| +--------------------------------------------------------+ |
+--------------------------------------------------------------+
- 10-16a -
Если Вы сделаете некоторые изменения в значениях параметров
защиты, принимаемых по умолчанию, то получите следующее дополни-
тельное предупреждение:
+---------------------------------------------------+
|The default file has changed since installation|
|(Файл значений по умолчанию изменен по отношении ко|
|времени установки) |
|Previous changes will be lost (Предыдущие изменения|
|будут потеряны) |
| |
|Press to continue, or to abort|
|(Нажмите для продолжения, или для|
|прерывания ) |
+---------------------------------------------------+
- 10-17 -
Динамическое изменение параметров защиты
Системные параметры учета доступны при следующем выборе в
среде sysadmsh:
Учет-> Значения по умолчанию
Будут отображены следующие параметры учета:
* Пароль
* Входы в систему
* Права
Системные параметры защиты управляют тем, как пользователи
входят в систему и, когда они устанавливают сессию, и как систе-
ма предоставляет им терминал и авторизованную среду. Здесь об-
суждается каждый параметр, который Вы можете изменить в интер-
фейсе команды sysadmsh. Другие параметры, используемые с тем же
эффектом на работу системы, будут обсуждены дальше.
Вы должны использовать системные функции для того, чтобы
определить Ваши собственные значения, принимаемые по умолчанию,
определяющие поведение системы. Затем используйте специфические
пользовательские функции для того, чтобы установить поведение
системы для некоторых пользователей с различными требованиями.
Как Вы можете предполагать, пользовательские специфические зна-
чения перекрывают системные значения, принимаемые по умолчанию,
для некоторого данного пользователя.
Изменение ограничений по входу в систему, принимаемыx по
умолчанию
Большинство параметров, которые могут быть установлены по
умолчанию системой, определяют как система создает начальную
сессию. Это включает особенности входа в систему, и как генери-
руется и используется пароль. Параметры входа в систему опреде-
ляют особенности учета и блокировки терминала. Когда
пользователь входит в систему, он должен указать имя для входа в
систему и пароль. Кроме того, пользователь может делать ограни-
ченное число попыток входа в систему. Для каждой учетной инфор-
мации пользователя и терминала существует счетчик неуспешных по-
пыток входа, который накапливается до того, как учетная
информация или терминал будет заблокирован. Если это число пре-
вышено, пользователь или терминал будут заблокированы против но-
- 10-17a -
вых попыток входа в систему. Это средство предотвращает попытки
проникновения с помощью ограничения числа раз, которое несанкци-
онированный пользователь (или компьютер запрограммирован не-
санкционированным пользователем) может пытаться прорваться в
систему.
Доступ к параметрам ограничений входов в систему может быть
совершен следующим выбором в среде команды sysadmsh:
Учетная информация-> Значения принимаемые по умолчанию->
Входы в систему
- 10-18 -
На экране отобразится следующая форма:
+---------------------------------------------------------------+
| Logins |
| (входы в систему) |
| |
| Allowed consecutive failed login attempts before |
| account is locked (Разрешенные последовательно осу- |
| ществляемые ошибочные попытки входа в систему до |
| блокировки учетной информации) |
| /tcb/files/auth 03/23/89 10:57 |
|+-------------------Login restriction-------------------------+|
|| (ограничение входа в систему) ||
|| ||
|| Maximum number of unsuccessful attempts before ||
|| locking ... (максимальное число попыток до блокиро- ||
|| вания) ||
|| ... user account : [10] ||
|| (учетной информации пользователя) ||
|| ... terminal : [10] ||
|| (терминала) ||
|| ||
||Delay (in seconds) between login attempts on a terminal:[2]||
||(задержка в секундах между попытками входа с терминала) ||
|| CPU sheduling priority after successful login :[0]||
||(приоритет использования процессора после успешного входа в ||
|| систему) ||
|+-------------------------------------------------------------+|
+---------------------------------------------------------------+
Указанные параметры имеют следующее назначение:
Maximum number of unsuccessful attempts before locking
Означает число, принимаемое системой по умолчанию,
неудачных попыток разрешенных для пользователей и
терминалов. Если для отдельного пользователя или тер-
минала требуется или более или менее ограниченное
число, могут быть изменены учетная информация пользо-
вателя или конфигурация терминала (см. "Управление
входами в систему с терминала"), с перекрытием значе-
ний принимаемых системой.
- 10-18a -
Delay (in seconds) between login attempts on a terminal
Этот параметр управляет промежутком времени, которое
должно проходить между неудачными попытками входа в
систему. Для дальнейшего уменьшения возможности про-
никновения в систему, система делает временную за-
держку между попытками входа в систему, чтобы увели-
чить промежуток времени, требуемый для повторной
попытки войти в систему. Вы можете увеличить этот па-
раметр для того, чтобы управлять времени выдачи ожи-
дания login:. С помощью об'единения этого параметра с
параметром неуспешных попыток пользователя и термина-
ла, Вы можете предотвратить попытки повторного ввода
пароля на конкретной (или на нескольких) терминальных
линиях.
- 10-19 -
CPU sheduling priority after successful login
Этот параметр устанавливает значение nice(C) связыва-
емое с пользовательскими процессами.
Изменение ограничений по паролям, принимаемым по умолчанию
Параметры ограничений по паролю станут доступны после сле-
дующего выбора в среде sysadmsh:
Учетная информация-> Значения по умолчанию-> Пароль
Отобразится следующий экран:
+------------------------------------------------------+
| Password|
| (пароль)|
|Minimum number of days which must elapse between |
|password changes(минимальное число дней, которое |
|должно пройти между изменениями пароля) |
|/tcd/files/auth 03/23/89 10:57|
| +-----------Password selection-------------+ |
| | (Выбор пароля) | |
| |Minimum days between changes :[14] | |
| |(минимальное число дней между изменениями)| |
| |Expiration time :[182 ] | |
| |(время действия) | |
| |Lifetime :[364 ] | |
| |(время существования) | |
| |Maximum password length :[ 10] | |
| |(максимальная длина пароля) | |
| |User can run generator :[Yes] No | |
| |(пользователь может запускать генератор) | |
| |User can choose own :[Yes] No | |
| |(пользователь может выбирать сам) | |
| |Checked for obviousness : Yes [No] | |
| |(проверка на неявность) | |
| |Single user password required : Yes [No] | |
| |(требуется пароль для одного пользователя)| |
| +------------------------------------------+ |
+------------------------------------------------------+
То, что Вы можете управлять числом попыток, которые может
- 10-19a -
осуществлять несанкционированный пользователь чтобы угадать па-
роль, позволяет управлять паролированием. Типы проверок паролей,
осуществляемых системой, управляются несколькими параметрами,
которые Вы можете установить на экране. Эти параметры управляют
временем, в течение которого действует пароль, и процедуры для
изменения пароля пока он не станет неприменимым. Пароль имеет
действие в течение времени действия или пока он не перестанет
существовать. Действующий пароль может быть изменен тем пользо-
вателем, который имеет право на изменение пароля по учетной ин-
формации. Пароль действует пока не кончилось его время действия.
Время действия может быть установлено в интерфейсе администрато-
ра для системы или отдельно для пользователя, и определяет число
дней со времени его последнего изменения. Переставший существо-
вать пароль является причиной блокировки учетной информации поль-
зователя. Только администратор может разблокировать учетную ин-
- 10-20 -
формацию пользователя, которая затем воспринимается как учетная
информация с недействующим паролем. Пароль должен быть еще изме-
нен до того, как пользователь сможет войти в систему снова.
Для того, чтобы отговорить пользователей изменять их паро-
ли, когда они потеряли свое действие, и затем сразу изменять их
обратно для того, чтобы запоминать только один, система также
содержит параметр минимальное время между изменениями паролей.
Пользовательский пароль не может быть изменен до истечения этого
минимального времени. Этот параметр может быть также установлен
для всей системы или для отдельного пользователя.
Следующие параметры определяют ограничения по паролям:
Minimum days between changes
Число дней, которые пользователь должен ждать меж-
ду изменениями паролей.
Expiration time
Определяет число дней, в течение которых пароль
имеет действие.
Lifetime
Определяет интервал между последним изменением и
когда пароль перестает существовать.
Maximum password length
Максимальная длина пароля. Этот максимум для сис-
темы - 80 символов.
User can run generator
Этот параметр используется для того, чтобы позво-
лить пользователю запускать генератор паролей.
Следует отметить, что это не позволяет пользовате-
лям изменять пароль, а только генерировать новый
случайный пароль.
User can choose own
Этот параметр определяет могут ли пользователи из-
менять свои собственные пароли или нет.
"Защищенные" системы требуют, чтобы система сама
