Страница:
системами UNIX, позволяющих пользователям выбирать
свои пароли. Если значение этого параметра "Нет",
- 10-21 -
то система должна сама генерировать пароли для
пользователей, в соответствии с процедурой генера-
ции случайного пароля.
Checked for obviousness
Этот параметр определяет должна ли система осу-
ществлять проверку тривиальности получившегося па-
роля. Эта проверка гарантирует, что пароль не бу-
дет появляться в открытом каталоге, наряду с
другой проверкой, описанной в goodpw(ADM). Значе-
ния "Да" этого параметра гарантирует, что внедре-
ния в систему, основанные на переборе всех реаль-
ных слов, будут ошибочными, но это может быть
более эффективно управляться посредством ограниче-
ний, накладываемых на входы в систему пользовате-
лей и терминалов. Эта проверка тривиальности уве-
личивает по существу время необходимое на
изменение пароля. Три параметра, касающиеся гене-
рации паролей, могут быть перекрыты параметрами,
указанными для пользователя.
Single user password required
Этот параметр управляет тем, требуется ли пароль
для перевода системы в одно-пользовательский режим
(режим поддержки).
Когда некоторая учетная информация заблокирована системой,
только основной пользователь или администратор учета может разб-
локировать ее. При этом должен быть изменен пароль. Вы можете
перекрыть значение этих параметров для некоторого пользователя
установкой этих параметров для пользователя, как указано в "До-
бавлении пользователя".
Изменение прав, принимаемых по умолчанию
Операционная система определяет два типа прав: право досту-
па к ядру и право доступа к подсистемам. Право доступа к подсис-
темам определяется для пользователей и позволяет им выполнять
соответствующие утилиты. Право доступа к ядру определяется для
процессов и позволяет процессам выполнять конкретные действия,
если процесс имеет необходимое право. Каждая сессия с пользова-
телем имеет набор прав доступа к ядру и набор прав доступа к
подсистемам.
Доступ к параметрам, определяющим права доступа, становятся
доступными после следующего выбора в среде sysadmsh:
Учетная информация-> Значения по умолчанию-> Права
Отобразится следующий экран:
- 10-22 -
+----------------------------------------------------------+
| Authorization |
| (право доступа) |
| |
| Privileges enforced by the system |
| (Привилегии, обеспечиваемые системой) |
| |
| /tcb/files/auth 03/23/89 10:57 |
| |
|+---------------------Authorizations---------------------+|
|| (права доступа) ||
|| ||
|| System default authorizations (<F3> for list) (систем-||
|| ные права доступа, принимаемые по умолчанию, (<F3>-для||
|| получения списка)) ||
|| ||
|| Kernel: Subsystem: [... ]||
||(для ядра)+----------+ (для подсистем) ||
|| |chmodsugid| ||
|| |chown | ||
|| |execsuid | ||
|+----------+nopromain +----------------------------------+|
| +----------+ |
+----------------------------------------------------------+
Используйте клавишу <F3> для получения открывающегося окна,
которое содержит список наборов прав доступа. Они описываются
ниже.
- 10-22a -
Таблица 10.2
Права доступа к подсистемам
+-----------+---------------------+---------------------------+
| Права | Подсистемы | Разрешенные действия |
+-----------+---------------------+---------------------------+
| mem | Memory | Доступ к системной ин- |
| | (память) | формации; просмотр всех |
| | | процессов в системе |
+-----------+---------------------+---------------------------+
| terminal | Terminal | Неограниченное использо- |
| | (терминал) | вание команды write(C) |
+-----------+---------------------+---------------------------+
| lp | Line Printer | Управление принтером |
| | (строчный принтер) | |
+-----------+---------------------+---------------------------+
| backup | Backups | Создание резервных копий |
| | (создание резервных | |
| | копий) | |
+-----------+---------------------+---------------------------+
| auth | Account | Администратор учета: до- |
| | (учет) | бавление пользователей, |
| | | изменение паролей и др. |
+-----------+---------------------+---------------------------+
| audit | Audit | Администратор контроля: |
| | (контроль) | запуск контроля системы |
| | | и генерация отчетов |
+-----------+---------------------+---------------------------+
| cron | Job Scheduling | Управление использовани- |
| | (управление | ем команд cron(C), at(C) |
| | заданиями) | и batch(C) |
| | | |
| sysadmin | System Integrity | Возможность запуска |
| | (целостность | программы integrity(ADM) |
| | системы) | |
+-----------+---------------------+---------------------------+
Права доступа к подсистемам определяют роли администрато-
ров, которые некоторый пользователь может получить при запуске
соответствующих утилит. Обычный пользователь системы не имеет
прав доступа к подсистемам. Административное право предоставля-
ется правом доступа к подсистемам на основании ответственности
за них; то есть, администратору учета предоставляется право
auth, а администратору принтера предоставляется право lp.
- 10-23 -
В системной базе данных значений по умолчанию, набор значе-
ний по умолчанию на право запуска команд предоставлено всем
пользователям, которые не имеют прав на запуск команд в их спе-
циальной личной учетной информации. В случае защиты С2, права
доступа к подсистемам в системной базе данных значений по умол-
чанию пусты и элементы для каждого пользователя устанавливаются
на основе административных ролей, если таковые существуют для
этого пользователя.
Право доступа к подсистеме sysadmin управляет возможностью
запуска программы integrity(ADM), которая проверяет разрешение
на просмотр файлов в базе данных управления файлами. (Для полу-
чения большей информации обратитесь к руководству по программе
integrity(ADM) и к "Проверке целостности системы" в главе "Под-
держка системной защиты" этого руководства).
Таблица 10.3
Вторичные права доступа
+--------------------------------------------------------------+
| Вторичные права Подсистемы Описание |
+--------------------------------------------------------------+
| queryspace backup Использование команды|
| df для опрашиваемого|
| дискового пространства|
| |
| printerqueue lp Просмотр всех заданий|
| в очереди, используя|
| команду lpstat |
| |
| printerstat lp Использование команд,|
| устанавливающих дос-|
| тупность/недоступность|
| принтера |
| |
| su auth Обеспечивает доступ|
| пользователя к учетной|
| информации привелиги-|
| рованного пользовате-|
| ля. (Требуется пароль|
| привелигированного |
| пользователя). |
+--------------------------------------------------------------+
- 10-23a -
Эти вторичные права позволяют ограничивать доступ
пользователей к ресурсам отличный от уже присвоенного (например,
без права printqueue, пользователь сможет просмотреть только
свои задания, используя команду lpstat). Эти права обеспечивают
поведение, которое более совместимо с другими операционными сис-
темами UNIX. Если установлены значения по умолчанию "ослаблен-
ной" защиты, то вторичные права обеспечиваются по умолчанию. Ес-
ли Вы используете значения по умолчанию "ослабленной" защиты и
хотите не устанавливать эти права для всех пользователей, Вы
должны переопределить значения, принимаемые по умолчанию.
________________________________________________________________
Примечание
Если основное право на доступ к подсистеме установлено,
также устанавливаются вторичные права для этой подсистемы. (Нап-
ример, право на доступ lp активизирует права printqueue и
printerstat).
________________________________________________________________
- 10-24 -
Привилегированный пользователь и администраторы с соответс-
твующими правами доступа
Большинство полномочий, нормально выполняемых привилегиро-
ванным пользователем в менее защищенной системе, разрешено в за-
щищенных системах, о которых шла речь ранее. Однако, некоторые
функции требую авторизации основного пользователя. Это необходи-
мо помнить, когда Вы устанавливаете права. Назначение права su
позволяет административному пользователю иметь привилегированную
учетную информацию su(C).
Права привилегированного пользователя требуются для выпол-
нения следующих задач:
1. Установка программного обеспечения
2. Разбивка диска на разделы и поддержка файловой системы
3. Перезапись, восстановление файлов и установка доступа к
файлу
4. Останов системы
5. Исправление неисправностей
Права на доступ к ядру
Права на доступ к ядру определяют действиями, которые поль-
зователи осуществляют для выполнения специального обслуживания
операционной системы. Например, возможность изменения собствен-
ности файла управляется правом chown. Права доступа к ядру по
умолчанию применяются только тогда, когда не указаны права дос-
тупа к ядру для пользователя. Поэтому пользователи, которым не-
обходимы большие права, могут иметь специальные для каждого из
них элементы в базе данных, определяющие их права, тогда как
обычные пользователи могут иметь их набор прав по умолчанию, со-
держащийся в системной базе данных значений по умолчанию.
- 10-24a -
Таблица 10.4
Права на доступ к ядру
+----------------------------------------------------------------+
| Права Действия |
+------------------+---------------------------------------------+
| configaudit | Конфигурация параметров подсистемы контро-|
| | ля |
| writeaudit | Запись элементов контроля в контрольный|
| | след |
| execsuid | Возможность запуска программ SUID |
| chmodsugid | Возможность устанавливать биты SUID и SGID|
| | в файлы |
| chown | Возможность менять собственника объекта |
| suspendaudit | Приостанавливать контроль операционной|
| | системы за процессом |
| nopromain | Доступ в качестве пользователя извне к ос-|
| | новному каталогу |
+------------------+---------------------------------------------+
Ограничения, обеспечиваемые этими правами, являются комп-
лексными; они конфигурируются по умолчанию для функционирования
под уровнем защиты С2. Параметры контроля применяются только для
операций контроля и не должны быть назначены для пользователей;
- 10-25 -
этот параметр описан в "Использовании подсистемы контроля" в
главе "Поддержка Системной защиты" этого руководства.
Права Ъ1execsuid, chmodsugidЪ3 Ъ0и Ъ1chownЪ3 опописаны в разделах
"Назначение прав доступа к ядру" и "Исключительные операции вЪ3и-
системе защиты" в главе "Поддержка системной защиты" этого руко-
водства.
Права доступа к ядру и административные пользователи
Вы должны назначить специфические права доступа к ядру на-
ряду с правами доступа к подсистемам. Хотя большинство из них
уже назначено по умолчанию, они перечислены в таблице 10.5, если
Вы захотите изменить эти значения по умолчанию. Исключением яв-
ляется подсистема контроля, которая требует дополнительных прав
configaudit и suspendaudit. Эти права никогда не должны назна-
чаться по умолчанию или для обычных пользователей. Другим исклю-
чением является право sysadmin, которое требует право доступа к
ядру chmodsugid, хотя проще запустить программу integrity(ADM) в
качестве основного пользователя.
Таблица 10.5
Соответствия прав по доступу к подсистемам и к ядру
+--------------------------------------------------------+
| Права по требуемые права по доступу к |
| доступу к ядру |
| подсистемам |
+--------------------------------------------------------+
| audit configaudit,suspendaudit,execsuid |
| auth chown,execsuid |
| backup execsuid |
| lp chown |
| cron execsuid,chown,chmodsugid |
| sysadmin execsuid,chmodsugid,chown |
+--------------------------------------------------------+
- 10-26 -
________________________________________________________________
Управление входом в систему с терминала
База данных управления терминалами содержит параметры сис-
темных терминалов. Эта база данных представляет возможность ад-
министратору управлять количеством неуспешных попыток входов в
систему до блокировки терминала. Она также содержит информацию
о деятельности по входу в систему для каждого терминала. Когда
Вы устанавливаете терминал или принтер, эта информация автомати-
чески записывается в базу данных управления терминалами. Однако,
Вы должны изменить эти элементы для того, чтобы установить как
они могут быть использованы и какая процедура защиты будет за
этим наблюдать.
Выбор терминала в меню "Учетная информация" предложит Вам
следующее меню:
Examine Просмотр/модификация существующих элементов о
(просмотр) терминалах
Create Создать новый элемент о терминале
(создание)
Delete Удалить некоторый существующий элемент о
(удаление) терминале
Lock Заблокировать отдельный элемент
(блокировка)
Unlock Разблокировать отдельный элемент
(разблокировка)
Assign Управление базой данных эквивалентных имен
(назначение) устройств
Основной элемент в базе данных управления терминалами авто-
матически создается когда tty устройства добавляются в систему.
Выборы, которые Вы чаще всего используете - это просмотр, блоки-
ровка, разблокировка. По умолчанию система управляет должным об-
разом элементами базы.
Остальные пункты: Создание, Удаление, Назначение являются
специальными, они используются, когда в систему добавляются но-
вые программное или техническое обеспечение, и это требует руч-
ной настройки конфигурации.
Просмотр элемента о терминале
Для изменения установленных значений бля терминала выбери-
те:
Учетная информация-> Терминал-> Просмотр
На экране отобразится следующая форма:
- 10-27 -
+---------------------------------------------------------------------+
| Examine |
| (просмотр) |
| Enter the name of terminal device in /dev |
| (Введите имя терминального устройства в /dev) |
| /tcb/files/auth 03/23/89 10:57 |
|+------------------Terminal Database Entry--------------------------+|
|| (Элемент базы данных терминала) ||
|| ||
|| Terminal device: [ ] Locked? (Y/N) : n ||
|| (терминальное устройство) (заблокировано (Да/Нет)) ||
|| Last login : User: ||
|| (последний вход (пользователь) ||
|| в систему) Time: ||
|| (время) ||
|| Last logout : User: ||
|| (последний выход (пользователь) ||
|| из системы) Time: ||
|| (время) ||
|| Last filed login : User: ||
|| (последний (пользователь) ||
|| ошибочный Time: ||
|| вход в систему) (время) ||
||Current consecutive failed logins: Exceeded? (Y/N) :n ||
||(Текущее количество последовательных (превышено (Да/Нет)) ||
||ошибочных входов) ||
||Consecutive failed logins allowed:[Specify]Default of [ ]Value :[ ]||
||(Количество позволенных (указать)(по умолчанию)(значение)||
||последовательных ошибочных ||
||входов в систему) ||
||Delay between logins attempts :[Specify]Default of [ ]Value :[ ]||
||(Задержка между попытками (указать)(по умолчанию)(значение)||
||входа в систему ) ||
|+-------------------------------------------------------------------+|
+---------------------------------------------------------------------+
Этот экран предоставляет Вам возможность просмотреть теку-
щий статус терминала. Во всех случаях просмотра необходимо ввес-
ти имя терминала, которое является элементом каталога для это-
го терминала в каталоге /dev. Значение "INFINITE
(неопределенный)" для "Количества позволенных последовательных
ошибочных входов в систему" приводит к тому, что тип блокировки
для этого терминала становится недоступным (применяется аббреви-
атура). Элемент управления терминалом связан базой данных назна-
чения устройств, как описано далее в этой главе.
- 10-27a -
________________________________________________________________
Примечание
Привилегированный пользователь может отменить блокировку
терминала с системной консоли. Это сделано для того, чтобы избе-
жать полной блокировки всех пользователей. Так как доступен спе-
циальный вход в систему, Вы можете физически защитить системную
консоль.
________________________________________________________________
Переопределение ограничения числа попыток входа в систему
Если ограничения входов в систему с терминала не удовлетво-
рительны или очень ослаблены, используйте выбор в среде
sysadmsh, для определения этих ограничений:
Учетная информация-> Терминалы-> Просмотр
- 10-28 -
В предыдущем разделе описывается форма, которая будет отоб-
ражена на экране. Далее измените значения "Количество позволен-
ных последовательных неправильных входов в систему" и "Задержка
между попытками входа в систему".
Блокировка/разблокировка терминала
Для того, чтобы заблокировать и разблокировать используйте
соответственно выбор в среде sysadmsh:
Учетная информация-> Терминалы-> Блокировка
Учетная информация-> Терминалы-> Разблокировка
Когда появится запрос для терминала, введите его имя, нап-
ример, tty01. Когда терминал заблокирован, то на экране во время
попытки входа в систему появляется следующее сообщение:
Terminal is disabled -- see Authentication Administrator
(терминал недоступен -- смотри раздел администратора
идентификации)
Установка базы данных эквивалентов устройств
Цель существования базы назначения устройств - содержать
записи о терминальных устройствах, которые физически одни и те
же, а обращение к ним идет по различным именам путей (Для них
установлены связи, или они являются устройствами с использовани-
ем или без использования модемов и др.). Это гарантирует, что
отслеживание входов в систему и блокировка терминалов будут при-
меняться правильно, в зависимости от того, по какому имени пути
система обращается к ним.
Одним из примеров является то, что кто-нибудь делает недос-
тупным "tty1a", а затем доступным "tty1A". Так как база данных
назначения устройств содержит эквиваленты этих устройств, счет-
чик неуспешных входов в систему,например, будет поддерживаться.
С другой стороны, система выполняет эти действия автоматически
для устройств, которые она распознает по умолчанию. Некоторые
специальные узлы устройств созданные для необычных физических
устройств или программного обеспечения должны быть включены в
конфигурацию и добавлены вручную. Вы должны это делать, только
если в документации существует рекомендация, что это должно быть
сделано, или Вы знаете что делаете.
- 10-29 -
________________________________________________________________
Генерация отчетов о деятельности системы
Создание отчетов возможно по статусу трех важных аспектов
действия системы:
Пароли Отчет по статусам пароле в учетной инфор-
мации
Терминалы Отчет по статусу терминалов при доступе
Входы в систему Отчет по входам в систему пользователей,
группы пользователей и терминалов
Выбор отчетов может генерировать различные отчеты. Вы може-
те использовать отчеты для целей защиты (например, просмотр па-
раметров в базах данных защищенных паролей и управления термина-
лами). Так как эти отчеты показывают использование системы и
периферии, Вы можете их использовать для настройки и реконфигу-
рации системы.
Для всех отчетов, после подготовки отчета Вы будете опроше-
ны куда направить выходную информацию на экран, принтер или в
файл.
Вы можете установить фильтр на выходную информацию посредс-
твом использования системных программ подготовки страниц. Прог-
рамма more устанавливается по умолчанию. При выводе на принтер,
Вы можете указать имя устройства печати; если Вы не укажите имя,
система будет использовать вывод на устройство, принятое по
умолчанию. Если Вы перенаправляете выход в файл, Вы должны ука-
зать полное имя пути. Все равно какую категорию отчета Вы выбе-
рете, Вы будете опрошены куда Вы хотите направить информацию: На
экран, принтер или в файл.
Отчет по статусу паролей
При выборе первого типа отчета, опрашивается база данных
паролей, генерируется отчет по учетной информации и параметрам
паролей, установленных для учетной информации. Этот вид отчета
извлекает инфорацию из базы данных защищенных паролей. Статус
паролей освещается по следующим категориям:
Impending Отчеты по срокам действия паролей в
(пароли, у которых учетной информации
кончается срок
действия)
Expired Отчеты по учетной информации с пароля-
(пароли, у которых ми, у которых кончился срок действия
кончился срок
действия)
- 10-30 -
Dead Отчеты по учетной информации с перес-
(переставший тавшими существовать паролями
существовать
пароль)
User Отчет по одному пользователю
(пароль
пользователя)
Group Отчет по одной группе пользователей
(пароль группы)
Full Список всех элементов базы данных паро-
(полный) лей.
Опция Impending создает отчеты по учетной информации,
которая имеет, или скоро будет иметь пароли с завершившимся сро-
ком действия. Эти отчеты включают всю учетную информацию, для
которой у паролей уже исчерпан срок действия или срок действия
паролей кончается в течение недели. Хотя угроза завершения срока
действия не является сама по себе ошибкой, этот отчет позволяет
Вам определить пользователей, которые ожидают последнего момен-
та для того, чтобы изменить пароль. Вы можете провести ревизию
на основе полученной информации по системе в целом или для каж-
дого пользователя в отдельности в отношении периода действия па-
ролей.
Опция Expired создает отчеты по учетной информации с паро-
лями, у которых окончен срок действия. Это могут быть и
пароли,прекратившие свое существование. Для такой учетной инфор-
мации требуются некоторые действия администратора до того как
они смогут быть использованы; минимальным действием может быть
изменение пароля.
Опция Dead генерирует отчеты по учетной информации с паро-
лями срок существования которых окончился, что приводит к тому,
что такая учетная информация становится непригодной для дальней-
шего входа в систему.
Опция User генерирует отчет по одному пользователю, которо-
го Вы должны указать. Введите имя для входа в систему этого
пользователя для того, чтобы активизировать отчет по нему.
Опция Group генерирует отчет по отдельной указанной группе.
Этот отчет включает всех пользователей, находящихся в этой груп-
пе (как показано в поле Group Membership экрана поддержки учет-
ной информации пользователя).
В заключении, опция Full генерирует статистику для всех
пользователей системы.
- 10-30a -
Отчеты имеют следующую аббревиатуру:
три возможных значения: да, нет, по умолчанию ис-
пользуемые системой, которые могут быть выбраны.
Пример отчета: Group
Следующий пример является отчетом деятельности группы с па-
ролем "hamster". Аббревиатура в полях "Параметры пароля" соот-
ветствуют параметрам пароля, принимаемым системой по умолчанию.
- 10-31 -
Password Database Report
(отчет по базе данных паpолей)
System UNIX
(система UNIX)
Wed Mar 22 10:56:29 1989
Password Parameters
(паpаметpы паpолей)
[1] User Name Type Min Exp Life Rnd? Pck? Rst? Lck?
(имя пользо (тип)
вателя)
____ ____ ____ ___ ___ ____ ____ ____ ____ ____
Last Changes Last Logins Consec
(последнее изменение) (последний вход в (число
систему) попыток)
[2] Succes Failed Succes Failed #Failed
(успешн.) (ошиб.) (успешн.) (ошиб.) (ошиб.)
______ ______ ______ ______ _______
[3] Kernel Authorizations
(пpава доступа к ядpу)
______ ______________
[1] alvin general Dflt Dflt Dflt D D D Y
[2] 03/22/89 NEVER 03/22/89 NEVER -
[3] DEFAULT
[1] simon general Dflt Dflt Dflt D D D N
[2] 03/22/89 NEVER 03/22/89 NEVER -
[3] DEFAULT
[1] theodore general Dflt Dflt Dflt D D D N
[2] 03/22/89 NEVER 03/22/89 03/22/89 -
Генерация отчетов о работе терминалов
Если Вы выберете опцию Terminal в меню учетной информации,
Вы можете получить статистику по базе данных управления термина-
лами. Этот отчет содержит условия блокировки, неуспешные попытки
входа в систему с терминала и задержку между попытками входа.
Подобно генерации отчетов по паролям, Вы можете выбрать отчеты
для одного терминала, лексической группы терминалов или для всех
терминалов.
- 10-31a -
свои пароли. Если значение этого параметра "Нет",
- 10-21 -
то система должна сама генерировать пароли для
пользователей, в соответствии с процедурой генера-
ции случайного пароля.
Checked for obviousness
Этот параметр определяет должна ли система осу-
ществлять проверку тривиальности получившегося па-
роля. Эта проверка гарантирует, что пароль не бу-
дет появляться в открытом каталоге, наряду с
другой проверкой, описанной в goodpw(ADM). Значе-
ния "Да" этого параметра гарантирует, что внедре-
ния в систему, основанные на переборе всех реаль-
ных слов, будут ошибочными, но это может быть
более эффективно управляться посредством ограниче-
ний, накладываемых на входы в систему пользовате-
лей и терминалов. Эта проверка тривиальности уве-
личивает по существу время необходимое на
изменение пароля. Три параметра, касающиеся гене-
рации паролей, могут быть перекрыты параметрами,
указанными для пользователя.
Single user password required
Этот параметр управляет тем, требуется ли пароль
для перевода системы в одно-пользовательский режим
(режим поддержки).
Когда некоторая учетная информация заблокирована системой,
только основной пользователь или администратор учета может разб-
локировать ее. При этом должен быть изменен пароль. Вы можете
перекрыть значение этих параметров для некоторого пользователя
установкой этих параметров для пользователя, как указано в "До-
бавлении пользователя".
Изменение прав, принимаемых по умолчанию
Операционная система определяет два типа прав: право досту-
па к ядру и право доступа к подсистемам. Право доступа к подсис-
темам определяется для пользователей и позволяет им выполнять
соответствующие утилиты. Право доступа к ядру определяется для
процессов и позволяет процессам выполнять конкретные действия,
если процесс имеет необходимое право. Каждая сессия с пользова-
телем имеет набор прав доступа к ядру и набор прав доступа к
подсистемам.
Доступ к параметрам, определяющим права доступа, становятся
доступными после следующего выбора в среде sysadmsh:
Учетная информация-> Значения по умолчанию-> Права
Отобразится следующий экран:
- 10-22 -
+----------------------------------------------------------+
| Authorization |
| (право доступа) |
| |
| Privileges enforced by the system |
| (Привилегии, обеспечиваемые системой) |
| |
| /tcb/files/auth 03/23/89 10:57 |
| |
|+---------------------Authorizations---------------------+|
|| (права доступа) ||
|| ||
|| System default authorizations (<F3> for list) (систем-||
|| ные права доступа, принимаемые по умолчанию, (<F3>-для||
|| получения списка)) ||
|| ||
|| Kernel: Subsystem: [... ]||
||(для ядра)+----------+ (для подсистем) ||
|| |chmodsugid| ||
|| |chown | ||
|| |execsuid | ||
|+----------+nopromain +----------------------------------+|
| +----------+ |
+----------------------------------------------------------+
Используйте клавишу <F3> для получения открывающегося окна,
которое содержит список наборов прав доступа. Они описываются
ниже.
- 10-22a -
Таблица 10.2
Права доступа к подсистемам
+-----------+---------------------+---------------------------+
| Права | Подсистемы | Разрешенные действия |
+-----------+---------------------+---------------------------+
| mem | Memory | Доступ к системной ин- |
| | (память) | формации; просмотр всех |
| | | процессов в системе |
+-----------+---------------------+---------------------------+
| terminal | Terminal | Неограниченное использо- |
| | (терминал) | вание команды write(C) |
+-----------+---------------------+---------------------------+
| lp | Line Printer | Управление принтером |
| | (строчный принтер) | |
+-----------+---------------------+---------------------------+
| backup | Backups | Создание резервных копий |
| | (создание резервных | |
| | копий) | |
+-----------+---------------------+---------------------------+
| auth | Account | Администратор учета: до- |
| | (учет) | бавление пользователей, |
| | | изменение паролей и др. |
+-----------+---------------------+---------------------------+
| audit | Audit | Администратор контроля: |
| | (контроль) | запуск контроля системы |
| | | и генерация отчетов |
+-----------+---------------------+---------------------------+
| cron | Job Scheduling | Управление использовани- |
| | (управление | ем команд cron(C), at(C) |
| | заданиями) | и batch(C) |
| | | |
| sysadmin | System Integrity | Возможность запуска |
| | (целостность | программы integrity(ADM) |
| | системы) | |
+-----------+---------------------+---------------------------+
Права доступа к подсистемам определяют роли администрато-
ров, которые некоторый пользователь может получить при запуске
соответствующих утилит. Обычный пользователь системы не имеет
прав доступа к подсистемам. Административное право предоставля-
ется правом доступа к подсистемам на основании ответственности
за них; то есть, администратору учета предоставляется право
auth, а администратору принтера предоставляется право lp.
- 10-23 -
В системной базе данных значений по умолчанию, набор значе-
ний по умолчанию на право запуска команд предоставлено всем
пользователям, которые не имеют прав на запуск команд в их спе-
циальной личной учетной информации. В случае защиты С2, права
доступа к подсистемам в системной базе данных значений по умол-
чанию пусты и элементы для каждого пользователя устанавливаются
на основе административных ролей, если таковые существуют для
этого пользователя.
Право доступа к подсистеме sysadmin управляет возможностью
запуска программы integrity(ADM), которая проверяет разрешение
на просмотр файлов в базе данных управления файлами. (Для полу-
чения большей информации обратитесь к руководству по программе
integrity(ADM) и к "Проверке целостности системы" в главе "Под-
держка системной защиты" этого руководства).
Таблица 10.3
Вторичные права доступа
+--------------------------------------------------------------+
| Вторичные права Подсистемы Описание |
+--------------------------------------------------------------+
| queryspace backup Использование команды|
| df для опрашиваемого|
| дискового пространства|
| |
| printerqueue lp Просмотр всех заданий|
| в очереди, используя|
| команду lpstat |
| |
| printerstat lp Использование команд,|
| устанавливающих дос-|
| тупность/недоступность|
| принтера |
| |
| su auth Обеспечивает доступ|
| пользователя к учетной|
| информации привелиги-|
| рованного пользовате-|
| ля. (Требуется пароль|
| привелигированного |
| пользователя). |
+--------------------------------------------------------------+
- 10-23a -
Эти вторичные права позволяют ограничивать доступ
пользователей к ресурсам отличный от уже присвоенного (например,
без права printqueue, пользователь сможет просмотреть только
свои задания, используя команду lpstat). Эти права обеспечивают
поведение, которое более совместимо с другими операционными сис-
темами UNIX. Если установлены значения по умолчанию "ослаблен-
ной" защиты, то вторичные права обеспечиваются по умолчанию. Ес-
ли Вы используете значения по умолчанию "ослабленной" защиты и
хотите не устанавливать эти права для всех пользователей, Вы
должны переопределить значения, принимаемые по умолчанию.
________________________________________________________________
Примечание
Если основное право на доступ к подсистеме установлено,
также устанавливаются вторичные права для этой подсистемы. (Нап-
ример, право на доступ lp активизирует права printqueue и
printerstat).
________________________________________________________________
- 10-24 -
Привилегированный пользователь и администраторы с соответс-
твующими правами доступа
Большинство полномочий, нормально выполняемых привилегиро-
ванным пользователем в менее защищенной системе, разрешено в за-
щищенных системах, о которых шла речь ранее. Однако, некоторые
функции требую авторизации основного пользователя. Это необходи-
мо помнить, когда Вы устанавливаете права. Назначение права su
позволяет административному пользователю иметь привилегированную
учетную информацию su(C).
Права привилегированного пользователя требуются для выпол-
нения следующих задач:
1. Установка программного обеспечения
2. Разбивка диска на разделы и поддержка файловой системы
3. Перезапись, восстановление файлов и установка доступа к
файлу
4. Останов системы
5. Исправление неисправностей
Права на доступ к ядру
Права на доступ к ядру определяют действиями, которые поль-
зователи осуществляют для выполнения специального обслуживания
операционной системы. Например, возможность изменения собствен-
ности файла управляется правом chown. Права доступа к ядру по
умолчанию применяются только тогда, когда не указаны права дос-
тупа к ядру для пользователя. Поэтому пользователи, которым не-
обходимы большие права, могут иметь специальные для каждого из
них элементы в базе данных, определяющие их права, тогда как
обычные пользователи могут иметь их набор прав по умолчанию, со-
держащийся в системной базе данных значений по умолчанию.
- 10-24a -
Таблица 10.4
Права на доступ к ядру
+----------------------------------------------------------------+
| Права Действия |
+------------------+---------------------------------------------+
| configaudit | Конфигурация параметров подсистемы контро-|
| | ля |
| writeaudit | Запись элементов контроля в контрольный|
| | след |
| execsuid | Возможность запуска программ SUID |
| chmodsugid | Возможность устанавливать биты SUID и SGID|
| | в файлы |
| chown | Возможность менять собственника объекта |
| suspendaudit | Приостанавливать контроль операционной|
| | системы за процессом |
| nopromain | Доступ в качестве пользователя извне к ос-|
| | новному каталогу |
+------------------+---------------------------------------------+
Ограничения, обеспечиваемые этими правами, являются комп-
лексными; они конфигурируются по умолчанию для функционирования
под уровнем защиты С2. Параметры контроля применяются только для
операций контроля и не должны быть назначены для пользователей;
- 10-25 -
этот параметр описан в "Использовании подсистемы контроля" в
главе "Поддержка Системной защиты" этого руководства.
Права Ъ1execsuid, chmodsugidЪ3 Ъ0и Ъ1chownЪ3 опописаны в разделах
"Назначение прав доступа к ядру" и "Исключительные операции вЪ3и-
системе защиты" в главе "Поддержка системной защиты" этого руко-
водства.
Права доступа к ядру и административные пользователи
Вы должны назначить специфические права доступа к ядру на-
ряду с правами доступа к подсистемам. Хотя большинство из них
уже назначено по умолчанию, они перечислены в таблице 10.5, если
Вы захотите изменить эти значения по умолчанию. Исключением яв-
ляется подсистема контроля, которая требует дополнительных прав
configaudit и suspendaudit. Эти права никогда не должны назна-
чаться по умолчанию или для обычных пользователей. Другим исклю-
чением является право sysadmin, которое требует право доступа к
ядру chmodsugid, хотя проще запустить программу integrity(ADM) в
качестве основного пользователя.
Таблица 10.5
Соответствия прав по доступу к подсистемам и к ядру
+--------------------------------------------------------+
| Права по требуемые права по доступу к |
| доступу к ядру |
| подсистемам |
+--------------------------------------------------------+
| audit configaudit,suspendaudit,execsuid |
| auth chown,execsuid |
| backup execsuid |
| lp chown |
| cron execsuid,chown,chmodsugid |
| sysadmin execsuid,chmodsugid,chown |
+--------------------------------------------------------+
- 10-26 -
________________________________________________________________
Управление входом в систему с терминала
База данных управления терминалами содержит параметры сис-
темных терминалов. Эта база данных представляет возможность ад-
министратору управлять количеством неуспешных попыток входов в
систему до блокировки терминала. Она также содержит информацию
о деятельности по входу в систему для каждого терминала. Когда
Вы устанавливаете терминал или принтер, эта информация автомати-
чески записывается в базу данных управления терминалами. Однако,
Вы должны изменить эти элементы для того, чтобы установить как
они могут быть использованы и какая процедура защиты будет за
этим наблюдать.
Выбор терминала в меню "Учетная информация" предложит Вам
следующее меню:
Examine Просмотр/модификация существующих элементов о
(просмотр) терминалах
Create Создать новый элемент о терминале
(создание)
Delete Удалить некоторый существующий элемент о
(удаление) терминале
Lock Заблокировать отдельный элемент
(блокировка)
Unlock Разблокировать отдельный элемент
(разблокировка)
Assign Управление базой данных эквивалентных имен
(назначение) устройств
Основной элемент в базе данных управления терминалами авто-
матически создается когда tty устройства добавляются в систему.
Выборы, которые Вы чаще всего используете - это просмотр, блоки-
ровка, разблокировка. По умолчанию система управляет должным об-
разом элементами базы.
Остальные пункты: Создание, Удаление, Назначение являются
специальными, они используются, когда в систему добавляются но-
вые программное или техническое обеспечение, и это требует руч-
ной настройки конфигурации.
Просмотр элемента о терминале
Для изменения установленных значений бля терминала выбери-
те:
Учетная информация-> Терминал-> Просмотр
На экране отобразится следующая форма:
- 10-27 -
+---------------------------------------------------------------------+
| Examine |
| (просмотр) |
| Enter the name of terminal device in /dev |
| (Введите имя терминального устройства в /dev) |
| /tcb/files/auth 03/23/89 10:57 |
|+------------------Terminal Database Entry--------------------------+|
|| (Элемент базы данных терминала) ||
|| ||
|| Terminal device: [ ] Locked? (Y/N) : n ||
|| (терминальное устройство) (заблокировано (Да/Нет)) ||
|| Last login : User: ||
|| (последний вход (пользователь) ||
|| в систему) Time: ||
|| (время) ||
|| Last logout : User: ||
|| (последний выход (пользователь) ||
|| из системы) Time: ||
|| (время) ||
|| Last filed login : User: ||
|| (последний (пользователь) ||
|| ошибочный Time: ||
|| вход в систему) (время) ||
||Current consecutive failed logins: Exceeded? (Y/N) :n ||
||(Текущее количество последовательных (превышено (Да/Нет)) ||
||ошибочных входов) ||
||Consecutive failed logins allowed:[Specify]Default of [ ]Value :[ ]||
||(Количество позволенных (указать)(по умолчанию)(значение)||
||последовательных ошибочных ||
||входов в систему) ||
||Delay between logins attempts :[Specify]Default of [ ]Value :[ ]||
||(Задержка между попытками (указать)(по умолчанию)(значение)||
||входа в систему ) ||
|+-------------------------------------------------------------------+|
+---------------------------------------------------------------------+
Этот экран предоставляет Вам возможность просмотреть теку-
щий статус терминала. Во всех случаях просмотра необходимо ввес-
ти имя терминала, которое является элементом каталога для это-
го терминала в каталоге /dev. Значение "INFINITE
(неопределенный)" для "Количества позволенных последовательных
ошибочных входов в систему" приводит к тому, что тип блокировки
для этого терминала становится недоступным (применяется аббреви-
атура). Элемент управления терминалом связан базой данных назна-
чения устройств, как описано далее в этой главе.
- 10-27a -
________________________________________________________________
Примечание
Привилегированный пользователь может отменить блокировку
терминала с системной консоли. Это сделано для того, чтобы избе-
жать полной блокировки всех пользователей. Так как доступен спе-
циальный вход в систему, Вы можете физически защитить системную
консоль.
________________________________________________________________
Переопределение ограничения числа попыток входа в систему
Если ограничения входов в систему с терминала не удовлетво-
рительны или очень ослаблены, используйте выбор в среде
sysadmsh, для определения этих ограничений:
Учетная информация-> Терминалы-> Просмотр
- 10-28 -
В предыдущем разделе описывается форма, которая будет отоб-
ражена на экране. Далее измените значения "Количество позволен-
ных последовательных неправильных входов в систему" и "Задержка
между попытками входа в систему".
Блокировка/разблокировка терминала
Для того, чтобы заблокировать и разблокировать используйте
соответственно выбор в среде sysadmsh:
Учетная информация-> Терминалы-> Блокировка
Учетная информация-> Терминалы-> Разблокировка
Когда появится запрос для терминала, введите его имя, нап-
ример, tty01. Когда терминал заблокирован, то на экране во время
попытки входа в систему появляется следующее сообщение:
Terminal is disabled -- see Authentication Administrator
(терминал недоступен -- смотри раздел администратора
идентификации)
Установка базы данных эквивалентов устройств
Цель существования базы назначения устройств - содержать
записи о терминальных устройствах, которые физически одни и те
же, а обращение к ним идет по различным именам путей (Для них
установлены связи, или они являются устройствами с использовани-
ем или без использования модемов и др.). Это гарантирует, что
отслеживание входов в систему и блокировка терминалов будут при-
меняться правильно, в зависимости от того, по какому имени пути
система обращается к ним.
Одним из примеров является то, что кто-нибудь делает недос-
тупным "tty1a", а затем доступным "tty1A". Так как база данных
назначения устройств содержит эквиваленты этих устройств, счет-
чик неуспешных входов в систему,например, будет поддерживаться.
С другой стороны, система выполняет эти действия автоматически
для устройств, которые она распознает по умолчанию. Некоторые
специальные узлы устройств созданные для необычных физических
устройств или программного обеспечения должны быть включены в
конфигурацию и добавлены вручную. Вы должны это делать, только
если в документации существует рекомендация, что это должно быть
сделано, или Вы знаете что делаете.
- 10-29 -
________________________________________________________________
Генерация отчетов о деятельности системы
Создание отчетов возможно по статусу трех важных аспектов
действия системы:
Пароли Отчет по статусам пароле в учетной инфор-
мации
Терминалы Отчет по статусу терминалов при доступе
Входы в систему Отчет по входам в систему пользователей,
группы пользователей и терминалов
Выбор отчетов может генерировать различные отчеты. Вы може-
те использовать отчеты для целей защиты (например, просмотр па-
раметров в базах данных защищенных паролей и управления термина-
лами). Так как эти отчеты показывают использование системы и
периферии, Вы можете их использовать для настройки и реконфигу-
рации системы.
Для всех отчетов, после подготовки отчета Вы будете опроше-
ны куда направить выходную информацию на экран, принтер или в
файл.
Вы можете установить фильтр на выходную информацию посредс-
твом использования системных программ подготовки страниц. Прог-
рамма more устанавливается по умолчанию. При выводе на принтер,
Вы можете указать имя устройства печати; если Вы не укажите имя,
система будет использовать вывод на устройство, принятое по
умолчанию. Если Вы перенаправляете выход в файл, Вы должны ука-
зать полное имя пути. Все равно какую категорию отчета Вы выбе-
рете, Вы будете опрошены куда Вы хотите направить информацию: На
экран, принтер или в файл.
Отчет по статусу паролей
При выборе первого типа отчета, опрашивается база данных
паролей, генерируется отчет по учетной информации и параметрам
паролей, установленных для учетной информации. Этот вид отчета
извлекает инфорацию из базы данных защищенных паролей. Статус
паролей освещается по следующим категориям:
Impending Отчеты по срокам действия паролей в
(пароли, у которых учетной информации
кончается срок
действия)
Expired Отчеты по учетной информации с пароля-
(пароли, у которых ми, у которых кончился срок действия
кончился срок
действия)
- 10-30 -
Dead Отчеты по учетной информации с перес-
(переставший тавшими существовать паролями
существовать
пароль)
User Отчет по одному пользователю
(пароль
пользователя)
Group Отчет по одной группе пользователей
(пароль группы)
Full Список всех элементов базы данных паро-
(полный) лей.
Опция Impending создает отчеты по учетной информации,
которая имеет, или скоро будет иметь пароли с завершившимся сро-
ком действия. Эти отчеты включают всю учетную информацию, для
которой у паролей уже исчерпан срок действия или срок действия
паролей кончается в течение недели. Хотя угроза завершения срока
действия не является сама по себе ошибкой, этот отчет позволяет
Вам определить пользователей, которые ожидают последнего момен-
та для того, чтобы изменить пароль. Вы можете провести ревизию
на основе полученной информации по системе в целом или для каж-
дого пользователя в отдельности в отношении периода действия па-
ролей.
Опция Expired создает отчеты по учетной информации с паро-
лями, у которых окончен срок действия. Это могут быть и
пароли,прекратившие свое существование. Для такой учетной инфор-
мации требуются некоторые действия администратора до того как
они смогут быть использованы; минимальным действием может быть
изменение пароля.
Опция Dead генерирует отчеты по учетной информации с паро-
лями срок существования которых окончился, что приводит к тому,
что такая учетная информация становится непригодной для дальней-
шего входа в систему.
Опция User генерирует отчет по одному пользователю, которо-
го Вы должны указать. Введите имя для входа в систему этого
пользователя для того, чтобы активизировать отчет по нему.
Опция Group генерирует отчет по отдельной указанной группе.
Этот отчет включает всех пользователей, находящихся в этой груп-
пе (как показано в поле Group Membership экрана поддержки учет-
ной информации пользователя).
В заключении, опция Full генерирует статистику для всех
пользователей системы.
- 10-30a -
Отчеты имеют следующую аббревиатуру:
три возможных значения: да, нет, по умолчанию ис-
пользуемые системой, которые могут быть выбраны.
Пример отчета: Group
Следующий пример является отчетом деятельности группы с па-
ролем "hamster". Аббревиатура в полях "Параметры пароля" соот-
ветствуют параметрам пароля, принимаемым системой по умолчанию.
- 10-31 -
Password Database Report
(отчет по базе данных паpолей)
System UNIX
(система UNIX)
Wed Mar 22 10:56:29 1989
Password Parameters
(паpаметpы паpолей)
[1] User Name Type Min Exp Life Rnd? Pck? Rst? Lck?
(имя пользо (тип)
вателя)
____ ____ ____ ___ ___ ____ ____ ____ ____ ____
Last Changes Last Logins Consec
(последнее изменение) (последний вход в (число
систему) попыток)
[2] Succes Failed Succes Failed #Failed
(успешн.) (ошиб.) (успешн.) (ошиб.) (ошиб.)
______ ______ ______ ______ _______
[3] Kernel Authorizations
(пpава доступа к ядpу)
______ ______________
[1] alvin general Dflt Dflt Dflt D D D Y
[2] 03/22/89 NEVER 03/22/89 NEVER -
[3] DEFAULT
[1] simon general Dflt Dflt Dflt D D D N
[2] 03/22/89 NEVER 03/22/89 NEVER -
[3] DEFAULT
[1] theodore general Dflt Dflt Dflt D D D N
[2] 03/22/89 NEVER 03/22/89 03/22/89 -
Генерация отчетов о работе терминалов
Если Вы выберете опцию Terminal в меню учетной информации,
Вы можете получить статистику по базе данных управления термина-
лами. Этот отчет содержит условия блокировки, неуспешные попытки
входа в систему с терминала и задержку между попытками входа.
Подобно генерации отчетов по паролям, Вы можете выбрать отчеты
для одного терминала, лексической группы терминалов или для всех
терминалов.
- 10-31a -