личную ответственность безответственных пользователей за сохранение
целостности собственного счета в вычислительном комплексе и предотвращение
случаев несанкционированного проникновения в систему с корыстными или
вредительскими побуждениями!"
1. Выбор пароля.
Выбор пользовательского пароля играет исключительно важную роль в
пресечении попыток злоумышленников, поскольку большинство попыток
проникновения в систему в той или иной степени связаны с подбором пароля.
Взломщик, проникнув в систему, не только может удалить или модифицировать
ваши файлы, но и нанести вред другим пользователям системы, которые не
проявляли преступной небрежности.
Хороший пароль, создать нелегко, и в каждом конкретном случае он должен
продумываться тщательно, с осознанием того, что это первая линия обороны,
защищающая информацию вашей фирмы (а следовательно и источник вашего
благосостояния) от конкурентов и недоброжелателей.
Прежде всего необходимо указать, что не следует использовать в качестве
пароля:
* всевозможные модификации регистрационного идентификатора (повтор
идентификатора, запись его в зеркальном отображении, с пропуском букв
или сменой регистра и так далее). Иначе говоря-не опирайтесь при
выборе пароля на ваш идентификатор!
* любое собственное имя или фамилия, вне зависимости от регистра
используемых символов (довольно часто сентиментальные пользователи
используют имена собственных детей!).
* номер автомобиля, паспорта, телефона, страхового полиса и так далее.
* марки и классы автомобилей для мужчин и названия косметических изделий
для женщин.
* названия улиц, городов и стран.
* любое слово из словаря программ орфографической проверки UNIX, короче
шести символов.
* названия известных продуктов и фирм.
* имена персонажей популярных мультфильмов, книг, кинофильмов.
Вообще говоря, хороший пароль представляет собой смесь из нескольких слов
со случайной сменой регистра символов. Примером продуманного подхода к
подбору паролей может служить АО РелКом, предоставляющая пользователям
своей системы достаточно эффективные пароли, например MYxND34MN.
Использование цифр в произвольных позициях пароля только повышает его
устойчивость к подбору.
Пароль не догма, и не имеет права на вечное существование. Периодически
пользователь должен изменять пароль (либо самостоятельно, то есть по доброй
воле, либо после дружеской подсказки системного администратора, то есть
принудительно). Имеет смысл определить срок службы паролей, скажем в
два-три месяца. Смену пароля можно выполнить с помощью команды passwd
(использование ее очевидно).
2. О сохранности пароля
Пользователь обязан изменить пароль, предоставленный ему администратором
сразу же после первой регистрации в системе, и самостоятельно следить за
его сменой с периодичностью в один-два месяца (здесь нет никаких
противоречий с обязанностями системного администратора следить за
периодической сменой паролей пользователями, разница только в том, что
администратор должен вступать в игру только в том случае, если пользователь
нерадиво относится к защите собственных интересов).
Пользователь не обязан никому сообщать свой пароль, вне зависимости от
обстоятельств.
Об этом стоит поговорить несколько подробнее. Вы не должны сообщать пароль
никому. И ни при каких обстоятельствах. Известны случаи взлома систем, при
которых злоумышленник отправлял пользователям письма по электронной почте,
представляясь системным администратором и предлагал предоставить свой
пароль в обмен на какую-либо иную информацию. Так вот, системному
администратору ваш пароль ни к чему, поскольку всей полнотой доступа к
системным ресурсам (в том числе и к вашим) он обладает a priori. Более
того, ни по нашему, ни по международному законодательству не
регламентирована обязанность пользователя сообщать кому-бы то ни было свой
пароль для входа в систему. Поэтому, столкнувшись с подобной попыткой
пользователь обязан поставить в известность лицо ответственное за
безопасность вычислительной системы или администратора системы.
Отучите пользователей от пагубной привычки записывать пароли где попало. В
противном случае профессионал без проблем обнаружит бумажку, которая, как
правило, приклеена к монитору или клавиатуре (не смейтесь, а лучше
пройдитесь лишний раз вдоль рабочих мест!). Если же пользователю жизненно
необходимо записывать пароль, системный администратор должен добиться того,
чтобы эта запись хранилась в бумажнике, вместе с кредитными карточками и
документами-пользователь, по крайней мере, должен осознавать, чего стоит
это труднозапоминаемое слово.
И уж во всяком случае, не стоит записывать на одном листке бумаги
одновременно и регистрационное имя и пароль. А кроме того, рекомендуется
воздерживаться от ввода паролей при посторонних, особенно в тех случаях,
когда вы не слишком уверенно пользуетесь клавиатурой. При некотором навыке
злоумышленник без проблем может определить ваш пароль по движениям пальцев.
3. Файлы и каталоги
Каждый пользователь должен позаботиться об установке корректных прав
доступа к личному каталогу и его поддеревьям. Рекомендуется использовать
шаблоны 700, 711 или 755. В любом случае необходимо запретить посторонним
возможность записи в личный каталог! В противном случае вы предоставляете
неизвестным лицам возможность создания или уничтожения файлов в вашем
каталоге по своему, а не вашему. усмотрению.
Для самых важных файлов рекомендуется устанавливать права - 644 или 600. И
только в редких случаях стоит использовать шаблон 666, позволяющий всему
миру читать и записывать информацию в данном файле.
4. Особые файлы пользовательского каталога
Практически в каждом личном каталоге имеются специальные файлы, имена
которых начинаются с точки, и называются по иностранному - дот-файлами. Эти
файлы являются аналогами CONFIG.SYS и AUTOEXEC.BAT из мира DOS, но являются
не общими для всей системы, а ориентированы только на конкретного
пользователя. Это как раз те данные, для которых права доступа должны
устанавливаться в соответствии с шаблоном 600. Вот их список:
.login, .logout, .cshrc, .bashrc, .kshrc, .xinitrc, .exrc, .dbxinit,
.profile, .sunview, .mwmrc, .twmrc.
Даже если пользователь не имеет достаточной квалификации, чтобы
скорректировать содержащуюся в этих файлах информацию, необходимо
предпринять все меры к тому, чтобы к подобным операциям не допускались
посторонние лица. В противном случае реальный контроль над счетом
пользователя получит тот, кто сконфигурировал дот-файлы!
5. Физическая безопасность
Пользователи не должны пренебрегать элементарными правилами физической
безопасности. После того, как будет завершена регистрация в системе,
недопустимо оставлять доступ к терминалу без контроля, даже в случае
кратковременной отлучки. На этот случай разработаны специальные программы
блокировки доступа к клавиатуре и экрану монитора, установить которые
обязан любой уважающий себя администратор. Если же этого не сделать, то
злоумышленнику достаточно будет выполнить всего две команды - chmod и cp,
чтобы похитить все принадлежащие вам данные.
6. Предоставление счета в распоряжение третьих лиц
Жизнь, как известно, всегда вносит коррективы в наши планы. Поэтому, время
от времени возникает необходимость предоставления доступа к вашему счету
некоторых третьих лиц. Тем не менее, и в этом случае не следует забывать о
мерах безопасности. Довольно часто идут по пути минимального сопротивления,
передавая "соратникам" пароль или устанавливая для всех своих файлов шаблон
доступа 777. Нужно ли говорить к каким пагубным последствиям все это может
привести! Попытайтесь либо ограничить диапазон предоставляемых возможностей
оластью рабочей группы, либо просто скопировать необходимые для вашего
партнера файлы. Не оставляйте счет в системе без контроля.
Конечно, приведенных в данном приложении данных явно недостаточно для того,
чтобы освоить все тонкости системного администрирования в UNIX. Однако
этого материала должно хватить для того, чтобы сделать первые шаги от DOS к
UNIX. Которые, как правило, оказываются самыми трудными. Но как только вы
установите систему и зарегистрируетесь в ней, то к вашим услугам окажется
огромнуый кладезь информации, который уже будет находиться на вуашем
диске-это система man (контекстная подсказка), пакет info (описание
основных пакетов программ и языков программирования), а также
многочисленные текстовые файлы FAQ, содержащие методические рекомендации по
установке различного периферийного оборудования или служебных программ
UNIX.
Системные средства обеспечения безопасности системы
Программа поиска уязвимых мест в защите - CRACK
"Теневые пароли"
npasswd - генератор надежных паролей
Подключение принтера
Компьютер без принтера сегодня представляется каким-то полуфабрикатом. А
резкое падение цен на матричные, струйные и лазерные принтеры в течение
последних двух лет способствуют массовому распространению технологии
"персональной печати". Конечно, первая мысль, ассоциируемая с принтером
сегодня - это MS Word. Однако, как я постараюсь показать, Linux
предоставляет пользователю более широкие возможности по управлению
ресурсами принтера, чем мы привыкли видеть в Windows.
Первое подключение устройства печати
Прежде всего нам необходимо убедиться, что Linux видит ваш принтер. Как
правило, принтер подключается к единственному параллельному порту
компьютера, который размещается либо на плате устройств ввода/вывода, либо
непосредственно на материнской плате компьютера. Но "по теории" IBM PC
может поддерживать до четырех параллельных портов, и в Linux им
соответствуют символьные устройства /dev/lp0 - /dev/lp3.
Поэтому первый ваш шаг состоит в проверке - есть ли в вашей системе
соответствующие устройства. Если нет, их придется создать самостоятельно.
Для этого учтем, что во-первых, устройства в UNIX являются просто
специальными файлами, которые можно создать с помощью программы mknod, а
во-вторых, за параллельными портами зарезервированы номера устройств -
старшее 6 и младшие с 0 до 3 и соответствуют номеру устройства.
Вот синтаксис команд mknod для всех параллельных портов, поддерживаемых
Linux (в скобках приведены базовые адреса портов ввода/вывода):
mknod /dev/lp0 c 6 0 (0x3BC)
mknod /dev/lp1 c 6 1 (0x378)
mknod /dev/lp2 c 6 2 (0x278)
mknod /dev/lp3 c 6 3 (0x......)
Обратите внимание на адреса портов! Как правило, в составе IBM PC входит
порт с адресом 0x378, который соответствует не /dev/lp0, а /dev/lp1. И если
вы по привычке будете соотносить "первый" порт DOS с "нулевым" портом UNIX,
то искать причину неисправности вам придется довольно долго. Как же
избежать этой ошибки?
Наиболее простой путь состоит в экспериментальной проверке конфигурации.
Во-первых, вы можете воспользоваться утилитами из DOS типа sysinfo или MSD,
а во-вторых, можете просто попытаться "выбросить на печать" текущий
каталог, например:
---------------------------------------------------------------------------
ls -l > /dev/lp0
---------------------------------------------------------------------------
Если порта lp0 на вашей машине нет вы получите сообщение:
? /dev/lp0 unknown device
после чего вы можете попробовать использовать другое устройство. Если же
все в порядке, то на принтер будет выведена "лесенка" примерно следующего
вида:
---------------------------------------------------------------------------
This is 1 line
---------------------------------------------------------------------------
This is 2 line
This is 3 line
Причина этого явления состоит в том, что ориентированные для работы в DOS
принтеры требуют для завершения строки два символа - возврата каретки
(0x13) и перевода строки (0x10). А вот UNIX традиционно обходится
одним символом - .
Бороться с этим неприятным эффектом вы можете двумя способами - либо
отключить режим раздельного управления и - в этом случае принтер
