- •1.Основные св-в безопасной ос. Основные принципы построения безопасных ос.
- •2.Стандарты иб в обл. Ос. Оценка и сертификация ос по треб-ям без-ти инф-ции
- •4 Уровня контроля отсутствия ндв:
- •3. Упр-е доступом в ос. Дискрец. Упр-е дост. Особ-ти реал-ции в ос unix и Linux
- •4.Упр-е дост. В ос. Принудит. Упр-е дост. Особ-ти реализации в ос unix и Linux.
- •5. Суб. И объекты доступа в ос. Атр. Без-ти файла в ос Linux. Хранение атр. Без-ти.
- •6. Суб. И об. Доступа в ос. Атр. Без-ти процесса. Хранение атр.В без-ти. Жиз. Цикл процесса. Сост-я процесса. Вып-е процесса в режиме ядра и в режиме польз-ля.
- •7. Субъекты и объекты доступа в ос. Взаимод-е процессов в ос Linux. Механизм сигналов. Реакция на получение сигнала. Игнорир-е и перехват сигналов.
- •9. Упр-е дост. Польз-лей к файлам в ос Linux. Права доступа к файлам и кат-гам в ос Linux. Кодир-е прав доступа. Влия-е прав доступа на вып-е операций над ф и к.
- •10. Упр-е доступом польз-лей к файлам в ос Linux. Назначение прав доступа к файлам и каталогам при создании файла. Маска доступа. Изменение прав доступа.
- •11.Упр-е доступом к файлам в linux. Списки прав доступа acl: формат, хранение, создание, удаление, права по умолчанию для каталогов.
- •12. Упр-е польз-лями в ос Linux. Хар-и бюджета польз-ля. Формат файла /etc/passwd.
- •13. Идт-я, аут. И авт. Польз-ля. Вход польз. В сист. Вып-е команд от им. Др. Польз
- •14.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удаление бюджета польз-ля
- •15.Упр-е польз. В ос Linux. Гр. Польз. Перв. Гр., pug. Формат файла /etc/group.
- •16.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удал-е группы польз-лей.
- •17. Упр-е польз-ми в ос Linux. Хар-ки пароля польз-ля. Формат файла /etc/shadow
- •18. Упр-е польз-лями в ос Linux.
- •19. Упр-е дисковыми разделами, фс и простр-вом свопинга.
- •20. Упр-е дисковыми разделами, фс и пространством свопинга. Дисковые фс. Типы фс. Формат фс unix. Создание фс. Монтир-еФс.
- •21. Упр-е дисковыми разделами, фс и простр-вом свопинга. Создание и форматир-е раздела свопинга. Подключение и отключение раздела свопинга.
- •22.Упр-е по, входящим в состав ос. Без-ть при установке, обновлении и удалении по. Основные возм-ти системы упр-я пакетами rpm.
- •23.Упр-е по ос. Пакет rpm. Зависимости пакетов. Состав пакета (файлы, метаданные, скрипты). Бинарные и src-пакеты. Назначение spec-файла.
- •24.Упр-е по ос. Верификация установл. Пакета. Восстановление прав доступа файлов по бд пакетов. Восстановление владельца и группы файлов по бд пакетов.
- •25. Упр-е по ос. Обесп-е без-ти при уст-е и обнов-ии по ос. Подпись пакетов rpm.
- •26. Упр-е сервисами
- •27. Упр-е системными и сетевыми сервисами. Упр-е service-юнитами. Разрешенные и запрещённые сервисы. Запуск, останов и перезагрузка сервиса.
- •28. Упр-е системными и сетевыми сервисами. Упр-е target-юнитами, target-юнит по умолчанию.
- •29.Упр-е системными и сетевыми сервисами. Выгрузка системы, перезагрузка, приостановка и остановка системы.
- •30.Система принудит. Упр-я доступом seLinux. Режимы работы. Формат файла /etc/selinux/config. Получение инф-ции о режиме работы. Изменение режима работы.
- •31. Сист. Принуд. Упр-я дост. SeLinux. Об и суб дост. Назн-е и формат контекста без.
17. Упр-е польз-ми в ос Linux. Хар-ки пароля польз-ля. Формат файла /etc/shadow
Одни системы настаивают на фиксированной минимальной длине пароля, другие – на содержании в пароле хотя бы одного небуквенного символа.
Формат файла /etc/shadow. Пароли (или их зашифрованное представление) хранятся в файле /etc/shadow, доступ к которому имеет только суперпольз-ль. Формат файла:
name:password:lastchange:minage:maxage:warning:inactive :expire:blank
name – имя пользов-ля для входа в систему password – зашифрованный пароль (хэш)
Если это поле пустое, то пароль отсутствует. Если ! или *, то учётная запись заблокирована (вход никогда не осуществится)
lastchange – дата последнего изм-я пароля (кол-во дней с 01.01.1970)
minage – минимальное кол-во дней между изменениями пароля
maxage – максимальное кол-во дней, когда пароль действителен
warning – период предупреждения о том, что срок действия пароля истекает (в днях). 0 означает, что не надо предупреждать
inactive – кол-во дн, когда уч. запись будет активна после истечения действия пароля
expire – истекает абс. дата, после которой уч. запись будет отключена
blank – пустое поле (резерв для будущего исп-я)
Хэш пароля. Современный хэш паролей файла /etc/shadow состоит из 3х частей ($ - знак разделения): $1$gCjLa2/Z$6Pu0EK0AzfCjxjv2hoLOB/
1 – алгоритм хэширования. Число 1 значит, что использовался MD5. Или, например, число 6 означает, что использовался SHA-512.
gCjLa2/Z – соль, используемая для создания хэша (соль и незашифрованный пароль объединяются и хэшируются).
6Pu0EK0AzfCjxjv2hoLOB/ – итоговый хэш пароля.
Когда польз-ль пытается войти в систему, система просматривает запись для польз-ля в /etc/shadow, объединяет соль для польз-ля с незашифрованным паролем, который был введен, и шифрует их с исп-ем указанного алгоритма хэширования. Если результат соотв-ет зашифрованному хэшу, польз-ль вводит правильный пароль. Если результат не соотв-ет зашифрованному хэшу, польз-ль вводит неверный пароль и попытка входа в систему не выполн-ся. Этот метод позволяет системе определить, набрал ли польз-ль правильный пароль, не сохраняя этот пароль в форме, пригодной для входа в систему.
18. Упр-е польз-лями в ос Linux.
Подгружаемые аутентификационные модули (Pluggable Authentication Modules) - набор API для аутентификации польз-лей.
Файл /etc/pam.conf состоит из строк след. формата:
Имя_службы Тип_модуля Управляющий_флаг Модуль_PAM Аргументы
Имя службы (сервиса) – программа, к которой относится данная строчка. Т.е. при вызове этой программы открывается файл /etc/pam.conf и выполняются все строчки, связанные с этой программой. Все строчки, связанные с этой программой, образуют стек модулей, который выполняется послед-но. Результат работы зависит от порядка команд (модулей).
Программы, использующие PAM (службы): login, su, sudo, passwd, screen и т.д.
Тип модуля (тип действия) – один из четырех вариантов (управляющие группы):
auth - подтверждение личности польз-ля. Обычно это имя польз-ля и пароль.
account - действия, определяющие, можно ли польз-лю зайти в систему. Напр, ограничение входа польз-ля в систему в зав-ти от времени суток.
session - действия по выделению ресурсов, кот. могут потребоваться польз-лю во время сессии, напр, установка лимитов на исп-е ресурсов системы, вывод ежедн. сообщ-я и т.д.
password - действия по обновлению «секрета» польз-ля (обычно пароля).
Управляющий флаг – как система реагирует на результат модуля. Варианты:
requisite - если модуль завершается с ошибкой, PAM немедленно возвращает приложению ошибку, другие модули стека не вызываются.
required - если модуль завершается с ошибкой, PAM возвращает ошибку приложению, но продолжает вызывать остальные модули стека.
sufficient - если модуль завершается успешно, PAM возвращает приложению результат «выполнен», и остальные модули стека не вызываются.
optional - результат работы модуля (выполнен/ошибка) игнорируется.
include - включает все строки из конфигурационного файла, переданного в качестве аргумента (фактически вызов функции).
Основные модули PAM (далее расписано Модуль (действие): описание)
pam_unix (auth, session, password): Выполняет аутентификацию, используя хэши паролей, которые хранятся в /etc/shadow.
pam_limits (session): Устанавливает огр-я на системные ресурсы, отпускаемые на время пользовательского сеанса. Можно задать жесткие и мягкие границы для таких параметров, как макс. число процессов, макс. размер файла, процессорное время и т.д.
pam_rootok (auth): Завершается успешно, если вы – администратор системы, и возвращает ошибку в противном случае
pam_cracklib (password): Проверяет качество пароля, затем еще раз проверяет пароль по системному словарю и ряду правил «плохого подбора пароля»
pam_passwdqc (password): Альтернат. модуль для проверки качества пароля
pam_permit (auth, account, session, password): Всегда говорит «да» и возвращает успешный результат выполнения
pam_deny (auth, account, session, password): Всегда говорит «нет» и возвращает ошибку
pam_warn (auth, account, session, password): Просто отправляет сообщение (включая имя сервиса, терминал, имя польз-ля и удаленный хост) службе журнала syslogd.
pam_wheel (auth, account): Исп-ся программами типа su. Этот модуль разрешает администраторский доступ только польз-лям, включенным в группу wheel.
Вообще-то /etc/pam.conf устарел и вместо него используют папку /etc/pam.d/, в кот. хранятся файлы с именами служб (login, su, passwd и т. д.). Сами же модули PAM хранятся в папке /lib64/security/ и наз-ся pam_rootok.so, pam_wheel.so и по аналогии.