вычислительной установке, осознания степени взаимодействия и
компетенции ваших пользователей, и угрозы (извне или изнутри)
проникновения через защиту или неправильной работы. Лишь ваша
бдительность и корректное использование системы смогут сохранить
ее надежность и защитить ее целостность.
Для назначения авторизации подсистемы необходимо в sysadmsh
сделать следующий выбор:
Accounts -> User -> Examine:Privilege
Замечание
Вы, вероятно, заметили, что каждая авторизация подсистемы
оказывается идентичной групповому имени этой подсистемы. Это оз-
начает, что если какой-то пользователь является членом группы
подсистемы, то тем самым он имеет доступ к файлам подсистемы.
Тем не менее, это не дает требуемой авторизации подсистемы. На
самом деле никогда не следует делать пользователя членом группы
подсистемы, так как это подвергнет риску актуальные файлы дан-
ных. Для разрешения доступа к подсистеме используйте соответс-
твующую авторизацию подсистемы.
.
- 5-9 -
Административное управление подсистемами с помощью sysadmsh
Некоторые подсистемы являются логическими разделами, а не
действительными областями администрации системы. Например, под-
система памяти по существу не подлежит административному управ-
лению, но присваивание авторизации mem обеспечит контроль над
доступом к структурам памяти ядра. Другие подсистемы нуждаются в
администрации, и каждой из них соответствует определенный выбор
в sysadmsh(ADM). Такие подсистемы могут быть назначены отдельным
людям; по каждой области имеется документация. В таблице 5.2
приведен список административно управляемых подсистем, соответс-
твующие им выборы sysadmsh и разделы или главы, в которых они
рассматриваются.
Таблица 5.2
Подсистемы и выборы sysadmsh
---------------------------------------------------------------------------
Защищенная | Выбор | Раздел или глава
подсистема | sysadmsh |
---------------------------------------------------------------------------
Устройство постро-| Printers | "Использование принтеров"
чной печати | |
Дублирование | Backups | "Дублирование файловых систем"
Аутентификация | Accounts | "Административное управление
| | пользовательскими бюджетами"
Cron | Jobs | "Авторизация использования
| | команд планирования заданий"
| | (в данной главе)
Контроль | System->Audit | "Использование подсистемы
| | контроля" (в данной главе)
Подсистема audit описана ниже в данной главе. Подробное
описание подсистем содержится в "Справочнике пользователя"
(User's Reference), на странице, относящейся к subsystem(M). Там
приведен список всех программ и файлов данных, связанных с каж-
дой подсистемой. Большинство функциональных возможностей, обычно
доступных супер-пользователю в других, менее надежных системах
UNIX, переданы защищенным подсистемам, описываемым в данном раз-
деле. Однако некоторые функции все равно должен выполнять супер-
пользователь. К их числу относятся монтирование и демонтирование
файловых систем, прохождение по полному дереву файла. Только су-
пер-пользователь может делать все. Пользователи, обладающие ав-
торизацией su, имеют доступ su(C) к бюджету супер-пользователя.
Следует ограничить число пользователей, имеющих доступ к паролю
root, и назначить ответственного пользователя для бюджета root.
(Подробности см. в главе "Административное управление пользова-
тельскими бюджетами" в настоящем руководстве.)
Назначение авторизаций ядра
В операционной системе имеется два типа авторизаций: для
ядра и для подсистемы. Пользовательские процессы выполняются с
набором авторизаций ядра, которые контролируют специальные права
процесса на некоторые привилегированные системные действия. В
Таблице 5.3 приведен список авторизаций ядра.
.
- 5-10 -
Таблица 5.3
Авторизации ядра
---------------------------------------------------------------------------
Авторизация | Действие
---------------------------------------------------------------------------
configaudit | Модификация параметров контроля
writeaudit | Внесение контрольных записей в контрольный журнал
execsuid | Выполнение программ SUID
chmodsugid | Возможность устанавливать бит SUID и SGID в файлах
chown | Смена владельца объекта
suspendaudit | Приостанов контроля процесса
nopromain | Доступ пользователя извне каталога промена
Большинству пользователей требуются только авторизации
nopromain и execsuid для выполнения стандартных задач. (Промены
используются для изолирования выполнения данной программы, а не
как постоянная мера защиты. nopromain - это обычный режим, с ко-
торым работает пользователь; он его временно отменяет для про-
верки выполнения программы. Подробнее см. promain(M).) Чтобы вы-
полнять программы SUID, пользователь должен иметь авторизацию
execsuid. (Программы установки идентификатора пользователя вы-
полняются под контролем идентификатора, отличного от идентифика-
тора инициатора этих программ. Так сделано для того, чтобы про-
цесс имел доступ к файлам и системным средствам, которые в
противном случае были бы недоступны.) Если пользователю нужно
создавать файлы с битами SUID или SGID, он должен иметь автори-
зацию chmodsugid. Чтобы сменить владельца файла (отдать файл),
нужна авторизация chown. Если у пользователя нет этой авториза-
ции, владельца файла может изменить только root.
Замечание
Для соответствия NIST FIPS 151-1 необходимо ограничение на
chown. Эту авторизацию не нужно выдавать пользователям, если вы
намерены соблюдать требования NIST FIPS 151-1.
У каждого процесса имеется набор авторизаций, в котором пе-
речислены его авторизации ядра. Процесс может выполнить некото-
рое действие, только если соответствующая авторизация ядра вхо-
дит в набор. Например, процесс с авторизацией configaudit может
модифицировать параметры подсистемы контроля. Такой процесс вы-
полняется Администратором контроля. Не следует выполнять никакие
пользовательские процессы с какой-либо из авторизаций audit. Они
предназначены для исключительного использования Администратором
контроля. Для назначения авторизации ядра нужно сделать в
sysadmsh следующий выбор:
Account->User->Examine:Privileges
.
- 5-11 -
Пользователи, которым присвоены административные роли,
должны иметь определенные авторизации ядра, чтобы выполнять за-
дачи, требуемые подсистемой. Если вы используете общесистемные
авторизации ядра, принимаемые по умолчанию ("C2" или "Relaxed"),
вам придется назначить лишь обязательные авторизации контроля;
авторизации chown, execsuid и chown уже назначены.
Таблица 5.4
Требования подсистем относительно авторизаций ядра
---------------------------------------------------------------------------
Подсистема | Требуемые авторизации ядра
---------------------------------------------------------------------------
audit | configaudit, suspendaudit, execsuid
auth | chown, execsuid
backup | execsuid
lp | chown
cron | execsuid, chown, chmodsugid
sysadmin | execsuid, chmodsugid, chown
Использование параметров секретности, настроенных или при-
нятых по умолчанию
По умолчанию параметры секретности устанавливаются согласно
уровню надежности С2. Как упоминалось выше, существует два дос-
тупных набора параметров, принимаемых по умолчанию: C2 и
"Relaxed", соответствующий характеру работы менее надежных сис-
тем UNIX. Кроме того, можно изменить любой параметр - и для от-
дельных пользователей, и по всей системе. Изменение общесистем-
ных параметров описано в разделе "Конфигурация для ведения уче-
та, устанавливаемая по умолчанию" в главе "Административное уп-
равление пользовательскими бюджетами". Информация о параметрах
для отдельных пользователей приведена в разделе "Управление уче-
том" той же главы.
Управление системным доступом
Одним из важных аспектов работы в надежной системе является
выявление потенциальных проблем, относящихся к секретности. Ог-
раничительные механизмы подразделяются на три категории, каждая
из которых может быть приспособлена к конкретным требованиям и
сопровождаться отчетами:
* Статус пароля
* Активность терминала
* Активность начальной регистрации
Каждая из этих областей имеет важное значение для точного
определения потенциальных проблем с секретностью. Процедуры для
выполнения этих отчетов можно найти в разделе "Генерация отчетов
об активности" в главе "Административное управление пользова-
тельскими бюджетами". В последующих подразделах поясняется, как
реализуются эти ограничения.
.
- 5-12 -
Статус пароля
В качестве модели для введения ограничений на пароли был
использован документ "Руководство по использованию паролей"
(Password Management Guideline) Министерства обороны; поэтому
пользователи подвергаются более серьезной проверке на пароли,
чем в менее надежных системах UNIX. Администратор аутентификации
может либо разрешить пользователям самим выбирать себе пароли,
либо обязать систему генерировать для них пароли. Пароль, будучи
однажды выбран, может подвергнуться большому числу элементарных
проверок, что опять же зависит от Администратора аутентификации.
Для паролей существует три уровня действительности, что яв-
ляется расширением реализации процесса старения пароля в стан-
дартной системе UNIX. Пароли остаются действительными, пока не
настанет достигнут его срок истечения действия. Когда срок дейс-
твия пароля истекает, пользователь (если ему разрешено это де-
лать) получает приглашение на изменение своего пароля. Если
пользователю не разрешено менять свой пароль, администратор дол-
жен назначить новый пароль.
Пароли считаются expired, пока не завершится их жизненный
цикл. Мертвый пароль вызывает блокирование пользовательского
бюджета. Снять эту блокировку может только Администратор аутен-
тификации, используя выбор Accounts в sysadmsh. Если пользовате-
лю не разрешено менять пароль, нужно назначить новый.
Во избежание повторного использования паролей Администратор
аутентификации может также установить минимальный срок изменения
для пароля, до которого пользователь не имеет права менять паро-
ли. Все эти параметры можно изменить - и по всей системе (база
данных системных параметров, принимаемых по умолчанию), и для
отдельных пользователей (база данных защищенных паролей). Обще-
системное изменение параметров паролей описано в разделе "Изме-
нение ограничений на пароли, принятых по умолчанию" в главе "Ад-
министративное управление пользовательскими бюджетами" настояще-
го руководства, а полное описание процедур изменения паролей
приведено в разделе "Изменение пароля пользователя или парамет-
ров пароля" той же главы.
Отчеты по паролям можно использовать для предотвращения
блокировки пользовательских бюджетов; эта ситуация очень непри-
ятна, если администратор системы отсутствует. Если в вашей сис-
теме не принято ежедневное присутствие администраторов, вы имее-
те право претендовать на соответствующее увеличение параметра
жизненного цикла пароля.
Активность терминала
Терминал - это вход в вашу систему. Помимо использования
паролей бюджетов, терминалы можно защитить от попыток проникно-