нения следующих задач:
1. Установка программного обеспечения
2. Разбивка диска на разделы и поддержка файловой системы
3. Перезапись, восстановление файлов и установка доступа к
файлу
4. Останов системы
5. Исправление неисправностей
Права на доступ к ядру
Права на доступ к ядру определяют действиями, которые поль-
зователи осуществляют для выполнения специального обслуживания
операционной системы. Например, возможность изменения собствен-
ности файла управляется правом chown. Права доступа к ядру по
умолчанию применяются только тогда, когда не указаны права дос-
тупа к ядру для пользователя. Поэтому пользователи, которым не-
обходимы большие права, могут иметь специальные для каждого из
них элементы в базе данных, определяющие их права, тогда как
обычные пользователи могут иметь их набор прав по умолчанию, со-
держащийся в системной базе данных значений по умолчанию.
- 10-24a -
Таблица 10.4
Права на доступ к ядру
+----------------------------------------------------------------+
| Права Действия |
+------------------+---------------------------------------------+
| configaudit | Конфигурация параметров подсистемы контро-|
| | ля |
| writeaudit | Запись элементов контроля в контрольный|
| | след |
| execsuid | Возможность запуска программ SUID |
| chmodsugid | Возможность устанавливать биты SUID и SGID|
| | в файлы |
| chown | Возможность менять собственника объекта |
| suspendaudit | Приостанавливать контроль операционной|
| | системы за процессом |
| nopromain | Доступ в качестве пользователя извне к ос-|
| | новному каталогу |
+------------------+---------------------------------------------+
Ограничения, обеспечиваемые этими правами, являются комп-
лексными; они конфигурируются по умолчанию для функционирования
под уровнем защиты С2. Параметры контроля применяются только для
операций контроля и не должны быть назначены для пользователей;
- 10-25 -
этот параметр описан в "Использовании подсистемы контроля" в
главе "Поддержка Системной защиты" этого руководства.
Права Ъ1execsuid, chmodsugidЪ3 Ъ0и Ъ1chownЪ3 опописаны в разделах
"Назначение прав доступа к ядру" и "Исключительные операции вЪ3и-
системе защиты" в главе "Поддержка системной защиты" этого руко-
водства.
Права доступа к ядру и административные пользователи
Вы должны назначить специфические права доступа к ядру на-
ряду с правами доступа к подсистемам. Хотя большинство из них
уже назначено по умолчанию, они перечислены в таблице 10.5, если
Вы захотите изменить эти значения по умолчанию. Исключением яв-
ляется подсистема контроля, которая требует дополнительных прав
configaudit и suspendaudit. Эти права никогда не должны назна-
чаться по умолчанию или для обычных пользователей. Другим исклю-
чением является право sysadmin, которое требует право доступа к
ядру chmodsugid, хотя проще запустить программу integrity(ADM) в
качестве основного пользователя.
Таблица 10.5
Соответствия прав по доступу к подсистемам и к ядру
+--------------------------------------------------------+
| Права по требуемые права по доступу к |
| доступу к ядру |
| подсистемам |
+--------------------------------------------------------+
| audit configaudit,suspendaudit,execsuid |
| auth chown,execsuid |
| backup execsuid |
| lp chown |
| cron execsuid,chown,chmodsugid |
| sysadmin execsuid,chmodsugid,chown |
+--------------------------------------------------------+
- 10-26 -
________________________________________________________________
Управление входом в систему с терминала
База данных управления терминалами содержит параметры сис-
темных терминалов. Эта база данных представляет возможность ад-
министратору управлять количеством неуспешных попыток входов в
систему до блокировки терминала. Она также содержит информацию
о деятельности по входу в систему для каждого терминала. Когда
Вы устанавливаете терминал или принтер, эта информация автомати-
чески записывается в базу данных управления терминалами. Однако,
Вы должны изменить эти элементы для того, чтобы установить как
они могут быть использованы и какая процедура защиты будет за
этим наблюдать.
Выбор терминала в меню "Учетная информация" предложит Вам
следующее меню:
Examine Просмотр/модификация существующих элементов о
(просмотр) терминалах
Create Создать новый элемент о терминале
(создание)
Delete Удалить некоторый существующий элемент о
(удаление) терминале
Lock Заблокировать отдельный элемент
(блокировка)
Unlock Разблокировать отдельный элемент
(разблокировка)
Assign Управление базой данных эквивалентных имен
(назначение) устройств
Основной элемент в базе данных управления терминалами авто-
матически создается когда tty устройства добавляются в систему.
Выборы, которые Вы чаще всего используете - это просмотр, блоки-
ровка, разблокировка. По умолчанию система управляет должным об-
разом элементами базы.
Остальные пункты: Создание, Удаление, Назначение являются
специальными, они используются, когда в систему добавляются но-
вые программное или техническое обеспечение, и это требует руч-
ной настройки конфигурации.
Просмотр элемента о терминале
Для изменения установленных значений бля терминала выбери-
те:
Учетная информация-> Терминал-> Просмотр
На экране отобразится следующая форма:
- 10-27 -
+---------------------------------------------------------------------+
| Examine |
| (просмотр) |
| Enter the name of terminal device in /dev |
| (Введите имя терминального устройства в /dev) |
| /tcb/files/auth 03/23/89 10:57 |
|+------------------Terminal Database Entry--------------------------+|
|| (Элемент базы данных терминала) ||
|| ||
|| Terminal device: [ ] Locked? (Y/N) : n ||
|| (терминальное устройство) (заблокировано (Да/Нет)) ||
|| Last login : User: ||
|| (последний вход (пользователь) ||
|| в систему) Time: ||
|| (время) ||
|| Last logout : User: ||
|| (последний выход (пользователь) ||
|| из системы) Time: ||
|| (время) ||
|| Last filed login : User: ||
|| (последний (пользователь) ||
|| ошибочный Time: ||
|| вход в систему) (время) ||
||Current consecutive failed logins: Exceeded? (Y/N) :n ||
||(Текущее количество последовательных (превышено (Да/Нет)) ||
||ошибочных входов) ||
||Consecutive failed logins allowed:[Specify]Default of [ ]Value :[ ]||
||(Количество позволенных (указать)(по умолчанию)(значение)||
||последовательных ошибочных ||
||входов в систему) ||
||Delay between logins attempts :[Specify]Default of [ ]Value :[ ]||
||(Задержка между попытками (указать)(по умолчанию)(значение)||
||входа в систему ) ||
|+-------------------------------------------------------------------+|
+---------------------------------------------------------------------+
Этот экран предоставляет Вам возможность просмотреть теку-
щий статус терминала. Во всех случаях просмотра необходимо ввес-
ти имя терминала, которое является элементом каталога для это-
го терминала в каталоге /dev. Значение "INFINITE
(неопределенный)" для "Количества позволенных последовательных
ошибочных входов в систему" приводит к тому, что тип блокировки
для этого терминала становится недоступным (применяется аббреви-
атура). Элемент управления терминалом связан базой данных назна-
чения устройств, как описано далее в этой главе.
- 10-27a -
________________________________________________________________
Примечание
Привилегированный пользователь может отменить блокировку
терминала с системной консоли. Это сделано для того, чтобы избе-
жать полной блокировки всех пользователей. Так как доступен спе-
циальный вход в систему, Вы можете физически защитить системную
консоль.
________________________________________________________________
Переопределение ограничения числа попыток входа в систему
Если ограничения входов в систему с терминала не удовлетво-
рительны или очень ослаблены, используйте выбор в среде
sysadmsh, для определения этих ограничений:
Учетная информация-> Терминалы-> Просмотр
- 10-28 -
В предыдущем разделе описывается форма, которая будет отоб-
ражена на экране. Далее измените значения "Количество позволен-
ных последовательных неправильных входов в систему" и "Задержка
между попытками входа в систему".
Блокировка/разблокировка терминала
Для того, чтобы заблокировать и разблокировать используйте
соответственно выбор в среде sysadmsh:
Учетная информация-> Терминалы-> Блокировка
Учетная информация-> Терминалы-> Разблокировка
Когда появится запрос для терминала, введите его имя, нап-
ример, tty01. Когда терминал заблокирован, то на экране во время
попытки входа в систему появляется следующее сообщение:
Terminal is disabled -- see Authentication Administrator
(терминал недоступен -- смотри раздел администратора
идентификации)
Установка базы данных эквивалентов устройств
Цель существования базы назначения устройств - содержать
записи о терминальных устройствах, которые физически одни и те
же, а обращение к ним идет по различным именам путей (Для них
установлены связи, или они являются устройствами с использовани-
ем или без использования модемов и др.). Это гарантирует, что
отслеживание входов в систему и блокировка терминалов будут при-
меняться правильно, в зависимости от того, по какому имени пути
система обращается к ним.
Одним из примеров является то, что кто-нибудь делает недос-
тупным "tty1a", а затем доступным "tty1A". Так как база данных
назначения устройств содержит эквиваленты этих устройств, счет-