Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Прохождения игр    
Demon's Souls |#10| Мaneater (part 1)
Demon's Souls |#9| Heart of surprises
Demon's Souls |#8| Maiden Astraea
Demon's Souls |#7| Dirty Colossus

Другие игры...


liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Различные авторы Весь текст 1372.6 Kb

SCO: Пособие администратора системы Unix

Предыдущая страница Следующая страница
1 ... 49 50 51 52 53 54 55  56 57 58 59 60 61 62 ... 118
нения следующих задач:
     1. Установка программного обеспечения
     2. Разбивка диска на разделы и поддержка файловой системы
     3. Перезапись, восстановление файлов и установка доступа  к
        файлу
     4. Останов системы
     5. Исправление неисправностей

     Права на доступ к ядру

     Права на доступ к ядру определяют действиями, которые поль-
зователи осуществляют для выполнения  специального  обслуживания
операционной системы.  Например, возможность изменения собствен-
ности файла управляется правом chown.  Права доступа к  ядру  по
умолчанию применяются только тогда,  когда не указаны права дос-
тупа к ядру для пользователя.  Поэтому пользователи, которым не-
обходимы  большие права,  могут иметь специальные для каждого из
них элементы в базе данных,  определяющие их  права,  тогда  как
обычные пользователи могут иметь их набор прав по умолчанию, со-
держащийся в системной базе данных значений по умолчанию.

                                  - 10-24a -

                          Таблица 10.4
                     Права на доступ к ядру
+----------------------------------------------------------------+
|   Права                             Действия                   |
+------------------+---------------------------------------------+
|  configaudit     |   Конфигурация параметров подсистемы контро-|
|                  |   ля                                        |
|  writeaudit      |   Запись элементов  контроля  в  контрольный|
|                  |   след                                      |
|  execsuid        |   Возможность запуска программ SUID         |
|  chmodsugid      |   Возможность устанавливать биты SUID и SGID|
|                  |   в файлы                                   |
|  chown           |   Возможность менять собственника объекта   |
|  suspendaudit    |   Приостанавливать контроль     операционной|
|                  |   системы за процессом                      |
|  nopromain       |   Доступ в качестве пользователя извне к ос-|
|                  |   новному каталогу                          |
+------------------+---------------------------------------------+

     Ограничения, обеспечиваемые  этими правами,  являются комп-
лексными; они конфигурируются по умолчанию  для функционирования
под уровнем защиты С2. Параметры контроля применяются только для
операций контроля и не должны быть назначены для  пользователей;

                                  - 10-25 -

этот параметр  описан  в  "Использовании  подсистемы контроля" в
главе "Поддержка Системной защиты" этого руководства.
     Права Ъ1execsuid,   chmodsugidЪ3  Ъ0и  Ъ1chownЪ3 опописаны в разделах
"Назначение прав доступа к ядру" и "Исключительные операции  вЪ3и-
системе защиты" в главе "Поддержка системной защиты" этого руко-
водства.

     Права доступа к ядру и административные пользователи

     Вы должны назначить специфические права доступа к ядру  на-
ряду с  правами  доступа к подсистемам.  Хотя большинство из них
уже назначено по умолчанию, они перечислены в таблице 10.5, если
Вы захотите изменить эти значения по умолчанию.  Исключением яв-
ляется подсистема контроля,  которая требует дополнительных прав
configaudit и  suspendaudit.  Эти права никогда не должны назна-
чаться по умолчанию или для обычных пользователей. Другим исклю-
чением является право sysadmin,  которое требует право доступа к
ядру chmodsugid, хотя проще запустить программу integrity(ADM) в
качестве основного пользователя.

                          Таблица 10.5
      Соответствия прав по доступу к подсистемам и к ядру
   +--------------------------------------------------------+
   |  Права по             требуемые права по доступу к     |
   |  доступу к                      ядру                   |
   |  подсистемам                                           |
   +--------------------------------------------------------+
   |   audit             configaudit,suspendaudit,execsuid  |
   |   auth              chown,execsuid                     |
   |   backup            execsuid                           |
   |   lp                chown                              |
   |   cron              execsuid,chown,chmodsugid          |
   |   sysadmin          execsuid,chmodsugid,chown          |
   +--------------------------------------------------------+

                                  - 10-26 -
________________________________________________________________

     Управление входом в систему с терминала

     База данных управления терминалами содержит параметры  сис-
темных терминалов.  Эта база данных представляет возможность ад-
министратору управлять количеством неуспешных попыток  входов  в
систему до  блокировки терминала.  Она также содержит информацию
о деятельности по входу в систему для каждого  терминала.  Когда
Вы устанавливаете терминал или принтер, эта информация автомати-
чески записывается в базу данных управления терминалами. Однако,
Вы должны  изменить эти элементы для того,  чтобы установить как
они могут быть использованы и какая процедура  защиты  будет  за
этим наблюдать.
     Выбор терминала в меню "Учетная информация"  предложит  Вам
следующее меню:
     Examine   Просмотр/модификация существующих элементов о
  (просмотр)    терминалах
     Create    Создать новый элемент о терминале
  (создание)
     Delete    Удалить некоторый существующий элемент о
  (удаление)    терминале
     Lock      Заблокировать отдельный элемент
  (блокировка)
     Unlock    Разблокировать отдельный элемент
  (разблокировка)
     Assign    Управление базой данных эквивалентных имен
  (назначение)  устройств
     Основной элемент в базе данных управления терминалами авто-
матически создается когда tty устройства добавляются  в систему.
Выборы, которые Вы чаще всего используете - это просмотр, блоки-
ровка, разблокировка. По умолчанию система управляет должным об-
разом элементами базы.
     Остальные пункты:  Создание,  Удаление, Назначение являются
специальными, они используются,  когда в систему добавляются но-
вые программное или техническое обеспечение,  и это требует руч-
ной настройки конфигурации.

     Просмотр элемента о терминале

     Для изменения  установленных значений бля терминала выбери-
те:
     Учетная информация-> Терминал-> Просмотр
     На экране отобразится следующая форма:

                                  - 10-27 -

+---------------------------------------------------------------------+
|                                                      Examine        |
|                                                    (просмотр)       |
|    Enter the name of terminal device in /dev                        |
|   (Введите имя терминального устройства в /dev)                     |
|    /tcb/files/auth                           03/23/89  10:57        |
|+------------------Terminal Database Entry--------------------------+|
||               (Элемент базы данных терминала)                     ||
||                                                                   ||
||   Terminal device: [        ]   Locked? (Y/N)  : n                ||
||  (терминальное устройство)     (заблокировано (Да/Нет))           ||
||   Last login        : User:                                       ||
||  (последний вход     (пользователь)                               ||
||   в систему)          Time:                                       ||
||                      (время)                                      ||
||   Last logout       : User:                                       ||
||  (последний выход    (пользователь)                               ||
||   из системы)         Time:                                       ||
||                      (время)                                      ||
||   Last filed login  : User:                                       ||
||  (последний          (пользователь)                               ||
||   ошибочный           Time:                                       ||
||   вход в систему)    (время)                                      ||
||Current consecutive failed logins:     Exceeded? (Y/N)  :n         ||
||(Текущее количество последовательных  (превышено (Да/Нет))         ||
||ошибочных  входов)                                                 ||
||Consecutive failed logins allowed:[Specify]Default of [ ]Value :[ ]||
||(Количество позволенных           (указать)(по умолчанию)(значение)||
||последовательных  ошибочных                                        ||
||входов в систему)                                                  ||
||Delay between logins attempts    :[Specify]Default of [ ]Value :[ ]||
||(Задержка между попытками         (указать)(по умолчанию)(значение)||
||входа в систему )                                                  ||
|+-------------------------------------------------------------------+|
+---------------------------------------------------------------------+
     Этот экран предоставляет Вам возможность просмотреть  теку-
щий статус терминала. Во всех случаях просмотра необходимо ввес-
ти имя терминала, которое является элементом каталога  для это-
го    терминала    в   каталоге    /dev.   Значение   "INFINITE
(неопределенный)" для "Количества  позволенных  последовательных
ошибочных входов в систему" приводит к тому,  что тип блокировки
для этого терминала становится недоступным (применяется аббреви-
атура). Элемент управления терминалом связан базой данных назна-
чения устройств, как описано далее в этой главе.

                                  - 10-27a -

________________________________________________________________
Примечание
     Привилегированный пользователь  может  отменить  блокировку
терминала с системной консоли.  Это сделано для того, чтобы избе-
жать полной блокировки всех пользователей. Так как доступен спе-
циальный вход в систему,  Вы можете физически защитить системную
консоль.
________________________________________________________________

     Переопределение ограничения числа попыток входа в систему

     Если ограничения входов в систему с терминала не удовлетво-
рительны или  очень  ослаблены,  используйте   выбор   в   среде
sysadmsh, для определения этих ограничений:
     Учетная информация-> Терминалы-> Просмотр

                                  - 10-28 -

     В предыдущем разделе описывается форма, которая будет отоб-
ражена на экране.  Далее измените значения "Количество позволен-
ных последовательных  неправильных входов в систему" и "Задержка
между попытками входа в систему".

     Блокировка/разблокировка терминала

     Для того,  чтобы заблокировать и разблокировать используйте
соответственно выбор в среде sysadmsh:
     Учетная информация-> Терминалы-> Блокировка
     Учетная информация-> Терминалы-> Разблокировка
     Когда появится запрос для терминала,  введите его имя, нап-
ример, tty01. Когда терминал заблокирован, то на экране во время
попытки входа в систему появляется следующее сообщение:

     Terminal is disabled -- see Authentication Administrator
     (терминал недоступен -- смотри раздел администратора
       идентификации)

     Установка базы данных эквивалентов устройств

     Цель существования  базы  назначения  устройств - содержать
записи о терминальных устройствах,  которые физически одни и  те
же, а  обращение  к  ним идет по различным именам путей (Для них
установлены связи, или они являются устройствами с использовани-
ем или  без использования модемов и др.).  Это гарантирует,  что
отслеживание входов в систему и блокировка терминалов будут при-
меняться правильно,  в зависимости от того, по какому имени пути
система обращается к ним.
     Одним из примеров является то, что кто-нибудь делает недос-
тупным "tty1a",  а затем доступным "tty1A".  Так как база данных
назначения устройств содержит эквиваленты этих устройств,  счет-
Предыдущая страница Следующая страница
1 ... 49 50 51 52 53 54 55  56 57 58 59 60 61 62 ... 118
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (1)

Реклама