Esercitazione: Sistema Mobile delle Forze Armate (MFS) - Politiche dell'utente e di gruppo. Informazioni riservate Creazione di floppy disk avviabili

Quando si esegue l'installazione in rete utilizzando un server, è necessario eseguire alcuni passaggi preliminari aggiuntivi:

• 
  Produzione di una serie di floppy disk per caricare un computer e organizzare l'accesso in rete al server;
• 
  selezionare un'opzione di installazione di rete;
• 
  configurazione della rete e organizzazione dell'accesso di rete al server.

1. Installazione da CD

Prima di avviare l'installazione, è necessario configurare il BIOS del computer in modo che il CD sia il primo nell'elenco dei dispositivi di avvio e inserire il CD con il modulo di avvio di WSWS 3.0 nell'unità CD.

Se il BIOS non supporta l'avvio da CD, è necessario inserire anche un dischetto di avvio nell'unità e configurare il BIOS del computer in modo che il dischetto sia il primo nell'elenco dei dispositivi di avvio. I computer moderni di solito supportano l'avvio da un CD, quindi la necessità di un floppy di avvio potrebbe sorgere solo quando si installa WSWS 3.0 su un "vecchio" computer.

Quindi dovresti riavviare il computer. Sullo schermo del monitor apparirà la seguente richiesta:

Nel formato di questo prompt, è possibile passare parametri aggiuntivi all'installatore. Ad esempio, il comando:

avvio: memoria MCBC=128M

dice al programma di installazione che questo computer ha 128 MB di RAM.

Premere un tasto per avviare il download del programma di installazione. Verrà avviato il caricamento del kernel del sistema operativo WSWS 3.0, accompagnato da messaggi diagnostici, quindi verrà avviato il programma di installazione che caricherà automaticamente i driver dell'unità CD e dei controller del disco rigido presenti nel computer e supportati dal sistema operativo WSWS 3.0.

Se l'inizializzazione non riesce, significa che è necessario caricare un driver aggiuntivo per quel tipo di CD o unità disco fisso. Il programma di installazione offrirà un elenco di driver, in cui è necessario selezionare il driver appropriato e fare clic sul pulsante "Sì".

Se è stato eseguito l'avvio da un floppy di avvio, dopo aver eseguito il programma di installazione, verrà visualizzata la finestra di dialogo Driver Disk, che richiede di inserire i driver floppy nell'unità floppy. In questo caso è necessario rimuovere il floppy di avvio e inserire il floppy dei driver.

Dopo aver caricato i driver richiesti, sullo schermo del monitor apparirà un messaggio (Figura 9-1).

1.1.41 Selezione del mouse

Seleziona il tipo di "mouse", ad esempio "mouse PS / 2 normale" e, se il "mouse" ha due pulsanti, puoi utilizzare l'emulazione della modalità a tre pulsanti. Per fare ciò, abilita l'emulazione del terzo pulsante e fai clic sul pulsante "Sì".

1.1.42 Partizionare un disco rigido

Nella maggior parte dei casi, il partizionamento di dischi rigidi, array di dischi e volumi LVM si verifica nel programma Disk Druid. Inoltre, la modalità "Partizionamento automatico" è un caso speciale di lavoro con Disk Druid con il calcolo automatico delle proporzioni dello spazio su disco in base all'attrezzatura effettivamente installata. Se hai bisogno di un lavoro di basso livello con il disco rigido, devi usare l'utilità fdisk.

Evidenzia Disk Druid e premi il tasto .

La finestra di dialogo "Partizione" che appare (Figura 9-4) visualizzerà un elenco di dischi disponibili e partizioni esistenti.

Anche in questa finestra sono presenti i pulsanti per lavorare con le sezioni: "Nuovo", "Modifica", "Elimina", "RAID", "Sì", "Indietro".

La riga inferiore fornisce suggerimenti per l'utilizzo dei tasti di scelta rapida: "F1-Aiuto, F2-Nuovo, F3-Modifica, F4-Elimina, F5-Ripristina, F12-Sì".

In generale, WSWS 3.0 viene installato su un computer con un disco rigido vuoto. In questo caso, puoi eseguire il partizionamento utilizzando Disk Druid o selezionando il partizionamento automatico.

Per installare correttamente OS WSWS 3.0, è sufficiente creare due partizioni: la partizione di root "/" e la partizione di swap. La dimensione della partizione radice deve essere di almeno 1200 MB.

Puoi spostare le directory /boot, /home, /var, /tmp e altre in sezioni separate. Ciò consente di isolare, ad esempio, le home directory degli utenti dal file system radice.

ATTENZIONE. In WSWS 3.0, non è possibile posizionare la directory /usr su una partizione separata!

Per spostare una directory in una partizione separata, è necessario creare una partizione con il file system "ext3" e assegnarle un punto di montaggio corrispondente al nome della directory.

Per creare una partizione, selezionare il pulsante "Nuovo" e premere il tasto . Nella finestra di dialogo visualizzata "Aggiungi sezione" (modifica di una nuova sezione) (Fig. 9-5):

• 
  seleziona il tipo di file system (per la partizione di swap - "swap", negli altri casi - "ext3").
• 
  dimensione della partizione in megabyte (se necessario, puoi "allungare" la partizione sull'intero disco);
• 
  mount point, per la partizione root è "/", per la partizione di swap non è necessario impostare il mount point.

Al termine della creazione delle partizioni, nella finestra "Partizione", fare clic sul pulsante "Sì".

La finestra di dialogo Salva modifiche apparirà sullo schermo del monitor.

Premi il pulsante "Sì".

Il passaggio successivo consiste nel formattare le partizioni create. Sullo schermo del monitor apparirà una finestra di dialogo intitolata "Attenzione!". e un elenco di partizioni che verranno formattate quando si fa clic sul pulsante "Sì" (Fig. 9-6).

1.1.43.Configurazione del bootloader

Sullo schermo apparirà la finestra di dialogo Boot Loader Setup (Figura 9-7). In questa finestra è necessario selezionare l'opzione per installare il sistema con o senza bootloader. Il bootloader ti consente di avere diverse opzioni per avviarlo nel sistema o seleziona il sistema operativo avviabile (se ce n'è più di uno). In modalità bootloader, il kernel WSWS 3.0 si avvierà esclusivamente sul sistema.

Premi il pulsante "Sì".

Successivamente, sullo schermo apparirà una finestra di dialogo (Fig. 9-8) che richiede di inserire parametri aggiuntivi che verranno utilizzati durante il caricamento. Per impostazione predefinita, questa finestra è impostata per utilizzare la modalità LBA32 (utilizzando indirizzi logici a 32 bit di blocchi del disco rigido), poiché questa modalità è richiesta nella maggior parte dei casi per supportare dischi ad alta capacità.

Se il computer dispone di un masterizzatore IDE CD, il programma di installazione inserirà una riga come "hdc=ide-scsi" nel campo di immissione dei parametri (ad esempio, se l'unità è collegata in modalità Master al secondo controller IDE).

Se non è necessario passare altre opzioni né al bootloader di LILO né al kernel, si consiglia di lasciare le opzioni suggerite dall'installatore e fare clic su Sì.

La procedura successiva nella configurazione del bootloader consiste nell'impostare una password per l'accesso per modificare i parametri di avvio del sistema. Poiché, in presenza di un bootloader, è possibile trasferire i parametri del kernel specializzati dalla tastiera all'avvio del sistema, questa funzionalità è protetta da una password per garantire il livello di sicurezza richiesto. Nella finestra di dialogo successiva che appare (Fig. 9-9), inserire una password la cui dimensione non deve essere inferiore a 8 caratteri. Confermare la password inserendola nuovamente nella riga successiva della finestra.

Premi il pulsante "Sì".

Sullo schermo viene visualizzata una finestra di dialogo per la selezione delle partizioni di avvio (Fig. 9-10), che richiede di specificare altre partizioni di avvio che possono essere caricate utilizzando il caricatore del sistema operativo WSWS 3.0. Ad esempio, se il tuo computer ha un altro sistema operativo, puoi etichettarlo e avviarlo utilizzando il caricatore di avvio del sistema operativo WSWS 3.0.

Immettere i dati richiesti nelle apposite righe e fare clic sul pulsante "Sì".

La finestra successiva (Fig. 9-11) specifica la posizione del bootloader sul disco. Sono disponibili due opzioni: il record di avvio principale (MBR) del disco rigido (consigliato nella maggior parte dei casi) o il settore di avvio (record di avvio) della partizione corrispondente in cui viene eseguita l'installazione.

Effettua una selezione e fai clic sul pulsante "Sì".

1.1.44.Configurazione della rete

Se il programma di installazione rileva almeno una scheda di rete, sullo schermo apparirà una sequenza di finestre di dialogo "Impostazioni di rete per ethX" (Fig. 9-12), dove X è un numero di serie, in cui le impostazioni per ciascuna scheda di rete sono configurati.

I protocolli di autoconfigurazione della rete BOOTP e DHCP vengono utilizzati quando sulla rete è presente un server speciale che fornisce il servizio di autoconfigurazione su richiesta della macchina client.

Se non è presente un server DHCP, è necessario impostare i parametri di rete in modo esplicito selezionando "Attiva all'avvio". Successivamente, nella finestra verranno evidenziate diverse righe in cui è necessario specificare i parametri di connessione di rete.

Gli indirizzi di rete sono rappresentati in notazione decimale (ad esempio, 192.168.1.1). Le informazioni sulla compilazione dei campi devono essere fornite dall'amministratore di rete.

Indirizzo di rete: l'indirizzo IP del computer in rete.

Netmask è un parametro che caratterizza la classe di un segmento di rete.

Il gateway predefinito è un host che serve le comunicazioni di questa rete locale con segmenti di rete esterni.

Il server dei nomi primario è un nodo che supporta il servizio di risoluzione dei nomi di dominio utilizzando il protocollo DNS su indirizzi IP. Immettere gli indirizzi IP dei server dei nomi aggiuntivi (DNS) nei campi appropriati. Se la rete utilizza un unico nameserver, questi campi possono essere lasciati vuoti.

Premi il pulsante "Sì".

Premi il pulsante "Sì".

1.1.45.Selezione del fuso orario

Sullo schermo apparirà la seguente finestra di dialogo "Seleziona fuso orario", in cui è possibile configurare le impostazioni dell'ora del sistema. In OS WSWS 3.0, il tempo viene contato in modalità locale, ad es. l'orologio hardware del sistema determina in modo univoco la sua ora senza conversione aggiuntiva rispetto a diversi punti di riferimento come UTC.

Nella finestra, seleziona il fuso orario della Russia che più si avvicina alla posizione del computer, indicando la differenza dell'ora solare rispetto alla zona "zero" - Europa / Mosca (Fig. 9-14).

Premi il pulsante "Sì".

1.1.46 Selezione e installazione dei pacchetti

Sullo schermo apparirà la finestra di dialogo "Seleziona complessi" (Fig. 9-15).

Questa finestra di dialogo richiede di selezionare i seguenti complessi:

• 
  Configurazione di base del sistema operativo;
• 
  sottosistema GUI;
• 
  Strumenti di sviluppo.

La selezione del gruppo "Configurazione OS di base" è obbligatoria, contiene tutti i componenti necessari per il funzionamento dell'OS WSWS 3.0 nella versione base (senza strumenti aggiuntivi).

Modalità di installazione "Tutto (incluso opzionale)" indica l'installazione di tutti i pacchetti di distribuzione, comprese le modifiche del kernel del sistema operativo, non specifiche per questo computer e una serie di pacchetti necessari per creare un disco di avvio del sistema operativo WSWS 3.0.

Per una selezione più dettagliata dei pacchetti (magari per risparmiare spazio su disco occupato dal sistema operativo), è necessario selezionare l'opzione "Selezione individuale dei pacchetti" e fare clic sul pulsante "Sì". Apparirà la finestra Seleziona pacchetti (Figura 9-16) con un elenco di gruppi di pacchetti e dei pacchetti stessi.

Un gruppo può essere compresso/espanso trascinando una linea di evidenziazione su di esso e premendo il tasto . Per ottenere informazioni su un pacchetto, devi tracciare una linea di evidenziazione su di esso e premere il tasto . L'inserimento/disattivazione dei pacchetti nella lista per l'installazione avviene premendo il tasto .

Dopo aver completato la selezione dei pacchetti, fare clic sul pulsante "Sì".

Se un singolo elenco di pacchetti è stato selezionato per l'installazione, potrebbe verificarsi una situazione in cui tra di essi compaiono dipendenze non soddisfatte. Ciò significa che nell'elenco selezionato sono presenti pacchetti che richiedono altri pacchetti dal disco di avvio di WSWS 3.0 che non sono stati selezionati per l'installazione. Le dipendenze del pacchetto verranno risolte automaticamente dal programma di installazione.

Al termine della selezione del pacchetto, sullo schermo verrà visualizzata la finestra di dialogo Avvia installazione. Questa finestra conterrà informazioni sul file /root/log, in cui il programma di installazione salverà l'elenco dei pacchetti installati al termine.

Il partizionamento reale del disco e l'installazione dei pacchetti inizieranno solo dopo aver cliccato sul pulsante "Sì" nella finestra "Installazione iniziale". Se necessario, puoi comunque interrompere il processo di installazione riavviando il computer prima di questo punto. In questo caso, tutti i dati sui dischi rigidi rimarranno invariati.

Fare clic sul pulsante "Sì" per avviare l'installazione dei pacchetti.

Sullo schermo apparirà la finestra Installa pacchetto (Fig. 9-17).

A questo punto, puoi osservare il processo di installazione dei pacchetti selezionati, che viene eseguito automaticamente. Per ogni pacchetto viene visualizzata una breve descrizione del pacchetto, nonché informazioni statistiche sul processo di installazione del pacchetto corrente e di tutti i pacchetti insieme.

1.1.47.Impostazione della password del superutente

Sullo schermo apparirà la finestra di dialogo Password utente root (Figura 9-18). Impostare una password nella riga "Password" e confermarne l'immissione nella riga "Conferma password" (le limitazioni al tipo e alla dimensione della password sono determinate dai requisiti di sicurezza del sistema; per impostazione predefinita, la dimensione della password è di almeno otto personaggi). Quando si imposta una password utilizzando la tastiera, per motivi di sicurezza, al posto dei caratteri inseriti vengono visualizzati asterischi. Premi il pulsante "Sì".

1.1.48.Creazione di dischetti di avvio

Sullo schermo apparirà la seguente finestra di dialogo, Boot Floppy Set (Figura 9-19). Il set di floppy di avvio potrebbe essere necessario se il record di avvio sul disco rigido è danneggiato.

Fare clic su "Sì" per creare i dischetti di avvio. Quindi segui le istruzioni offerte nelle finestre di dialogo.

Se non è necessario creare un kit di avvio, fare clic sul pulsante "No". In futuro, puoi creare un disco di avvio utilizzando un'utilità grafica o il comando mkbootdisk.

1.1.49.Installazione della scheda video e del monitor

Il prossimo passo è configurare il sistema grafico. Per fare ciò, nelle finestre di dialogo, seguendo le istruzioni, inserisci le informazioni sulla scheda video e sul monitor.

Se il programma di installazione rileva automaticamente il tipo di scheda video, verranno visualizzate le informazioni su di essa (Figura 9-20).

Riso. 9-19. Crea dischi di avvio.

Riso. 9-20. Selezione della scheda video.

In caso contrario, verrà visualizzata la finestra di dialogo "Seleziona mappa". Seleziona il suo tipo dall'elenco. Se la scheda video richiesta non è nell'elenco, seleziona "Scheda non specificata".

Nella finestra Selezione server, seleziona il server X con cui può funzionare la tua scheda video.

Dopodiché, apparirà la finestra di dialogo Impostazioni monitor (Figura 9-21). Se il programma di installazione non rileva automaticamente il tipo di monitor, selezionare il monitor appropriato dall'elenco Modifica.

Se necessario, è possibile specificare le impostazioni del monitor "manualmente". Per fare ciò, selezionare la voce di tipo “Altro” nell'elenco e impostare la frequenza operativa per la scansione dell'immagine in verticale e in orizzontale (60~100Hz).

Premi il pulsante "Sì".

Dopo aver selezionato il monitor, sullo schermo apparirà la finestra Avanzate (Figura 9-22). Selezionare la profondità del colore e la risoluzione del monitor desiderate nella finestra. Inoltre, in questa finestra è possibile selezionare la modalità di accesso "Grafica" (consigliata) o "Testo". Se si seleziona l'accesso grafico, il sistema GUI verrà avviato per impostazione predefinita. Effettua una selezione e fai clic sul pulsante "Sì".

Dopo aver configurato il sistema grafico, viene visualizzata la finestra informativa "Installazione completata" (Figura 9-23) con il messaggio "Congratulazioni, l'installazione di WSWS OS 3.0 è completata".

Fare clic sul pulsante "Sì" per riavviare. Il computer inizierà a riavviarsi. Durante il riavvio, il vassoio del CD verrà espulso automaticamente. Rimuovere il disco dal vassoio.

Riso. 9-23. Installazione completata.

Riso. 9-24. Metodo di installazione

In questa recensione, proverò a installare una copia di RedHat Enterprice Linux per le esigenze del Ministero della Difesa della Federazione Russa per vedere come funziona su hardware moderno. L'ultimo numero del WSWS era già nel 2011, ma continua ad essere "utile" nell'esercito russo:

Iniziamo l'installazione

È stato avviato un programma di installazione MS-DOS in stile retrò, ma prima del rilascio di WSWS 5, quasi tutte le distribuzioni avevano un programma di installazione grafico. Debian ha anche un programma di installazione basato su testo, ma è molto più semplice e chiaro di questo. Ci viene chiesto se controllare o meno il DVD di installazione. Controlliamo per ogni evenienza:

Abbiamo 30 GB di spazio non formattato inutilizzato, selezioniamo "Usa spazio libero e crea partizione predefinita" e riceviamo un errore di partizione: impossibile allocare le partizioni richieste

Ho dovuto inserire una password lunga

Non abbiamo connessioni di rete, seleziona "No" e premi Invio

Hai lasciato vuoto il campo "gateway". A seconda dell'ambiente di rete, potrebbero verificarsi problemi in seguito

Viene richiesto di inserire un nome di rete. Seleziona "Manuale" e trova un nome di rete

L'installazione raggiunge il 100% e il programma di installazione ci saluta felicemente per il completamento dell'installazione, ci chiede di disabilitare i supporti rimovibili e di premere Invio per riavviare. Premiamo Invio e il computer si blocca, come l'ultima volta.

Premiamo il pulsante di accensione, aspettiamo qualche minuto e oh, orrore, tutto è in inglese. O è una tale lingua russa nell'esercito russo?

Basta premere Invio per scaricare

Il sistema è stupido per 15 secondi e mostra errori: Memoria per il crash del kernel (da 0x0 a 0x0) non consentita; impossibile interrogare l'hardware Synaptics

A proposito, fai attenzione, il kernel 2.6.18 è installato qui. Questo core è uscito cinque anni prima di WSWS 5.0. Sì, in cinque anni è stato possibile costruire intere industrie, come nei piani quinquennali stalinisti, ma sono già passati quasi 10 anni! A quel tempo lontano, stavo appena iniziando a interessarmi a Linux. Anche se forse stanno controllando la sicurezza del codice per cinque anni.
Ok, proviamo a usare quello che abbiamo.
Cercando di eseguire la grafica. In niks, per avviare la grafica, di solito devi inserire startx, inserire startx:
#startx
e ottieni errori:

Dobbiamo solo riavviare il sistema e tornare al sistema operativo funzionante, inserire il riavvio e di nuovo ci fermiamo al riavvio:

Inseriamo anche il login di root, la password e startx

Ovviamente, per motivi di sicurezza, VNIINS sconsiglia di eseguire X come amministratore. E perché, allora, dopo il primo lancio o nell'installer stesso, non è stato proposto di creare utenti semplici per motivi di sicurezza, come in tante altre distribuzioni?

WSWS 5.0 desktop

Impostazioni di WSWS 5.0

Start - impostazioni - pannello di controllo ELK, gestione utenti - aggiungi un nuovo utente:

La password deve essere di almeno 8 caratteri!

Gli attributi di sicurezza sono impressionanti, ma non li toccheremo:

Abbiamo una risoluzione dello schermo di 800x600, stiamo cercando di cambiarla. Vai al "Pannello di controllo" e seleziona l'icona "Monitor". Si apre una finestra con il messaggio che non abbiamo un file xorg.conf e che lo schermo sarà scuro durante la creazione. Crearlo o no?

Programmi WSWS 5.0

Browser ELK:

Utilità
Ci sono già 4 terminali nelle utilità: ELK-terminal, X-terminal, Console e terminale in modalità superutente. Sai perché ce ne sono così tanti? Perché il desktop WSWS è un misto di EDE e KDE. Non hanno nemmeno pensato di rimuovere le utilità non necessarie, tutto era impostato come predefinito, quindi l'hanno lasciato.

Editor di testo Emacs in WSWS:

ffmpeg è finito nell'elenco dei pacchetti installati. Una ricerca di oss e alsa (sistemi audio) non ha dato alcun risultato. Anche le richieste di Office e Firefox non hanno prodotto alcun risultato.

k3b all'avvio genera un errore che indica che il tipo mime non può essere trovato. Devi premere OK 10 volte e poi inizierà:

Conclusioni generali.

WSVS5.0 - copiato nel 2011 da RedHat Enterprice Linux5.0 (2007), non funziona correttamente su computer rilasciati nel 2011. Sì, nell'esercito russo, in generale, c'è una notevole brama di antichità profonda, ad esempio l'incrociatore da trasporto "Admiral Kuznetsov" con il suo trampolino di lancio invece di una catapulta, a causa del quale gli aerei sono costretti a volare con munizioni incomplete e a volte cadere in acqua durante il decollo per gli aerei e con una centrale a olio combustibile, che necessita di rifornimento durante il viaggio ...

Questo capitolo affronta le seguenti domande:

Utenti;

Differenze tra utenti privilegiati e non privilegiati;

File di accesso;

Il file /etc/passwd;

File /etc/shadow;

File /etc/gshadow;

FILE /etc/login.defs

Modifica delle informazioni sull'invecchiamento della password;

La sicurezza di WSWS si basa sui concetti di utenti e gruppi. Tutte le decisioni su ciò che un utente può o non può fare vengono prese in base a chi è l'utente connesso dal punto di vista del kernel del sistema operativo.

Visione generale degli utenti

WSWS è un sistema multiutente multitasking. È responsabilità del sistema operativo isolare e proteggere gli utenti gli uni dagli altri. Il sistema tiene traccia di ogni utente e, in base a chi è questo utente, determina se è possibile concedergli l'accesso a un determinato file o consentirgli di eseguire un particolare programma.

Quando viene creato un nuovo utente, gli viene assegnato un nome univoco

NOTA

Il sistema determina i privilegi dell'utente in base all'ID utente (ID utente, UID). A differenza di un nome utente, un UID potrebbe non essere univoco, nel qual caso il nome trovato che corrisponde all'UID specificato viene utilizzato per abbinarlo a un nome utente.

Ad ogni nuovo utente registrato nel sistema vengono assegnati determinati elementi del sistema.

Utenti privilegiati e non privilegiati

Quando un nuovo utente viene aggiunto al sistema, gli viene assegnato un numero speciale chiamato ID utente(ID utente, UID). In Caldera WSWS, l'assegnazione di ID ai nuovi utenti inizia da 500 e sale a numeri più alti, fino a 65.534. I numeri fino a 500 sono riservati agli account di sistema.

In generale, gli identificatori con numeri inferiori a 500 non sono diversi dagli altri identificatori. Spesso un programma necessita di un utente speciale con accesso completo a tutti i file per funzionare correttamente.

La numerazione degli identificatori inizia da 0 e arriva fino a 65535. UID 0 è un UID speciale. Qualsiasi processo o utente con ID zero è privilegiato. Tale persona o processo ha potere illimitato sul sistema. Niente può servirgli da squalifica. L'account root (l'account il cui UID è 0), chiamato anche account superutente, rende la persona che entra utilizzandolo, se non il proprietario, almeno un suo rappresentante autorizzato.

Ciò lascia un UID di 65.535. È anche fuori dall'ordinario. Questo UID appartiene all'utente nessuno (nessuno).

C'era una volta, uno dei modi per hackerare il sistema era creare un utente con un ID di 65.536, in conseguenza del quale riceveva i privilegi di superutente. Infatti, se prendi un qualsiasi UID e traduci il numero corrispondente in forma binaria, ottieni una combinazione di sedici cifre binarie, ognuna delle quali è 0 o 1. La stragrande maggioranza degli identificatori include sia zeri che uno. Le eccezioni sono lo zero UID del superutente, composto da tutti zeri, e UIDnobody, pari a 65535 e composto da 16 uno, ovvero 111111111111111111. Il numero 65.536 non può essere inserito in 16 bit - per rappresentare questo numero in forma binaria, devi usare già 17 bit. La cifra più significativa sarà uguale a uno (1), tutto il resto sarà uguale a zero (0). Quindi cosa succede quando crei un utente con un ID di 17 bit - 100000000000000000? In teoria, un utente con un identificatore zero: poiché solo 16 cifre binarie sono allocate per l'identificatore, non c'è nessun posto dove memorizzare il 17° bit e viene scartato. Pertanto, l'unica unità dell'identificatore viene persa e rimangono solo zeri e nel sistema viene visualizzato un nuovo utente con l'identificatore, e quindi i privilegi, del superutente. Ma ora non ci sono programmi nel WSWS che ti permetterebbero di impostare l'UID su 65536.

NOTA

Puoi creare utenti con ID maggiori di 65.536, ma non potrai utilizzarli senza modificare /bin/login.

Qualsiasi cracker cercherà sicuramente di ottenere i privilegi di superutente. Una volta ricevuti, l'ulteriore destino del sistema dipenderà interamente dalle sue intenzioni. Forse lui, soddisfatto del fatto stesso dell'hacking, non le farà niente di male e, dopo averti inviato una lettera che descrive i buchi che ha trovato nel sistema di sicurezza, la lascerà sola per sempre, o forse no. Se le intenzioni dell'hacker non sono così pure, allora il meglio che puoi sperare è di far cadere il sistema.

FILE /etc/passwd

La persona che desidera accedere deve inserire un nome utente e una password, che vengono verificati rispetto al database utente memorizzato nel file /etc/passwd. Tra le altre cose, memorizza le password di tutti gli utenti. Quando ci si connette al sistema, la password immessa viene confrontata con la password corrispondente al nome specificato e, se corrisponde, l'utente è autorizzato a entrare nel sistema, dopodiché viene avviato il programma specificato per il nome utente specificato nel file della password. Se si tratta di una shell di comandi, all'utente viene data la possibilità di immettere comandi.

Considerare l'elenco 1.1. Questo è un file passwd vecchio stile.

Listato 1.1. Il file /etc/passwd nel vecchio stile

root: *:1i DYwrOmhmEBU: 0:0: root:: /root: /bin/bash

bin:*:1:1:bin:/bin:

demone:*:2: 2: demone:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

sync:*:5:0:sync:/sbin:/bin/sync

shutdown:*:6:11:shutdown:/sbin:/sbin/shutdown

halt:*:7:0:halt:/sbin:/sbin/halt

mail:*:8:12:mail:/var/spool/mail:

notizie:*:9:13:notizie:/var/spool/notizie:

uucp:*:10:14:uucp:/var/spool/uucp:

operatore:*:11:0:operatore:/root:

giochi:*:12:100:giochi:/usr/giochi:

gopher:*:13:30:gopher:/usr/1ib/gopher-data:

ftp:*:14:50:Utente FTP:/home/ftp:

uomo:*:15:15:Manuali Proprietario:/:

majordom:*:16:16:majordomo:/:/bin/false

postgres:*:17:17:Utente Postgres:/home/postgres:/bin/bash

mysql:*:18:18:Utente MySQL:/usr/local/var:/bin/false

silvia:1iDYwrOmhmEBU:501:501:Silvia Bandel:/home/silvia:/bin/bash

nessuno:*:65534:65534:Nessuno:/:/bi n/false

david:1iDYwrOmhmEBU:500:500:David A. Bandel:/home/david:/bin/bash

Il file della password ha una struttura hardcoded. Il contenuto del file è una tabella. Ogni riga del file è una voce di tabella. Ogni voce è composta da diversi campi. I campi nel file passwd sono separati da due punti, quindi i due punti non possono essere utilizzati in nessuno dei campi. Ci sono sette campi in totale: nome utente, password, ID utente, ID gruppo, campo GECOS (ovvero campo dei commenti), home directory e shell di accesso.

Maggiori informazioni su /etc/passwd

Il primo campo contiene il nome utente. Deve essere univoco: due utenti di sistema non possono avere lo stesso nome. Il campo del nome è l'unico campo il cui valore deve essere univoco. Il secondo campo memorizza la password dell'utente. Per garantire la sicurezza del sistema, la password viene archiviata in un formato hash. Il termine "hash" in questo contesto significa "crittografato". Nel caso di WSWS, la password viene crittografata utilizzando l'algoritmo DES (DataEncryptionStandard). La lunghezza della password con hash in questo campo è sempre di 13 caratteri e alcuni caratteri, come i due punti e le virgolette singole, non si trovano mai tra di essi. Qualsiasi altro valore di campo diverso da una password di 13 caratteri con hash valida impedisce all'utente di accedere, con un'eccezione estremamente importante: il campo della password può essere vuoto.

Il secondo campo è vuoto, nemmeno uno spazio, il che significa che l'utente corrispondente non ha bisogno di una password per accedere. Se modifichi la password memorizzata nel campo aggiungendo un carattere, ad esempio una virgoletta singola, alla password, l'account verrà bloccato e l'utente corrispondente non potrà accedere. Il fatto è che dopo aver aggiunto un carattere illegale alla password con hash di 14 caratteri, il sistema ha rifiutato di autenticare l'utente con tale password.

La lunghezza della password è attualmente limitata a otto caratteri. L'utente può inserire password più lunghe, ma solo i primi otto caratteri saranno significativi. I primi due caratteri della password con hash sono seme(sale). (Il seme è il numero utilizzato per inizializzare l'algoritmo di crittografia. Ogni volta che la password viene modificata, il seme viene scelto in modo casuale.) Di conseguenza, il numero di possibili permutazioni è abbastanza grande da non essere possibile determinare se ci sono utenti nel sistema con le stesse password semplicemente confrontando le password con hash.

NOTA

Dictionaryattack si riferisce a metodi di cracking delle password di forza bruta e prevede l'uso di un dizionario e di un seme noto. L'attacco consiste nell'iterare tutte le parole nel dizionario, crittografarle con un determinato seme e confrontare il risultato con la password da decifrare. Allo stesso tempo, oltre alle parole del dizionario, vengono generalmente considerate alcune delle loro modifiche, ad esempio tutte le lettere sono in maiuscolo, solo la prima lettera è in maiuscolo e l'aggiunta di numeri (di solito solo 0-9) alla fine di tutte queste combinazioni. Un sacco di password facili da indovinare possono essere decifrate in questo modo.

Il terzo campo contiene l'ID utente. L'ID utente non deve essere univoco. In particolare, oltre all'utente root, può esserci un numero qualsiasi di altri utenti con un identificatore nullo e tutti avranno privilegi di superutente.

Il quarto campo contiene l'identificatore del gruppo (GroupID, GID). Viene chiamato il gruppo specificato in questo campo gruppo principale dell'utente(gruppo primario). Un utente può appartenere a più gruppi, ma uno di questi deve essere il gruppo principale.

Il quinto campo è ora chiamato campo dei commenti, ma il suo nome originale era GECOS, per "GEConsolidatedOperatingSystem". Quando si richiedono informazioni sull'utente tramite finger o un altro programma, il contenuto di questo campo viene ora restituito come il vero nome dell'utente. Il campo del commento può essere vuoto.

Il sesto campo specifica la home directory dell'utente. Ogni utente deve avere la propria home directory. Di solito, quando un utente effettua il login, finisce nella sua home directory, ma se non ce n'è, allora va alla directory principale.

Il settimo campo specifica la shell di login. Non tutte le shell possono essere specificate in questo campo. A seconda delle impostazioni di sistema, può contenere solo una shell dall'elenco delle shell valide. Sul WSWS, l'elenco delle shell consentite si trova per impostazione predefinita nel file /etc/shells.

FILE /etc/shadow

Il file /etc/shadow è di proprietà dell'utente root ed è l'unico che può leggere il file. Per crearlo, devi prendere i nomi utente e le password con hash dal file passwd e inserirli nel file shadow, sostituendo tutte le password con hash nel file passwd con x caratteri. Se guardi il file passwd del sistema, puoi vedere che ci sono x al posto delle password hash. Questo simbolo indica al sistema che la password non deve essere cercata qui, ma nel file /etc/shadow. Il passaggio dalle password semplici a quelle shadow e viceversa avviene tramite tre utilità. Per accedere alle password shadow, viene eseguita prima l'utilità pwck. Controlla il file passwd per eventuali anomalie che potrebbero causare il fallimento o il ciclo del passaggio successivo. Dopo che pwck è stato completato, l'utilità pwconv viene eseguita per creare /etc/shadow. Questo di solito viene fatto dopo aver aggiornato manualmente il file /etc/passwd. Per ripristinare le password normali, viene eseguito pwuncov.

Un file di password shadow è simile in molti modi a un file di password normale. In particolare, i primi due campi di questi file sono gli stessi. Ma oltre a questi campi, contiene naturalmente campi aggiuntivi che non si trovano nel normale file di password. Listato 1.2. mostra il contenuto di un tipico file /etc/shadow.

Listato 1.2. FILE /etc/shadow

root:1iDYwrOmhmEBU:10792:0::7:7::

bin:*:10547:0::7:7::

demone:*:10547:0::7:7::

adm:*:10547:0::7:7::

lp:*:10547:0::7:7::

sincronizzazione:*:10547:0::7:7::

spegnimento:U:10811:0:-1:7:7:-1:134531940

arresto:*:10547:0::7:7::

mail:*:10547:0::7:7::

notizie:*:10547:0::7:7::

uucp:*:10547:0::7:7::

operatore:*:10547:0::7:7::

giochi:*: 10547:0: :7:7::

gopher:*:10547:0::7:7::

ftp:*:10547:0::7:7::

uomo:*:10547:0::7:7::

maggioranza:*:10547:0::7:7::

postgres:*:10547:0::7:7::

mysql:*:10547:0::7:7::

si1via:1iDYwrOmhmEBU:10792:0:30:7:-l::

nessuno:*:10547:0::7:7::

david:1iDYwrOmhmEBU:10792:0::7:7::

Maggiori informazioni su /etc/shadow

Lo scopo del primo campo nel file shadow è lo stesso del primo campo nel file passwd.

Il secondo campo contiene la password con hash. L'implementazione WSWS delle password shadow consente password con hash di lunghezza compresa tra 13 e 24 caratteri, ma il programma di crittografia delle password crypt può produrre solo password con hash di 13 caratteri. I caratteri utilizzati nell'hash sono presi da un insieme di 52 caratteri alfabetici (minuscoli e maiuscoli), le cifre 0-9, un punto e una barra rovesciata (/). Ci sono un totale di 64 caratteri consentiti nel campo della password con hash.

Il seme, quindi, che, come prima, è i primi due simboli, può essere selezionato tra 4096 possibili combinazioni (64x64). Per la crittografia viene utilizzato l'algoritmo DES con una chiave a 56 bit, ovvero lo spazio chiave di questo algoritmo ha 256 chiavi, che è approssimativamente uguale a 72.057.590.000.000.000 o 72 quadrilioni. Il numero sembra impressionante, ma in realtà è possibile scorrere tutti i tasti in uno spazio di queste dimensioni in brevissimo tempo.

Il terzo campo inizia con le informazioni sull'invecchiamento della password. Memorizza il numero di giorni trascorsi dal 1 gennaio 1970 fino al giorno dell'ultima modifica della password.

Il quarto campo specifica il numero minimo di giorni che devono trascorrere prima che la password possa essere modificata nuovamente. Fino allo scadere del numero di giorni specificato in questo campo dalla data dell'ultima modifica della password, la password non può essere modificata nuovamente.

Il quinto campo specifica il numero massimo di giorni durante i quali la password può essere utilizzata, dopodiché deve essere modificata. Se questo campo è impostato su positivo, se l'utente tenta di accedere dopo che la password è scaduta, il comando password non verrà eseguito normalmente, ma in modalità di modifica della password obbligatoria.

Il valore nel sesto campo determina quanti giorni prima della scadenza della password dovresti iniziare a inviare un avviso al riguardo. Dopo aver ricevuto un avviso, l'utente può iniziare a trovare una nuova password.

Il settimo campo specifica il numero di giorni, a partire dal giorno della modifica obbligatoria della password, dopo i quali questo account viene bloccato.

Il penultimo campo memorizza il giorno in cui l'account è stato bloccato.

L'ultimo campo è riservato e non utilizzato.

Maggiori informazioni su /etc/group

Ogni voce nel file /etc/group è composta da quattro campi separati da due punti. Il primo campo specifica il nome del gruppo. Come un nome utente.

Il secondo campo è solitamente sempre vuoto, poiché il meccanismo della password per i gruppi di solito non viene utilizzato, tuttavia, se questo campo non è vuoto e contiene una password, qualsiasi utente può unirsi al gruppo. Per fare ciò, è necessario eseguire il comando newgrp con il nome del gruppo come parametro, quindi inserire la password corretta. Se non è stata impostata una password per un gruppo, possono partecipare solo gli utenti elencati nell'elenco dei membri del gruppo.

Il terzo campo specifica l'identificatore del gruppo (GroupID, GID). Il suo significato è lo stesso di quello dell'ID utente.

L'ultimo campo è un elenco di nomi utente che appartengono al gruppo. I nomi utente sono elencati separati da virgole senza spazi. Il gruppo principale dell'utente è specificato (obbligatorio) nel file passwd e viene assegnato quando l'utente si connette al sistema in base a queste informazioni. Di conseguenza, se il gruppo principale dell'utente viene modificato nel file passwd, l'utente non sarà più in grado di unirsi al suo precedente gruppo principale.

FILE /etc/login.defs

Esistono diversi modi per aggiungere un nuovo utente al sistema. Il WSWS utilizza i seguenti programmi per questo: coastooL, LISA, useradd. Ognuno di loro andrà bene. L'utilità COAS utilizza il proprio file. E i programmi useradd e LISA prendono informazioni sui valori predefiniti per i campi dei file passwd e shadow dal file /etc/login.defs. Il contenuto di questo file, in forma abbreviata, è mostrato nel Listato 1.4.

Listato 1.4. File abbreviato /etc/login.defs

#Numero massimo di giorni per l'utilizzo di una password:

#(-1 - la modifica della password è facoltativa) PASS_MAX_DAYS-1

Numero minimo di giorni tra le modifiche della password: PASS_MIN_DAYSO

#Quanti giorni prima della data di modifica della password deve essere emesso un avviso: PASS_WARN_AGE7

#Quanti giorni devono trascorrere dopo la scadenza della password prima che l'account venga bloccato: PASS_INACTIVE-1

#Forza la scadenza della password in un determinato giorno:

# (data identificata dal numero di giorni successivi al 70/1/1, -1 = non forzare) PASS_EXPIRE -1

#Valori dei campi dell'account creato per il programma useradd

#gruppo predefinito:GRUPPO100

#home directory utente: %s = nome utente) HOME /home/%s

#shell predefinita: SHELL/bin/bash

#directory dove si trova lo scheletro della home directory: SKEL/etc/skel

#valori minimi e massimi per la selezione automatica dei gid in groupaddGID_MIN100

Il contenuto di questo file imposta i valori predefiniti per i campi nei file passwd e shadow. Se non li sovrascrivi dalla riga di comando, verranno utilizzati. Come punto di partenza, questi valori vanno bene, ma alcuni di essi dovranno essere modificati per implementare l'invecchiamento della password. Un valore di -1 significa nessuna restrizione.

Il programma COAS della distribuzione Caldera utilizza un'interfaccia utente grafica per

Per modificare le informazioni sull'invecchiamento della password per uno o due utenti, è possibile utilizzare il comando chage (modifica). Gli utenti non privilegiati possono eseguire chage solo con le opzioni -l e il proprio nome utente, ovvero solo la propria password sarà obsoleta. Per modificare le informazioni sulla deprecazione è sufficiente specificare il nome utente, il resto dei parametri verrà richiesto nella modalità dialogo. Chiamare chage senza parametri darà una breve nota di utilizzo.

COAS può essere utilizzato per modificare le impostazioni di invecchiamento della password in base all'account. I valori sono espressi in giorni. L'interfaccia del programma è ovvia.

NOTA -

È possibile utilizzare il comando di scadenza per ottenere informazioni sulla scadenza della password di un utente o per forzare il processo.

Sistema di sicurezza RAM

L'idea principale di PAM è che puoi sempre scrivere un nuovo modulo di sicurezza che acceda a un file o dispositivo per informazioni e restituisca il risultato della procedura di autorizzazione: SUCCESS (SUCCESS), FAIL (FAILURE) o IGNORE (IGNORE). E PAM, a sua volta, restituirà SUCCESS o FAILURE al servizio che lo ha chiamato. Pertanto, non importa quali password, shadow o normali, vengano utilizzate nel sistema, se dispone di RAM: tutti i programmi che supportano la RAM funzioneranno bene con entrambi.

Passiamo ora alla considerazione dei principi base del funzionamento della RAM. Considera l'elenco 1.6. La directory /etc/pam.d contiene i file di configurazione per altri servizi come su, passwd e così via, a seconda del software installato sul sistema. Ogni servizio limitato ha il proprio file di configurazione. Se non ce n'è, questo servizio con accesso limitato rientra nella categoria "altro", con il file di configurazione other.d. (Un servizio limitato è qualsiasi servizio o programma che richiede l'autorizzazione per utilizzarlo. In altre parole, se un servizio normalmente richiede un nome utente e una password, è un servizio limitato.)

Elenco 1.6. file di configurazione del servizio di accesso

autenticazione richiesta pam_securetty.so

autenticazione richiesta pam_pwdb.so

autenticazione richiesta pam_nologin.so

#auth richiesto pam_dialup.so

auth opzionale pam_mail.so

account richiesto pam_pwdb.so

sessione richiesta pam_pwdb.so

sessione facoltativa pam_lastlog.so

password richiesta pam_pwdb.so

Come puoi vedere dall'elenco, il file di configurazione è composto da tre colonne. Le righe che iniziano con un cancelletto (#) vengono ignorate. Pertanto, il modulo pam_dialup (quarta riga dell'elenco 1.6.) verrà saltato. Il file contiene righe con lo stesso terzo campo - pam_pwd.so e il primo - auth. L'utilizzo di più righe con lo stesso primo campo è chiamato stacking del modulo e consente di ottenere un'autorizzazione multi-step (stack del modulo) che include diverse procedure di autorizzazione.

La prima colonna è la colonna tipo. Il tipo è definito da una delle quattro etichette di caratteri: auth, account, session e password. Il contenuto di tutte le colonne è considerato senza distinzione tra maiuscole e minuscole.

Il tipo di autenticazione (autenticazione - autenticazione) viene utilizzato per scoprire se l'utente è chi afferma di essere. Di norma, ciò si ottiene confrontando le password immesse e memorizzate, ma sono possibili altre opzioni.

Il tipo account (account) controlla se l'utente specificato è autorizzato a utilizzare il servizio, a quali condizioni, se la password non è aggiornata, ecc.

Il tipo di password viene utilizzato per rinnovare i token di autorizzazione.

Il tipo di sessione esegue determinate azioni quando un utente accede e quando un utente si disconnette.

Bandiere di controllo

La seconda colonna è un campo flag di controllo che specifica cosa fare dopo il ritorno del modulo, ovvero la risposta PAM a SUCCESS, IGNORE e FAILURE. I valori consentiti sono obbligatori, obbligatori, sufficienti e facoltativi. Il valore in questo campo determina se le righe rimanenti del file verranno elaborate.

Il flag requisito specifica il comportamento più restrittivo. Qualsiasi stringa con il flag requisite il cui modulo ha restituito un valore FAILURE verrà interrotta e il servizio chiamante restituirà lo stato FAILURE. Non verranno prese in considerazione altre linee. Questa bandiera è usata raramente. Il fatto è che se il modulo contrassegnato da esso viene eseguito per primo, allora i moduli che lo seguono potrebbero non essere eseguiti, compresi quelli responsabili della registrazione, quindi di solito viene utilizzato il flag richiesto.

Il flag richiesto non interrompe l'esecuzione dei moduli. Qualunque sia il risultato dell'esecuzione del modulo da esso contrassegnato: SUCCESS (SUCCESS), IGNORE (IGNORE) o FAILURE (FAILURE), PAM procede sempre all'elaborazione del modulo successivo. Questo è il flag più comunemente usato, poiché il risultato dell'esecuzione del modulo non viene restituito fino al completamento di tutti gli altri moduli, il che significa che i moduli responsabili della registrazione verranno sicuramente eseguiti.

Il flag sufficiente fa sì che la stringa termini immediatamente l'elaborazione e restituisca un valore SUCCESS, a condizione che il modulo contrassegnato con esso abbia restituito il valore SUCCESS e che non vi fosse alcun modulo incontrato in precedenza con il flag richiesto che ha restituito lo stato FAILURE. Se è stato rilevato un tale modulo, il flag sufficiente viene ignorato. Se un modulo contrassegnato con questo flag ha restituito un valore IGNORE o FAILURE, il flag sufficiente viene trattato allo stesso modo del flag facoltativo.

Il risultato dell'esecuzione di un modulo con il flag facoltativo viene preso in considerazione solo se è l'unico modulo nello stack che ha restituito un valore SUCCESS. In caso contrario, il risultato della sua esecuzione viene ignorato. Pertanto, la mancata esecuzione del modulo contrassegnato con esso non comporta il fallimento dell'intero iter autorizzativo.

I moduli contrassegnati con i flag requisito e richiesto non devono restituire FAILURE affinché un utente possa accedere al sistema. Il risultato dell'esecuzione di un modulo con il flag facoltativo viene preso in considerazione solo se è l'unico modulo dello stack che ha restituito SUCCESS.

Moduli RAM

La terza colonna contiene il nome file completo del modulo associato alla riga data. In linea di principio, i moduli possono essere posizionati ovunque, ma se sono inseriti in una directory predefinita per i moduli, è possibile specificare solo un nome, altrimenti è necessario anche un percorso. Sul WSWS, la directory predefinita è /lib/security.

La quarta colonna serve per passare parametri aggiuntivi al modulo. Non tutti i moduli hanno parametri e, in tal caso, potrebbero non essere utilizzati. Il passaggio di un parametro a un modulo consente di modificarne il comportamento in un modo o nell'altro.

Il Listato 1.7 elenca i moduli PAM che compongono il WSWS.

Listato 1.7. Elenco dei moduli RAM che fanno parte di WSWS

pam_rhosts_auth.so

pam_securetty.so

pam_unix_acct.so

pam_unix_auth.so

pam_unix_passwd.so

pam_unix_session.so

Maggiori informazioni sui moduli

Il modulo pam_access.so viene utilizzato per concedere/negare l'accesso in base al file /etc/security/access.conf. Le righe in questo file hanno il seguente formato:

diritti: utenti: da

Autorizzazioni: + (consenti) o - (nega)

Utenti - ALL, nome utente o utente@host, dove host corrisponde al nome della macchina locale, altrimenti la voce viene ignorata.

Da - uno o più nomi di file del terminale (senza il prefisso /dev/), nomi host, nomi di dominio (che iniziano con un punto), indirizzi IP, ALL o LOCAL.

Il modulo pam_cracklib.so controlla le password rispetto a un dizionario. È progettato per convalidare una nuova password e impedire l'uso di password facili da decifrare, come parole comuni, password contenenti caratteri ripetuti e password troppo brevi sul sistema. Ci sono parametri opzionali: debug, type= e retry=. L'opzione di debug consente di scrivere le informazioni di debug nel file di registro. Il parametro type seguito da una stringa modifica la NewUnixpassword predefinita: richiede di modificare la parola Unix nella stringa specificata. Il parametro retry specifica il numero di tentativi concessi all'utente per immettere una password, dopodiché viene restituito un errore (l'impostazione predefinita è un tentativo).

Considera il Listato 1.8. Mostra il contenuto del file /etc/pam.d/other. Questo file contiene la configurazione utilizzata dal motore PAM per i servizi che non dispongono di propri file di configurazione nella directory /etc/pam.d. In altre parole, questo file si applica a tutti i servizi sconosciuti al sistema PAM. Contiene tutti e quattro i tipi di autorizzazione, auth, account, password e sessione, ognuno dei quali chiama il modulo pam_deny.so contrassegnato con il flag richiesto. Pertanto, l'esecuzione del servizio sconosciuto è vietata.

Listato 1.8. FILE /etc/pam.d/altro

autenticazione richiesta pam_deny.so

autenticazione richiesta pam_warn.so

account richiesto pam_deny.so

password richiesta pam_deny.so

password richiesta pam_warn.so

sessione richiesta pam_deny.so

Il modulo pam_dialup.so verifica se è necessaria una password per accedere a uno o più terminali remoti utilizzando il file /etc/security/ttys.dialup. Il modulo è applicabile non solo a ttyS, ma a qualsiasi terminale tty in generale. Quando è necessaria una password, viene confrontata con quella nel file /etc/security/passwd.dialup. Le modifiche al file passwd.dialup vengono gestite dal programma dpasswd.

Il modulo pam_group.so gestisce i controlli sul contenuto del file /etc/security/group.conf. Questo file specifica i gruppi di cui l'utente specificato nel file può diventare un membro se vengono soddisfatte determinate condizioni.

Il modulo pam_lastlog.so scrive nel file lastlog informazioni su quando e da dove l'utente ha effettuato l'accesso. Tipicamente, questo modulo è contrassegnato con il tipo di sessione e il flag opzionale.

Il modulo pam_limits.so ti consente di imporre varie restrizioni agli utenti che hanno effettuato l'accesso. Queste restrizioni non si applicano all'utente root (o a qualsiasi altro utente con un ID nullo). Le restrizioni sono impostate a livello di accesso e non sono globali o permanenti, ma sono valide solo all'interno di un singolo accesso.

Il modulo pam_lastfile.so prende una voce (elemento), la confronta con l'elenco nel file e, in base ai risultati del confronto, restituisce SUCCESS (SUCCESS) o FAILURE (FAILURE). I parametri di questo modulo sono i seguenti:

Item=[utente terminale | host_remoto | utente_remoto | gruppo| guscio]

Sense= (stato da restituire; quando la voce si trova nella lista, altrimenti viene restituito lo stato opposto)

file=/full/path/and/file_name - onerr= (quale stato restituire se si verifica un errore)

App1y=[utente|@gruppo] (specifica l'utente o il gruppo da limitare. Significativo solo per voci come item=[terminale | host_remoto | shell], per voci come item=[utente | utente_remoto | gruppo] viene ignorato)

Il modulo pam_nologin.so viene utilizzato per l'autorizzazione del tipo auth con il flag richiesto. Questo modulo controlla se il file /etc/nologin esiste e restituisce SUCCESS in caso contrario, altrimenti il ​​contenuto del file viene mostrato all'utente e viene restituito FAILURE. Questo modulo viene in genere utilizzato quando il sistema non è ancora completamente operativo o è temporaneamente chiuso per manutenzione ma non disconnesso dalla rete.

Il modulo pam_permit.so è complementare al modulo pam_deny.so. Restituisce sempre SUCCESSO. Tutti i parametri passati dal modulo vengono ignorati.

Il modulo pam_pwdb.so fornisce un'interfaccia per i file passwd e shadow. Sono possibili le seguenti opzioni:

Debug: scrittura delle informazioni di debug nel file di registro;

Audit: informazioni di debug aggiuntive per coloro che non dispongono di informazioni di debug ordinarie sufficienti;

Use_first_pass - non chiedere mai all'utente una password, ma prenderla dai moduli dello stack precedenti;

Try_first_pass - prova a ottenere la password dai moduli precedenti, in caso di errore chiedi all'utente;

Use_authtok - restituisce il valore FAILURE se pam_authtok non è stato impostato, non richiede all'utente una password, ma la prende dai moduli dello stack precedenti (solo per uno stack di moduli di tipo password);

not_set_pass - non imposta la password da questo modulo come password per i moduli successivi;

Shadow: supporta il sistema di password shadow;

Unix: inserisci le password nel file /etc/passwd;

Md5 - usa le password md5 per la prossima modifica della password;

Bigcrypt: usa le password DECC2 la prossima volta che cambi le password;

Nodelay: disabilita un secondo di ritardo in caso di autorizzazione non riuscita.

Il modulo pam_rhosts_auth.so consente/nega l'uso di file .rhosts o hosts.equiv. Inoltre, consente/nega anche l'uso di voci "pericolose" in questi file. I parametri di questo modulo sono i seguenti:

No_hosts_equiv - ignora il file /etc/hosts.equiv;

No_rhosts - ignora il file /etc/rhosts o ~/.rhosts;

Debug - registra le informazioni di debug;

Nowarn - non visualizza avvisi;

Sopprimi - non visualizza alcun messaggio;

Promiscua: consente di utilizzare il carattere jolly "+" in qualsiasi campo.

Il modulo pam_rootok.so restituisce un valore SUCCESS per qualsiasi utente con un ID nullo. Se contrassegnato con il flag di sufficiente, questo modulo consente l'accesso al servizio senza specificare una password. Il modulo ha un solo parametro: debug.

Il modulo pam_securetty.so può essere utilizzato solo contro superuser. Questo modulo funziona con il file /etc/securetty, consentendo al superutente di accedere solo tramite i terminali elencati in questo file. Se si desidera consentire l'accesso come root tramite telnet (pseudo terminale ttyp), è necessario aggiungere righe per ttyp0-255 a questo file o commentare la chiamata a pam_securetty.so nel file per il servizio di accesso.

Il modulo pam_shells.so restituisce SUCCESS se la shell utente specificata nel file /etc/passwd è elencata nel file /etc/shells. Se il file /etc/passwd non assegna alcuna shell all'utente, viene avviato /bin/sh. Se il file /etc/passwd specifica una shell per un utente che non è elencato in /etc/shells, il modulo restituisce FAILURE. Solo il superutente dovrebbe essere autorizzato a scrivere nel file /etc/shells.

Il modulo pam_stress.so viene utilizzato per gestire le password. Ha molti parametri, incluso il debug invariato, ma nel caso generale solo due di tutti i parametri interessano:

Rootok: consente al superutente di modificare le password degli utenti senza inserire la vecchia password;

Scaduto - Con questa opzione, il modulo viene eseguito come se la password dell'utente fosse già scaduta.

Altre opzioni del modulo consentono di disabilitare una di queste due modalità, utilizzare una password da un altro modulo o passare una password a un altro modulo, ecc. Non tratterò tutte le opzioni del modulo qui, quindi se è necessario utilizzare le funzioni speciali di questo modulo, leggere la loro descrizione nella documentazione del modulo.

Il WSWS non utilizza il modulo pam_tally.so nei file da /etc/pam.d per impostazione predefinita. Questo modulo conta i tentativi di autorizzazione. Ad autorizzazione andata a buon fine è possibile azzerare il contatore del numero di tentativi. Se il numero di tentativi di connessione non riusciti supera una determinata soglia, l'accesso può essere negato. Per impostazione predefinita, le informazioni sui tentativi vengono inserite nel file /var/log/faillog. Le opzioni globali sono:

Onerr= - cosa fare se si verifica un errore, ad esempio, non è stato possibile aprire il file;

File=/full/path/and/file_name - se assente, viene utilizzato il file predefinito. Il parametro seguente ha senso solo per il tipo di autenticazione:

No_magic_root - attiva il conteggio del numero di tentativi per il superutente (l'impostazione predefinita non viene eseguita). Utile se è consentito il login root tramite telnet. Le seguenti opzioni hanno senso solo per il tipo di account:

Deny=n - nega l'accesso dopo n tentativi. Quando si utilizza questa opzione, il comportamento predefinito del modulo reset/no_reset viene modificato da no_reset a reset. Ciò accade per tutti gli utenti tranne l'utente root (UID 0) a meno che non venga utilizzata l'opzione no_magic_root;

No_magic_root - Non ignorare l'opzione di negazione per i tentativi di accesso effettuati dall'utente root. Se usato insieme all'opzionenega= (vedi prima), il comportamento predefinito per l'utente root è impostato su reset, come per tutti gli altri utenti;

Even_deny_root_account: consente di bloccare l'account superutente se è presente l'opzione no_magic_root. Questo produce un avviso. Se l'opzione no_magic_root non viene utilizzata, indipendentemente dal numero di tentativi falliti, l'account superutente, a differenza dei normali account utente, non verrà mai bloccato;

Reset - azzera il contatore del numero di tentativi in ​​caso di login riuscito;

No_reset - non azzera il contatore del numero di tentativi in ​​caso di login riuscito; utilizzato per impostazione predefinita a meno che non sia specificatonega=.

Il modulo pam_time.so consente di limitare l'accesso a un servizio in base al tempo. Tutte le istruzioni per configurarlo sono disponibili nel file /etc/security/time.conf. Non ha parametri: tutto è impostato nel file di configurazione.

Il modulo pam_unix gestisce la normale autorizzazione WSWS (di solito viene utilizzato invece pam_pwdb.so). Fisicamente, questo modulo è composto da quattro moduli, ognuno dei quali corrisponde a uno dei tipi PAM: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so e pam_unix_passwd.so. I moduli per i tipi account e auth non hanno parametri. Il modulo ha un solo parametro per il tipo passwd: strict=false. Se è presente, il modulo non controlla le password per la resistenza al crack, consentendo l'uso di password arbitrarie, comprese quelle non sicure (facilmente indovinate o di forza bruta). Il modulo per il tipo di sessione comprende due parametri: debug e traccia. Le informazioni di debug dell'opzione di debug vengono inserite nel file di registro delle informazioni di debug come specificato in syslog.conf e le informazioni sull'opzione di traccia, a causa della loro sensibilità, vengono inserite nel registro authpriv.

Il modulo pam_warn.so registra un messaggio sulla sua chiamata a syslog. Non ha parametri.

Il modulo pam_wheel.so consente solo ai membri del gruppo ruota di diventare superutente. Il gruppo ruota è un gruppo di sistema speciale i cui membri hanno più privilegi degli utenti ordinari, ma meno del superutente. La sua presenza consente di ridurre il numero di utenti del sistema con privilegi di superutente, rendendoli membri del gruppo ruota e aumentando così la sicurezza del sistema. Se il superutente può accedere solo tramite un terminale, allora questo modulo può essere utilizzato per rendere impossibile agli utenti telnet con privilegi di superutente, negando loro l'accesso a meno che non appartengano al gruppo di ruote.Il modulo utilizza i seguenti parametri:

Debug: registrazione delle informazioni di debug;

Use_uid: determina la proprietà in base all'ID corrente dell'utente, non a ciò che è stato assegnato all'utente al momento dell'accesso.

Trust - se l'utente appartiene al gruppo di ruote, restituisce SUCCESS invece di IGNORE;

Nega - inverte il significato della procedura (restituire UNSUCCESSFUL). In combinazione con group= , consente di negare l'accesso ai membri di questo gruppo.

NOTA -

La directory /etc/security è correlata alla directory /etc/pam.d perché contiene i file di configurazione per i vari moduli PAM chiamati nei file /etc/pam.d.

Voci RAM nei file di registro

Elenco 1.9. Contenuto di /var/log/secure

11 gennaio 16:45:14 chiriqui PAM_pwdb: (su) sessione aperta per utente root

11 gennaio 16:45:25 chiriqui PAM_pwdb: (su) sessione chiusa per utente root

11 gennaio 17:18:06 accesso chiriqui: ACCESSO NON RIUSCITO 1 DA (null) PER david,

Autenticazione fallita

11 gennaio 17:18:13 chiriqui login: FAILED LOGIN 2 FROM (null) FOR david.

Autenticazione fallita

11 gennaio 17:18:06 accesso chiriqui: ACCESSO NON RIUSCITO 1 DA (null) PER david.

Autenticazione fallita

Jan 11 17:18:13 chiriqui login: FAILED LOGIN 2 FROM (null) FOR david,

Autenticazione fallita

11 gennaio 17:18:17 chiriqui PAM_pwdb: sessione (accesso) aperta per l'utente david

11 gennaio 17:18:17 chiriqui -- david: ACCEDI SU ttyl BY david

11 gennaio 17:18:20 chiriqui PAM_pwdb: (accesso) sessione chiusa per l'utente david

Ogni voce inizia con una data, un'ora e un nome host. Questo è seguito dal nome del modulo PAM e dall'ID del processo, racchiuso tra parentesi quadre. Quindi, tra parentesi, viene il nome del servizio riservato. Per il Listato 1.9, questo è su o login. Il nome del servizio è seguito da "sessionopened" (la sessione è aperta) o "sessionclosed" (la sessione è chiusa).

La voce immediatamente successiva alla voce "sessionopened" è un messaggio di accesso che ti dice chi ha effettuato l'accesso e da dove.

Si stanno prendendo in considerazione le seguenti domande:

Qual è il gruppo utenti predefinito e i gruppi utenti privati;

Cambia utente/gruppo;

In che modo la modifica dell'utente/gruppo influisce sulla GUI;

Sicurezza e utenti;

Sicurezza e password;

Protezione della password;

Scegliere una buona password;

Violazione della password.

Gruppo predefinito

Attualmente non esiste più una restrizione per un utente che appartiene a un solo gruppo alla volta. Ogni utente può appartenere a più gruppi contemporaneamente. Con il comando newgrp, l'utente diventa un membro del gruppo specificato nel comando e questo gruppo diventa per questo utente gruppo di accesso(gruppo di accesso). In questo caso, l'utente rimane un membro dei gruppi di cui era membro prima dell'esecuzione del comando newgrp. Il gruppo di accesso è il gruppo che diventa il proprietario del gruppo dei file creati dall'utente.

La differenza tra il gruppo predefinito e i gruppi di utenti privati ​​è il grado di apertura dei due schemi. Nel caso di uno schema con un gruppo predefinito, qualsiasi utente può leggere (e spesso modificare) i file di un altro utente. Con i gruppi privati, invece, la lettura o la scrittura di un file creato da un altro utente è possibile solo se il suo titolare ha espressamente concesso ad altri utenti i diritti per queste operazioni.

Se si desidera che gli utenti possano unirsi e lasciare un gruppo senza l'intervento di un amministratore di sistema, è possibile assegnare una password a quel gruppo. Un utente può utilizzare i privilegi di un determinato gruppo solo se appartiene ad esso. Ci sono due opzioni qui: o appartiene al gruppo dal momento in cui effettua l'accesso, o diventa un membro del gruppo in seguito, dopo aver iniziato a lavorare con il sistema. Affinché un utente si unisca a un gruppo a cui non appartiene, a quel gruppo deve essere assegnata una password.

Per impostazione predefinita, WSWS non utilizza le password di gruppo, quindi non è presente alcun file gshadow nella directory /etc.

Se si utilizza costantemente solo uno dei programmi - useradd, LISA o COAS - per eseguire attività di amministrazione utente di routine, i file delle impostazioni utente sono più coerenti e più facili da mantenere.

Il vantaggio dello schema di gruppo predefinito è che semplifica la condivisione dei file perché non devi preoccuparti delle autorizzazioni dei file quando lo usi. Questo schema implica un approccio aperto al sistema sul principio di "tutto ciò che non è proibito è consentito".

L'impostazione delle impostazioni predefinite dell'utente è un'attività ad alta priorità che deve essere completata non appena si installa il sistema.

Gruppi di utenti privati

I gruppi utenti privati ​​hanno gli stessi nomi dei nomi utente. Il gruppo privato diventa il gruppo di accesso, quindi per impostazione predefinita, a meno che gli attributi della directory non richiedano diversamente, viene assegnato come gruppo che possiede tutti i file dell'utente.

Il vantaggio dei gruppi privati ​​di un utente è che gli utenti non devono pensare a limitare l'accesso ai propri file: per impostazione predefinita, l'accesso ai file utente sarà limitato dal momento in cui vengono creati. In WSWS, quando si utilizzano gruppi privati, un utente può solo leggere o modificare file che gli appartengono. Inoltre, può creare file solo nella sua home directory. Questo comportamento predefinito può essere modificato dall'amministratore di sistema o dall'utente, sia a livello di singolo file che a livello di directory.

Esistono diversi comandi con i quali l'utente può controllare il proprio nome e/o il gruppo a cui appartiene, oppure il nome o il gruppo sotto il quale è in esecuzione il programma. Uno di questi programmi è newgrp.

Il comando newgrp può essere eseguito da qualsiasi utente. Gli permette di entrare a far parte di un gruppo a cui non apparteneva, ma solo se a quel gruppo è stata assegnata una password. Questo comando non ti consentirà di unirti a un gruppo senza una password se non sei un membro di quel gruppo.

Il comando newgrp può essere utilizzato su un gruppo di cui l'utente è già membro. In questo caso, newgrp rende il gruppo specificato il gruppo di accesso. I gruppi di un utente sono divisi in due tipi: il gruppo di accesso e tutti gli altri gruppi a cui appartiene l'utente. Un utente può appartenere a più di un gruppo, ma il gruppo che possiede i file creati dall'utente sarà sempre il gruppo di accesso dell'utente.

Oltre a newgrp, puoi anche usare i comandi chown e chgrp per controllare a quale utente o gruppo appartiene un file.

Lo scopo del comando newgrp nell'ambiente XWindow è limitato al programma xterm in cui è stato eseguito: solo i programmi avviati tramite questo terminale verranno eseguiti nel contesto del nuovo gruppo, il che significa che l'utente non può usarlo per modificare il gruppo di accesso per i programmi avviati tramite il window manager. Un programma che deve essere sempre eseguito nel contesto di un gruppo secondario può essere eseguito tramite uno script che lo imposta sul gruppo di accesso richiesto.

Il sistema XWindow introduce sempre ulteriori difficoltà nella vita degli utenti. In questo caso, queste difficoltà non sono direttamente correlate a X, ma derivano dalla logica di /etc/groups e /etc/gshadow. Coloro che non usano password shadow per i gruppi non hanno molto di cui preoccuparsi. Nel caso di X, non è possibile configurare un gruppo protetto da password da un semplice script, ma per i gruppi secondari di utenti che non richiedono una password, la modifica del gruppo è estremamente semplice. Sarà sufficiente il seguente script:

sg - gif -c /usr/X11R6/bin/xv &

Questo script avvierà il programma xv con le gif di gruppo come gruppo principale. Che è quello che devi ottenere.

È più difficile per coloro che utilizzano le password del gruppo ombra, perché in questo caso, durante l'esecuzione di questo script, verrà visualizzato un messaggio di errore sullo schermo. Quando il file /etc/groups elenca gli utenti che appartengono a un gruppo, ognuno di loro viene automaticamente considerato un membro del gruppo subito dopo il login. Tuttavia, nel caso di password shadow, l'elenco degli utenti del gruppo è stato spostato nel file /etc/gshadow, in modo che l'utente che effettua il login non venga automaticamente iscritto come membro del gruppo, ma possa associarsi con il newgrp comandare o eseguire qualsiasi programma per suo conto con il comando sg. Il problema è che, dal punto di vista di X, questo utente (che non è necessariamente l'utente che ha avviato la sessione di lavoro di X) non ha il diritto di stabilire una connessione. Pertanto, per i gruppi che non sono protetti da password, lo script precedente viene modificato come segue:

xhost + host locale

sg - gif -c /usr/X11R6/bin/xv &

La riga aggiunta consente a un nuovo gruppo (gif) di accedere allo schermo. Per la maggior parte delle workstation, ciò non dovrebbe causare grossi problemi di sicurezza, poiché questa riga consente l'accesso allo schermo solo agli utenti sull'host locale (fare riferimento a una buona guida dell'amministratore di sistema Linux per ulteriori informazioni su X e xhost).

NOTA

L'uso del server X (in particolare in combinazione con xdm o kdm) comporta una serie di sottigliezze, ulteriormente esacerbate dalle applicazioni grafiche, poiché possono essere avviate non solo dalla riga di comando, ma anche da un'icona sul desktop grafico.

Cambio utente

NOTA

Un utente normale non può fare tanti danni al sistema come può fare un superutente negligente. Le conseguenze del tuo errore di battitura come superutente possono essere abbastanza fatali, al punto che tutti i tuoi file di sistema (e anche tutti i file archiviati nel sistema) possono essere salutati. Alcune aziende potrebbero quindi dire addio anche a te.

Il comando su trasforma un utente in un altro. La squadra ha preso il nome da « sostituto utente » (sostituzione utente), ma poiché è più comunemente usato per diventare il superutente..

Il comando su, chiamato senza argomenti, richiederà all'utente una password, dopodiché (ricevendo la password corretta in risposta) farà di te l'utente root. Questo comando è un servizio limitato, quindi tutti gli aspetti della sua sicurezza possono essere configurati tramite il file /etc/pam.d/su.

NOTA -

Chiamare su senza specificare un nome utente (con o senza trattino) viene trattato come un'istruzione per renderti l'utente root.

Questo comando sudo consente agli utenti selezionati di eseguire alcuni programmi come root e all'utente che accede a questo comando non viene richiesta la password di root, ma la propria password. Usato da sudo come il comando sg. L'utente digita sudo command_to_execute, quindi la sua password e, se gli è consentito, il comando specificato viene eseguito nel contesto dei privilegi di superutente.

Sicurezza e Utenti

Gli utenti di solito sono interessati solo a come accedere ed eseguire i programmi di cui hanno bisogno. Il loro interesse per la sicurezza appare solo dopo la perdita di file importanti. Ma non dura a lungo. Dopo aver appreso che vengono prese delle misure, gli utenti dimenticano rapidamente qualsiasi precauzione.

In generale, non è una loro preoccupazione: la sicurezza. L'amministratore di sistema deve ideare, implementare e mantenere una politica di sicurezza che consenta agli utenti di svolgere il proprio lavoro senza essere distratti da problemi di sicurezza che esulano dal loro ambito.

Il principale pericolo per il sistema, di regola, viene dall'interno, non dall'esterno. La sua fonte (soprattutto nei sistemi di grandi dimensioni) può essere, ad esempio, un utente arrabbiato. Tuttavia, un sospetto eccessivo dovrebbe essere evitato quando il danno causato dall'ignoranza viene scambiato per intento dannoso. Nella prima parte del libro viene descritto come proteggere gli utenti da danni involontari ai propri file ea quelli di altre persone. Come mostra la pratica, l'utente medio non è in grado di danneggiare il sistema. Devi preoccuparti solo di quegli utenti che sono in grado di trovare una scappatoia nei meccanismi di protezione e sono davvero in grado di causare danni mirati al sistema. Ma di solito tali utenti sono pochi e con il tempo si fanno conoscere, soprattutto se sai cosa cercare. Il gruppo di rischio comprende gli utenti che, in virtù della loro posizione o grazie alle loro connessioni, possono accedere a livello di privilegio root. Man mano che imparerai il materiale in questo libro, imparerai cosa cercare come segni di problemi imminenti.

Per impostazione predefinita, gli utenti hanno il pieno controllo delle loro home directory. Se si utilizza il gruppo predefinito, tutti gli utenti del sistema appartengono allo stesso gruppo. Ogni utente ha il diritto di accedere alle home directory di altri utenti e ai file che vi si trovano. Quando si utilizza lo schema con gruppi di utenti privati, qualsiasi utente del sistema ha accesso solo alla propria home directory e le home directory di altri utenti non sono disponibili per lui.

Se si desidera condividere un insieme di file comuni con tutti gli utenti del sistema, si consiglia di creare una directory condivisa da qualche parte appositamente per questo scopo, creare un gruppo di cui tutti gli utenti sarebbero membri (questo può essere il gruppo utenti o qualsiasi altro gruppo che hai creato) e concedi a questo gruppo i diritti di accesso appropriati a questa directory condivisa. Se un utente desidera rendere alcuni dei suoi file disponibili ad altri utenti, può semplicemente copiarli in questa directory e assicurarsi che questi file appartengano allo stesso gruppo di cui tutti gli utenti sono membri.

Alcuni utenti devono utilizzare o semplicemente non possono fare a meno di programmi che non sono inclusi con WSWS. La maggior parte degli utenti finisce per avere molti dei propri file nel tempo: documenti, file di configurazione, script e così via Il sistema OpenLinux non fornisce agli utenti molto aiuto nell'organizzazione dei propri file, lasciando questo compito all'amministratore di sistema.

La struttura della directory creata nella directory home di ogni nuovo utente è determinata dal contenuto della directory /etc/skel. Un tipico /etc/skel di solito contiene le seguenti directory:

Queste directory vengono utilizzate per archiviare (rispettivamente) file binari, file di origine, file di documenti e altri file vari. Molti programmi offrono per impostazione predefinita il salvataggio di determinati tipi di file in una di queste sottodirectory. Una volta che gli utenti ottengono una spiegazione dello scopo dei cataloghi che hanno a loro disposizione, gli utenti sono generalmente disposti a usarli, poiché ciò evita loro di dover inventare qualcosa di proprio. Ricorda solo di rendere la directory ~/bin una delle ultime directory elencate nella variabile PATH degli utenti.

Sicurezza e password

Dicono che dove è sottile, si rompe lì - questo detto è spesso ricordato quando si tratta dell'importanza delle password in un sistema di sicurezza. In generale, la forza di un sistema di sicurezza è determinata da molti fattori, come i servizi che il sistema WSWS mette a disposizione di utenti esterni (se viene utilizzato come server web, se può essere loggato tramite telnet, ecc.). Un altro fattore determinante sono le password degli utenti, che ci portano a un altro fattore: la conformità dell'utente alle politiche di sicurezza. Un semplice utente non vuole sapere nulla di sicurezza. Se rispettiamo l'utente e non vogliamo modificare il suo atteggiamento nei confronti della sicurezza con metodi energici, dovremmo rendere il sistema di sicurezza conveniente e comprensibile per lui. Il comfort è la cosa più difficile da fare. Tutto ciò che è sicuro di solito non è molto conveniente (perché dietro alla comodità ci sono prevedibilità ed elementarietà che sono incompatibili con la sicurezza) e quindi entra in conflitto con i comportamenti abituali di chi preferisce la via più comoda a tutte le vie possibili. Dopotutto, gli utenti lavorano con il sistema per completare il lavoro loro assegnato e non per aggiungerne di nuovi a se stessi. Per evitare che gli utenti prendano deliberatamente il percorso di minor resistenza quando si tratta di password, di solito cerco di spiegare loro a cosa servono le password e perché è importante mantenerle al sicuro. È importante non da una posizione generica come "un sistema con bassa sicurezza può essere violato e rubare o danneggiare file importanti", ma dal punto di vista degli interessi personali dell'utente.

La maggior parte degli utenti comprende l'importanza della posta elettronica per il proprio lavoro. Tuttavia, ciò di cui non si rendono conto è che chiunque acceda a loro nome ha la possibilità di utilizzare la propria posta elettronica per proprio conto contro di loro. Chiedi all'utente se utilizza la posta elettronica per scopi personali. Molto probabilmente, risponderà di sì. Quindi chiedigli se ha mai dovuto affrontare importanti questioni di affari tramite e-mail. Ci sono sempre meno persone che rispondono "no" ogni giorno. Ma anche se la risposta è no, alcuni soci in affari potrebbero considerare una transazione di posta elettronica vincolante quanto una transazione telefonica.

Quindi spiega all'utente che le sue e-mail a volte sono importanti quanto la sua firma personale. Sebbene sia possibile modificare l'intestazione di un'e-mail, nella maggior parte dei casi tale modifica è illegale quanto la falsificazione di una firma. Ma se qualcuno, avendo in qualche modo appreso la password di un altro utente, entra nel sistema sotto il suo nome, allora, in senso figurato, sarà in grado di firmare con la firma di un'altra persona. Qualsiasi posta da lui inviata sarà tecnicamente indistinguibile dalla posta inviata dall'utente stesso. La pratica di consentire a qualcuno di accedere con un nome diverso è indesiderabile e dovrebbe essere evitata (ad eccezione degli amministratori di sistema che utilizzano questa capacità per testare gli script di accesso e le impostazioni dell'utente, ma non hanno bisogno di conoscere la password dell'utente per farlo) . I fenomeni indesiderati includono l'accesso sotto falso nome (anche con il permesso di un altro utente). Quanto è indesiderabile? La risposta a questa domanda è determinata dalla severità della politica di sicurezza aziendale.

Tuttavia, gli utenti devono essere consapevoli che esistono altri modi altrettanto pericolosi per ottenere l'accesso non autorizzato al proprio account. Il caso più comune è quando l'utente, temendo di dimenticare la password, la rende facile da ricordare, e quindi indovinare, oppure annota la password su un pezzo di carta, che spesso viene semplicemente attaccato al monitor. Il sistema di sicurezza delle password si basa su due elementi: un nome utente permanente e una password che cambia periodicamente. La maggior parte delle persone non comunica a nessuno il PIN del proprio conto bancario, ma non protegge altrettanto la password dell'utente. Anche se a differenza della situazione con un conto bancario, dove la parte permanente, ovvero la carta di credito, è un oggetto fisico a cui non è stato ancora effettuato l'accesso, la parte permanente del sistema di sicurezza della password, ovvero il nome utente, è nota a tutti (almeno tutti all'interno dell'azienda e coloro con i quali questo utente ha avuto una corrispondenza via e-mail). Pertanto, se la parte variabile è trascritta da qualche parte o è facilmente intuibile o rilevata da un programma che seleziona le parole da un dizionario, un tale account non può essere considerato ben protetto.

Infine, gli utenti dovrebbero essere consapevoli dell'esistenza di un tale metodo per ottenere una password come "ingegneria sociale" (ingegneria sociale). La maggior parte di noi ha incontrato almeno una persona nella nostra vita che può essere descritta come "scivolosa da morire". Queste persone hanno la capacità di convincere altre persone, ricorrendo a un argomento logicamente costruito, a fornire le informazioni di cui hanno bisogno. Ma questo non è l'unico modo possibile per scoprire la password di qualcun altro. A volte basta solo guardare.

La contromisura contro tali incidenti è la regolare modifica della password. Ovviamente puoi cambiare la password ogni dieci anni, ma è meglio non allungare troppo gli intervalli tra le modifiche, così come è meglio non renderli troppo brevi, ad esempio una volta ogni ora. Non modificare la password per troppo tempo significa esporsi al rischio di essere hackerato.

NOTA-

La penetrazione di un estraneo nel sistema sotto le spoglie di un utente normale può avere conseguenze spiacevoli non solo per i file di questo utente, ma per l'intero sistema nel suo insieme, perché più questo estraneo conosce il tuo sistema, più è facile starà a lui trovare dei buchi nella sua protezione.

Si noti che lo script esegue alcuni controlli prima di iniziare l'esecuzione: è in esecuzione a livello di privilegio di root, l'UID iniziale è già preso, ecc. Tuttavia, non si può dire che controlli tutto.

Violazione della password

Un modo per testare la sicurezza di un sistema è mettersi nei panni di un utente malintenzionato e provare a pensare e ad agire come farebbe una persona che tenta di violare la sicurezza. Questo significa camminare tra gli utenti, cercare di vedere se una password scritta è attaccata a qualche monitor, se qualcuno ha lasciato un pezzo di carta con i dati identificativi scritti su di esso sul tavolo, o "passare vicino" proprio all'ora mattutina in cui gli utenti si connettono in (potresti essere in grado di individuarne uno digitando la password sulla tastiera).

Significa anche prestare attenzione all'orientamento del monitor di un utente che accede a informazioni riservate per vedere se sono visibili a qualcun altro. Inoltre, quando questi utenti lasciano la propria scrivania, avviano uno screensaver protetto da password, si disconnettono o non fanno nulla?

Tuttavia, il modo migliore per testare la forza del sistema di sicurezza delle password e l'atteggiamento degli utenti nei suoi confronti è provare a decifrare le password degli utenti. L'esecuzione regolare di un programma di cracking delle password può darti una stima abbastanza buona della forza del tuo sistema di protezione della password.

L'Armed Forces Mobile System (MSMS) è un sistema operativo (OS) sicuro, multiutente, multitasking, multiuso e time-sharing, sviluppato sulla base del sistema operativo Red Hat Linux. Il sistema operativo fornisce priorità a più livelli con multitasking preventivo, organizzazione della memoria virtuale e supporto di rete completo; funziona con configurazioni multiprocessore (SMP - symmetrical multiprocessing) e cluster su piattaforme Intel, IBM S390, MIPS (complessi serie Baguet prodotti da Korund-M) e SPARC (Elbrus-90micro). Funzionalità OS WSVS 3.0 - protezione integrata contro l'accesso non autorizzato che soddisfa i requisiti del documento guida della Commissione tecnica statale sotto il presidente della Federazione Russa per la classe 2 delle apparecchiature informatiche. Gli strumenti di sicurezza includono il controllo dell'accesso obbligatorio, gli elenchi di controllo dell'accesso, il modello di ruolo e gli strumenti di controllo avanzati (registrazione degli eventi). Il sistema operativo MSVS è progettato per creare sistemi automatizzati sicuri stazionari. Lo sviluppatore di WSVS è l'Istituto di ricerca russo per l'automazione del controllo nella sfera non industriale che prende il nome da V.I. V. V. Solomatina (VNIINS). Accettato per la fornitura alle Forze Armate RF nel 2002.

Il file system OS WSVS 3.0 supporta nomi di file lunghi fino a 256 caratteri con la possibilità di creare nomi di file e directory in lingua russa, collegamenti simbolici, un sistema di quote ed elenchi di diritti di accesso. È possibile montare file system FAT e NTFS, nonché ISO-9660 (CD). Il meccanismo delle quote consente di controllare l'utilizzo dello spazio su disco da parte degli utenti, il numero di processi avviati e la quantità di memoria allocata a ciascun processo. Il sistema può essere configurato per emettere avvisi quando le risorse richieste dall'utente si avvicinano alla quota specificata.

Il sistema operativo WSWS 3.0 include un sistema grafico basato su X Window. Per lavorare in ambiente grafico vengono forniti due gestori di finestre: IceWM e KDE. La maggior parte dei programmi nel sistema operativo WSWS sono progettati per funzionare in un ambiente grafico, che crea condizioni favorevoli non solo per il lavoro degli utenti, ma anche per il loro passaggio da Windows a WSWS.

Il sistema operativo WSVS 3.0 viene fornito in una configurazione che, oltre al programma di controllo principale (kernel), include una serie di prodotti software aggiuntivi. Il SO stesso viene utilizzato come elemento base nell'organizzazione di postazioni automatizzate (AWP) e nella costruzione di sistemi automatizzati. Il software aggiuntivo (software) può essere installato a scelta, ed è focalizzato sulla massima automazione della gestione e amministrazione del dominio, che consente di ridurre i costi di manutenzione delle workstation e di concentrarsi sul completamento del loro compito target da parte degli utenti. Il programma di installazione consente di installare il sistema operativo da un CD avviabile o tramite la rete tramite FTP. Di solito, il server di installazione viene installato e configurato prima dai dischi, quindi il resto dei computer viene installato sulla rete. Il server di installazione nel dominio in esecuzione esegue l'attività di aggiornamento e ripristino del software sulle workstation. La nuova versione viene caricata solo sul server e poi il software viene aggiornato automaticamente sulle postazioni. Se il software è danneggiato sulle workstation (ad esempio, quando il file di programma viene eliminato o i checksum dei file eseguibili o di configurazione non corrispondono), il software corrispondente viene reinstallato automaticamente.

Durante l'installazione, all'amministratore viene richiesto di selezionare uno dei tipi di installazione standard o un'installazione personalizzata. I tipi standard vengono utilizzati durante l'installazione su workstation standard e coprono le principali opzioni tipiche per l'organizzazione di postazioni di lavoro basate su OS WSWS 3.0. Ciascun tipo standard definisce un insieme di prodotti software installati, una configurazione del disco, un insieme di file system e una serie di impostazioni di sistema. L'installazione personalizzata consente di impostare in modo esplicito tutte le caratteristiche specificate del sistema finale fino alla selezione dei singoli pacchetti software. Se si sceglie un'installazione personalizzata, è possibile installare WSWS 3.0 su un computer su cui è già installato un altro sistema operativo (ad esempio, Windows NT).

Il sistema operativo WSWS 3.0 include un sistema di documentazione unificato (ESD) con informazioni su vari aspetti del funzionamento del sistema. L'ESD è costituito da un server di documentazione e da un database contenente testi descrittivi a cui è possibile accedere tramite browser. Quando si installa un software aggiuntivo, le sezioni di riferimento corrispondenti vengono installate nel database ESD. ESD può essere ospitato localmente in ogni luogo di lavoro, oppure uno speciale server di documentazione può essere allocato nel dominio del sistema operativo WSWS. Quest'ultima opzione è utile nei domini del sistema operativo WSWS di grandi dimensioni per risparmiare spazio su disco totale, semplificare il processo di gestione e aggiornare la documentazione. L'accesso alla documentazione da altre workstation è possibile tramite il browser Web fornito con OS WSWS 3.0.

Il sistema operativo MSVS 3.0 è russificato sia in modalità alfanumerica che grafica. Sono supportati terminali virtuali, il passaggio da uno all'altro viene effettuato utilizzando una combinazione di tasti.

Un momento chiave in termini di integrità del sistema è l'operazione di registrazione di nuovi utenti del sistema operativo WSWS, quando vengono determinati gli attributi dell'utente, inclusi gli attributi di sicurezza, in base al quale il sistema di controllo degli accessi controllerà ulteriormente il lavoro dell'utente. La base del modello di mandato sono le informazioni immesse al momento della registrazione di un nuovo utente.

Per implementare il controllo di accesso discrezionale, vengono utilizzati i tradizionali meccanismi Unix di bit di controllo di accesso e liste di controllo di accesso (ACL). Entrambi i meccanismi sono implementati a livello di file system del sistema operativo WSWS 3.0 e servono per impostare i diritti di accesso agli oggetti del file system. I bit consentono di definire i diritti per tre categorie di utenti (proprietario, gruppo, altri), tuttavia, questo non è un meccanismo sufficientemente flessibile e viene utilizzato quando si impostano i diritti per la maggior parte dei file del sistema operativo che vengono utilizzati allo stesso modo dalla parte principale di utenti. Con l'ausilio delle ACL è possibile impostare i diritti a livello di singoli utenti e/o gruppi di utenti, ottenendo così un significativo livello di dettaglio nell'impostazione dei diritti. Gli elenchi vengono utilizzati quando si lavora con file che richiedono, ad esempio, di impostare diritti di accesso diversi per diversi utenti specifici.

Specifiche OS WSWS 3.0:

Installazione del sistema operativo WSWS 3.0

Durante la lezione pratica verrà preso in considerazione il processo di installazione del sistema operativo WSWS su un PC o un server di rete di computer. Il processo di installazione del sistema operativo WSWS 3.0 consiste nei seguenti passaggi:

1. Caricamento di un PC o di un server di rete di computer da un supporto di memorizzazione che contiene un kit di distribuzione con OS WSWS 3.0. Al termine del processo di avvio, sullo schermo verrà visualizzata l'immagine mostrata in Fig. 1. 2.1. Per continuare, premere il tasto<Ввод> ().

Figura 2.1. Schermata di avvio della procedura guidata di installazione del sistema operativo WSWS 3.0.

1. Viene eseguita l'inizializzazione del kernel del sistema operativo WSWS e il rilevamento dell'hardware, dopodiché l'immagine mostrata in Fig. 1 viene visualizzata sullo schermo. 2.2. Per continuare, premere il pulsante<Готово>.

Figura 2.2. Schermata dei dispositivi rilevati.

1. Lo schermo visualizza il "Saluto", mostrato in Fig. 2.3. Per continuare, premere il pulsante<Да>.

Figura 2.3. Schermata di benvenuto.

1. Selezione del modello di mouse collegato al computer (Fig. 2.4). A causa del fatto che il manipolatore "mouse" non verrà utilizzato in ulteriori lavori, è necessario selezionare la voce "Nessun mouse" e premere il pulsante<Да>.

Figura 2.4. Seleziona il modello di mouse collegato al computer.

1. Il partizionamento di un disco rigido è uno dei momenti più cruciali durante l'installazione del sistema operativo WSWS. Non perché il partizionamento del disco rigido sia così complicato, ma perché gli errori commessi durante esso possono essere corretti solo con grande difficoltà e questo processo può essere irto di perdita di dati.