Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Прохождения игр    
Demon's Souls |#10| Мaneater (part 1)
Demon's Souls |#9| Heart of surprises
Demon's Souls |#8| Maiden Astraea
Demon's Souls |#7| Dirty Colossus

Другие игры...


liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Различные авторы Весь текст 1372.6 Kb

SCO: Пособие администратора системы Unix

Предыдущая страница Следующая страница
1 ... 48 49 50 51 52 53 54  55 56 57 58 59 60 61 ... 118
              генерировала  пароли автоматически для пользовате-
              лей.  Это защищает  от  пользователей  подбирающих
              "подходящий" пароль,  с которым хорошо осведомлен-
              ный несанкционированный пользователь может  плани-
              ровать  получить персональную информацию о пользо-
              вателе.  Другие  системы  UNIX,  однако  позволяют
              пользователям выбирать свои пароли.  Если этот па-
              раметр имеет значение "Да", то это  влечет  задейс-
              твование  правил  совместимых  с менее защищенными
              системами UNIX, позволяющих пользователям выбирать
              свои пароли.  Если значение этого параметра "Нет",

                                  - 10-21 -

              то система должна  сама  генерировать  пароли  для
              пользователей, в соответствии с процедурой генера-
              ции случайного пароля.
     Checked for obviousness
              Этот параметр определяет должна  ли  система  осу-
              ществлять проверку тривиальности получившегося па-
              роля.  Эта проверка гарантирует, что пароль не бу-
              дет  появляться  в  открытом  каталоге,  наряду с
              другой проверкой,  описанной в goodpw(ADM). Значе-
              ния "Да" этого параметра гарантирует,  что внедре-
              ния в систему,  основанные на переборе всех реаль-
              ных  слов,  будут  ошибочными,  но  это может быть
              более эффективно управляться посредством ограниче-
              ний,  накладываемых на входы в систему пользовате-
              лей и терминалов.  Эта проверка тривиальности уве-
              личивает   по   существу   время   необходимое  на
              изменение пароля.  Три параметра, касающиеся гене-
              рации  паролей,  могут быть перекрыты параметрами,
              указанными для пользователя.
     Single user password required
              Этот параметр управляет тем,  требуется ли  пароль
              для перевода системы в одно-пользовательский режим
              (режим поддержки).
     Когда некоторая учетная информация  заблокирована системой,
только основной пользователь или администратор учета может разб-
локировать ее.  При этом должен быть изменен пароль.  Вы  можете
перекрыть значение  этих  параметров для некоторого пользователя
установкой этих параметров для пользователя,  как указано в "До-
бавлении пользователя".

     Изменение прав, принимаемых по умолчанию

     Операционная система определяет два типа прав: право досту-
па к ядру и право доступа к подсистемам. Право доступа к подсис-
темам определяется  для  пользователей  и позволяет им выполнять
соответствующие утилиты.  Право доступа к ядру определяется  для
процессов и  позволяет  процессам выполнять конкретные действия,
если процесс имеет необходимое право.  Каждая сессия с пользова-
телем имеет  набор  прав  доступа  к ядру и набор прав доступа к
подсистемам.
     Доступ к параметрам, определяющим права доступа, становятся
доступными после следующего выбора в среде sysadmsh:
     Учетная информация-> Значения по умолчанию-> Права
     Отобразится следующий экран:

                                  - 10-22 -

  +----------------------------------------------------------+
  |                                           Authorization  |
  |                                          (право доступа) |
  |                                                          |
  |  Privileges enforced by the system                       |
  | (Привилегии, обеспечиваемые системой)                    |
  |                                                          |
  |  /tcb/files/auth                         03/23/89 10:57  |
  |                                                          |
  |+---------------------Authorizations---------------------+|
  ||                    (права доступа)                     ||
  ||                                                        ||
  || System default  authorizations ( for list) (систем-||
  || ные права доступа,  принимаемые по умолчанию, (-для||
  || получения списка))                                     ||
  ||                                                        ||
  || Kernel:                        Subsystem:   [...      ]||
  ||(для ядра)+----------+         (для подсистем)          ||
  ||          |chmodsugid|                                  ||
  ||          |chown     |                                  ||
  ||          |execsuid  |                                  ||
  |+----------+nopromain +----------------------------------+|
  |           +----------+                                   |
  +----------------------------------------------------------+

     Используйте клавишу  для получения открывающегося окна,
которое содержит  список  наборов прав доступа.  Они описываются
ниже.

                                 - 10-22a -

                          Таблица 10.2
                  Права доступа к подсистемам
+-----------+---------------------+---------------------------+
| Права     | Подсистемы          |   Разрешенные действия    |
+-----------+---------------------+---------------------------+
|  mem      |  Memory             |  Доступ к  системной  ин- |
|           | (память)            |  формации;  просмотр всех |
|           |                     |  процессов в системе      |
+-----------+---------------------+---------------------------+
|  terminal |  Terminal           |  Неограниченное использо- |
|           | (терминал)          | вание команды write(C)    |
+-----------+---------------------+---------------------------+
|  lp       |  Line Printer       |  Управление принтером     |
|           | (строчный принтер)  |                           |
+-----------+---------------------+---------------------------+
|  backup   |  Backups            |  Создание резервных копий |
|           | (создание резервных |                           |
|           |  копий)             |                           |
+-----------+---------------------+---------------------------+
|  auth     |  Account            |  Администратор учета: до- |
|           |  (учет)             |  бавление  пользователей, |
|           |                     |  изменение паролей и др.  |
+-----------+---------------------+---------------------------+
|  audit    |  Audit              |  Администратор контроля:  |
|           | (контроль)          |  запуск  контроля системы |
|           |                     |  и генерация отчетов      |
+-----------+---------------------+---------------------------+
|  cron     |  Job Scheduling     |  Управление использовани- |
|           | (управление         | ем команд cron(C), at(C)  |
|           |  заданиями)         |  и batch(C)               |
|           |                     |                           |
|  sysadmin | System Integrity    |  Возможность      запуска |
|           | (целостность        |  программы integrity(ADM) |
|           |  системы)           |                           |
+-----------+---------------------+---------------------------+

     Права доступа к подсистемам определяют  роли  администрато-
ров, которые  некоторый  пользователь может получить при запуске
соответствующих утилит.  Обычный пользователь системы  не  имеет
прав доступа к подсистемам.  Административное право предоставля-
ется правом доступа к подсистемам на  основании  ответственности
за них;  то  есть,  администратору  учета  предоставляется право
auth, а администратору принтера предоставляется право lp.

                                  - 10-23 -

     В системной базе данных значений по умолчанию, набор значе-
ний по умолчанию на  право  запуска  команд  предоставлено  всем
пользователям, которые  не имеют прав на запуск команд в их спе-
циальной личной учетной информации.  В случае защиты  С2,  права
доступа к  подсистемам в системной базе данных значений по умол-
чанию пусты и элементы для каждого  пользователя устанавливаются
на основе  административных ролей,  если  таковые существуют для
этого пользователя.
     Право доступа  к подсистеме sysadmin управляет возможностью
запуска программы integrity(ADM),  которая проверяет  разрешение
на просмотр файлов в базе данных управления файлами.  (Для полу-
чения большей информации обратитесь к руководству  по  программе
integrity(ADM)  и к "Проверке целостности системы" в главе "Под-
держка системной защиты" этого руководства).

                          Таблица 10.3
                    Вторичные права доступа
+--------------------------------------------------------------+
|  Вторичные права       Подсистемы             Описание       |
+--------------------------------------------------------------+
|    queryspace           backup         Использование  команды|
|                                        df для   опрашиваемого|
|                                        дискового пространства|
|                                                              |
|    printerqueue         lp             Просмотр  всех заданий|
|                                        в очереди,   используя|
|                                        команду lpstat        |
|                                                              |
|    printerstat          lp             Использование  команд,|
|                                        устанавливающих   дос-|
|                                        тупность/недоступность|
|                                        принтера              |
|                                                              |
|    su                   auth           Обеспечивает    доступ|
|                                        пользователя к учетной|
|                                        информации  привелиги-|
|                                        рованного  пользовате-|
|                                        ля.  (Требуется пароль|
|                                        привелигированного    |
|                                        пользователя).        |
+--------------------------------------------------------------+

                                  - 10-23a -

     Эти вторичные    права    позволяют   ограничивать   доступ
пользователей к ресурсам отличный от уже присвоенного (например,
без  права  printqueue,  пользователь  сможет просмотреть только
свои задания,  используя команду lpstat). Эти права обеспечивают
поведение, которое более совместимо с другими операционными сис-
темами UNIX.  Если установлены значения по умолчанию  "ослаблен-
ной" защиты, то вторичные права обеспечиваются по умолчанию. Ес-
ли Вы используете значения по умолчанию "ослабленной"  защиты  и
хотите не  устанавливать  эти  права для всех пользователей,  Вы
должны переопределить значения, принимаемые по умолчанию.

________________________________________________________________
Примечание
     Если основное право на  доступ  к  подсистеме  установлено,
также устанавливаются вторичные права для этой подсистемы. (Нап-
ример, право  на  доступ  lp  активизирует  права  printqueue  и
printerstat).
________________________________________________________________

                                  - 10-24 -

     Привилегированный пользователь и администраторы с соответс-
     твующими правами доступа

     Большинство полномочий,  нормально выполняемых привилегиро-
ванным пользователем в менее защищенной системе, разрешено в за-
щищенных системах,  о которых шла речь ранее.  Однако, некоторые
функции требую авторизации основного пользователя. Это необходи-
мо помнить,  когда Вы устанавливаете права.  Назначение права su
позволяет административному пользователю иметь привилегированную
учетную информацию su(C).
     Права привилегированного пользователя требуются для  выпол-
Предыдущая страница Следующая страница
1 ... 48 49 50 51 52 53 54  55 56 57 58 59 60 61 ... 118
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (1)

Реклама