр. Без-ти.
- •6. Суб. И об. Доступа в ос. Атр. Без-ти процесса. Хранение атр.В без-ти. Жиз. Цикл процесса. Сост-я процесса. Вып-е процесса в режиме ядра и в режиме польз-ля.
- •7. Субъекты и объекты доступа в ос. Взаимод-е процессов в ос Linux. Механизм сигналов. Реакция на получение сигнала. Игнорир-е и перехват сигналов.
- •9. Упр-е дост. Польз-лей к файлам в ос Linux. Права доступа к файлам и кат-гам в ос Linux. Кодир-е прав доступа. Влия-е прав доступа на вып-е операций над ф и к.
- •10. Упр-е доступом польз-лей к файлам в ос Linux. Назначение прав доступа к файлам и каталогам при создании файла. Маска доступа. Изменение прав доступа.
- •11.Упр-е доступом к файлам в linux. Списки прав доступа acl: формат, хранение, создание, удаление, права по умолчанию для каталогов.
- •12. Упр-е польз-лями в ос Linux. Хар-и бюджета польз-ля. Формат файла /etc/passwd.
- •13. Идт-я, аут. И авт. Польз-ля. Вход польз. В сист. Вып-е команд от им. Др. Польз
- •14.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удаление бюджета польз-ля
- •15.Упр-е польз. В ос Linux. Гр. Польз. Перв. Гр., pug. Формат файла /etc/group.
- •16.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удал-е группы польз-лей.
- •17. Упр-е польз-ми в ос Linux. Хар-ки пароля польз-ля. Формат файла /etc/shadow
- •18. Упр-е польз-лями в ос Linux.
- •19. Упр-е дисковыми разделами, фс и простр-вом свопинга.
- •20. Упр-е дисковыми разделами, фс и пространством свопинга. Дисковые фс. Типы фс. Формат фс unix. Создание фс. Монтир-еФс.
- •21. Упр-е дисковыми разделами, фс и простр-вом свопинга. Создание и форматир-е раздела свопинга. Подключение и отключение раздела свопинга.
- •22.Упр-е по, входящим в состав ос. Без-ть при установке, обновлении и удалении по. Основные возм-ти системы упр-я пакетами rpm.
- •23.Упр-е по ос. Пакет rpm. Зависимости пакетов. Состав пакета (файлы, метаданные, скрипты). Бинарные и src-пакеты. Назначение spec-файла.
- •24.Упр-е по ос. Верификация установл. Пакета. Восстановление прав доступа файлов по бд пакетов. Восстановление владельца и группы файлов по бд пакетов.
- •25. Упр-е по ос. Обесп-е без-ти при уст-е и обнов-ии по ос. Подпись пакетов rpm.
- •26. Упр-е сервисами
- •27. Упр-е системными и сетевыми сервисами. Упр-е service-юнитами. Разрешенные и запрещённые сервисы. Запуск, останов и перезагрузка сервиса.
- •28. Упр-е системными и сетевыми сервисами. Упр-е target-юнитами, target-юнит по умолчанию.
- •29.Упр-е системными и сетевыми сервисами. Выгрузка системы, перезагрузка, приостановка и остановка системы.
- •30.Система принудит. Упр-я доступом seLinux. Режимы работы. Формат файла /etc/selinux/config. Получение инф-ции о режиме работы. Изменение режима работы.
- •31. Сист. Принуд. Упр-я дост. SeLinux. Об и суб дост. Назн-е и формат контекста без.
11.Упр-е доступом к файлам в linux. Списки прав доступа acl: формат, хранение, создание, удаление, права по умолчанию для каталогов.
Списки упр-я доступом ACL – механизм расширения прав.
Права доступа в ACL могут даваться как именованным польз-лям и группам, так и по UID и GID в дополнение к стандартным категориям, т.е. к польз-лю-создателю, его группе и другим польз-лям. Применяются списки прав к файлам и директориям. Новые файлы и поддиректории могут автоматически наследовать свои списки ACL от списка директории-родителя - default ACL, если он есть.
Просмотр некоторых(не всех!) деталей списков ACL:
$ ls -l myfile.txt
-rwxrw----+ 1 student mygroup 130 Mar 19 20:36 myfile.txt
Знак + здесь в конце строки битов указывает на то, что есть список ACL для этого файла.
Тройки битов здесь интерпретируются так:
User – настройки user ACL, которые совпадают со стандартными правами
Group – текущие ACL mask настройки; это не group из стандартных прав!
Other – other ACL настройки, так же как и в стандартных правах
Просмотр и структура ACL файла и директорий:
$ getfacl myfile.txt
# file: myfile.txt //инф-ция о файле
# owner: student //о владельце,
# group: mygroup //о группе владельца
//на 4-ой строчке – setuid, setgid, если они есть(#flags)
//настр. user
user::rwx //права для student – rwx
user::james:--- // права для james
user::1005::rwx #effective:rw- //для uid=1005 права rwx, но маска ограничивает их только до rw-(a.k.a. effective permissions )
//настройки group - аналогично
group::rwx #effective:rw-
group:sodor:r-- //настройки mask
mask::rw- //настройки other
other::---
Кроме того, также в ACL директорий имеются настройки по умолчанию:
default:user::rwx
default:group:sodor:r-x
default:mask::rwx
default:other::---
Mask – задает максимально возможные права доступа для именован. user, group-owner и именован. group. Но она не задает ограничения для владельца и other!
Установка, удаление, модификация ACL:
setfacl <опции> <ключ> <список правил> <объект>
Ключи: -m модификация указанных правил
-x удаление указанных правил
--set полная перезапись правил
Опции: -b удаляет все права, сохраняя основные правила
-k удаляет права default
-d устанавливает права default
-restore=file восстанавливает права на объекты из указанного файла
-R применить рекурсивно
Формирование списка правил:
u:<uid>:<perms>* права для user
g:<gid>:<perms>* права для group
m:<perms>* задает маску для effective permissions
o:<perms>* права для other
Примеры:
Назначить пользов-лю alex права на чтение и запись: $ setfacl -m u:alex:rw myfile.txt
Назначить группе право на чтение: $ setfacl -m g:teachers:r myfile.txt
12. Упр-е польз-лями в ос Linux. Хар-и бюджета польз-ля. Формат файла /etc/passwd.
3 типа польз-лей в ОС Linux: Польз-ль root; Системные польз-ли; Обычные польз-ли.
Инф-ция о польз-лях хранится в файлах: |
|
Доп. инф-ция располагается в файлах: | ||||
/etc/passwd |
польз-ли |
|
/etc/default/useradd |
св-в по умолчанию для новых польз-лей | ||
/etc/group |
группы польз-лей |
|
/etc/login.defs |
настройки новых польз-лей | ||
/etc/shadow |
зашифрованные пароли польз-лей |
|
/etc/skel/ |
каталог, файлы из которого копируются в домашний каталог нового польз-ля | ||
/etc/gshadow |
зашифрованные пароли групп |
|
Файл /etc/passwd имеет след. текстовый формат: login:X:UID:GID:name:home:shell.
В случае, если пароль хранится в зашифрованном виде в файле /etc/shadow, то вместо пароля указывается символ x (икс).
Файл /etc/group имеет след. текст. формат: group_name:password:GID:user1,user2,user3
К файлам /etc/passwd и /etc/group д.б. заданы права доступа: чтение и запись для польз-ля root и только чтение - для всех остальных
Для упр-я польз-лями служат команды: |
|
Для упр-я группами служат команды: | ||||
useradd |
добавить нового польз-ля |
|
groupadd |
создать новую группу | ||
passwd |
установить пароль польз-ля |
|
gpasswd |
установить пароль группы | ||
usermod |
изменить параметры уч. записи польз-ля |
|
groupmod |
изменить параметры группы | ||
userdel |
удалить уч. запись польз-ля |
|
groupdel |
удалить группу |
Характ-ки бюджета польз-ля. Команда useradd заводит бюджет нового польз-ля, создает для него домашний каталог, копирует в него файлы конфигурации из каталога /etc/skel. В качестве аргумента команде д.б. указано имя польз-ля, которое потом будет использоваться им для входа в систему. Кроме того, с помощью доп. опций можно задать:
данные о польз-ле, записываемые в поле комментария в файле /etc/passwd (опция -c);
имя или номер группы, к которой будет отнесен польз-ль (опция – g);
список групп, в которые будет включен данный польз-ль (опция – G);
UID польз-ля, назначаемый вместо UID, задаваемого системой (опция –u);
какая оболочка назначается польз-лю (опция –s)
Команда usermod имеет те же опции, что и useradd, только исп-ся для изменения параметров существующего польз-ля, причем на момент применения этой команды суперпольз-лем данный польз-ль не д.б. логирован в системе.
Формат файла /etc/passwd login:X:UID:GID:name:home:shell
В некоторых системах имеются «теневые пароли» (shadow passwords), когда инф-ция о пароле хранится в файле /etc/shadow. Третье поле UID. Это число д.б. уникальным. UID ≤ 1000 – системные польз-ли. Четвёртое поле GID, т.е. польз-ль принадлежит к группе с данным номером. Инф-ция о группах хранится в файле /etc/group. Пятое поле – реальное имя польз-ля, в данном случае. Последние 2 поля – домашний каталог польз-ля и начальная оболочка.