ome/directory, otobrazhaet informaciyu otnositel'no opredelennoj direktorii.
Bity ustanovki UID, ustanovki GID, i sticky ("lipkie") bity opisany dalee.
Userid vladel'ca pokazyvaetsya vsemi dlinnymi formami komandy li.
Ne zabyvajte, chto vladelec fajla (ili direktorii) mozhet izmenyat' lyuboj iz atributov fajla za isklyucheniem imen gruppy i vladel'ca. Ih mozhet izmenyat' tol'ko root.
Inode soderzhit UID i GID vladel'ca, ne imena. Esli UID (ili GID) bol'she ne zaregistrirovan v fajlah /etc/passwd (ili /etc/group), vmesto imeni otobrazhaetsya nomer (UID ili GID).
UNIX ispol'zuet 12 bitov dostupa. Iz nih, devyat' - bazisnye r/w/x razresheniya dlya vladel'ca/gruppy/ostal'nyh. Tri ostayushchihsya bita neskol'ko bolee slozhny. |to:
1. Bit ustanovki UID (ili suid);
2. Bit ustanovki GID (ili sgid);
3. Sticky (ili "lipkij") bit (bit svtx).
|ti bity kritichny dlya sredstv upravleniya zashchity, i ispol'zuyutsya dlya izmeneniya obychnyh razreshenij "rwxrwxrwx". Dlya celej prosmotra, eti bity izmenyayut tri bita "x" v obychnom prosmotre.
Suid bit otobrazhaetsya, izmenyaya bit "x" dlya vladel'ca "rwx" na "s", i t.d. Suid bit oznachaet, chto programma vypolnitsya s polnomochiem UID vladel'ca fajla. (Ispolnyaemye fajly obychno vypolnyayutsya s polnomochiyami UID togo pol'zovatelya, kotoryj zaregistrirovalsya v sisteme i imeet prava na vypolnenie dannogo fajla.)
Naprimer:
-r-sr-xr-x 1 root sys 3254 Jun 1 11:30 myprog
Fajl myprog imeet nabor bitov suid. Esli ya (zaregistrirovannyj v sisteme kak pol'zovatel' alex) vypolnyayu myprog, to eta programma vypolnitsya s polnomochiem root. Tak kak root mozhet obhodit' pochti vse sredstva upravleniya zashchity, takoe sredstvo moglo by byt' opasno.
Naprimer, v privedennom primere, myprog mogla by byt' kopiej obolochki (ili chem-to podobnym). Vypolnyaya myprog (s suid root), ya dejstvitel'no stal by root. YA mog by vvodit' lyubuyu komandu sistemy, ispol'zuyushchuyu etu obolochku, i eti vse komandy vypolnyatsya s polnomochiyami root.
Takaya situaciya (obolochka s suid root) yavlyaetsya mechtoj "zloumyshlennikov". Vot pochemu v AIX sdelano tak, chto suid-bit ne mozhet byt' ustanovlen dlya obolochki i ee komandnyh fajlov.
|ti bity ustanovleny s komandoj chmod, ispol'zuya ili simvolicheskie operandy ili vos'merichnyj operand s 4 ciframi.
Suid bit mozhet byt' ustanovlen (ispol'zovanie komandy chmod) tol'ko vladel'cem fajla ili root. On avtomaticheski udalyaetsya pri kopirovanii komandoj cp.
Ne imeetsya nikakoj pryamoj vozmozhnosti dlya obychnogo pol'zovatelya, chtoby sozdat' fajl suid root.
Funkciya suid mozhet ispol'zovat'sya inymi vladel'cami krome root. |to mozhet ispol'zovat'sya, naprimer, dlya togo chtoby garantirovat', chto k fajlu obrashchayutsya tol'ko nekotoroj programmoj.
Naprimer:
-rw------- 1 alex eng 5432 Jun 2 13:45 mydata -r-sr-xr-x 1 alex eng 2345 Jun 1 11:30 myprog
V dannom primere lyubomu pol'zovatelyu razresheno zapuskat' programmu myprog. No tol'ko userid alex mozhet obrashchat'sya k mydata. Tak kak lyuboj mozhet vypolnyat' myprog, i tak kak myprog ispol'zuet suid, chtoby vypolnit'sya kak alex, lyuboj pol'zovatel' mozhet obrashchat'sya k mydata tol'ko, vypolnyaya myprog.
Tipichnaya sistema AIX imeet neskol'ko soten programm suid root. Administrator mnogopol'zovatel'skoj sistemy dolzhen garantirovat', chto lyubye dobavleniya (novye programmy, kotorye suid root) polucheny iz doverennogo istochnika, - doverennye pro-grammy.
V AIX imeyutsya sredstva, kotoryj mozhet pomoch' upravlyat' doverennymi programmami (sm.Trusted Computing Base).
Bit ustanovki GID (sgid) rabotaet tochno tak zhe kak funkciya suid, ispol'zuya tozhdestvo gruppy fajla vmesto tozhdestva vladel'ca. Sgid bit imeet special'noe znachenie, kogda ispol'zuetsya s direktoriej, gde on opredelyaet, kak naznacheno gruppovoe monopol'noe ispol'zovanie dlya novyh fajlov.
AIX ignoriruet suid i sgid bity pri vypolnenii scenariev obolochki. To est' tol'ko kompiliruemye "programmy" ob®ektnogo koda mogut byt' suid k drugomu UID dlya vypolneniya. Nekotorye sistemy UNIX razreshayut scenarii obolochki k suid.
V principe, eto polezno. Prakticheski, eto ochen' opasno i bylo udaleno iz AIX.
Lipkij bit ispol'zuetsya dlya mnogih celej. V bolee rannih sistemah on ispol'zovalsya dlya ukazaniya togo, chto programma dolzhna sohranit'sya v pamyati posle vypolneniya, chtoby uluchshit' effektivnost' sistemy. |ta funkciya ne ispol'zuetsya v sovremennyh sistemah UNIX. Vzamen, ona ispol'zuetsya dlya direktorij, chtoby eshche bolee ogranichit' vozmozhnost' izmenyat' vhody v direktorii.
V normal'noj direktorii (bez lipkogo bita), lyuboj pol'zovatel' s dostupom dlya zapisi mozhet peremeshchat' ili udalyat' fajly v nej. |to - ser'eznyj defekt dlya takih direktorij, kak, naprimer, /tmp, kotoraya yavlyayutsya vseobshche-perezapisyvaemoj. Kogda lipkij bit ustanovlen, tol'ko vladelec fajla mozhet udalit' svoj fajl, dazhe esli direktoriya vseobshche-perezapisyvaemaya. (Konechno, vladelec direktorii i root mozhet takzhe udalyat' fajly iz nee.)
Obratite vnimanie, chto lyubaya informaciya zashchity, effektivnaya v konkretnoj direktorii - ne otnositsya k poddirektoriyam; kazhdaya direktoriya povinuetsya tol'ko sobstvennym bitam dostupa.
Razresheniya (dlya fajlov ili direktorij) ne nakoplyayutsya. Obychno, pole vladel'ca obespechivaet bol'shoe kolichestvo razreshenij chem pole gruppy, i pole gruppy bol'shim kolichestvom razreshenij chem pole dlya ostal'nyh, no eto ne obyazatel'no.
Ili primer:
-r--rw-rwx 1 alex xyz 3210 Jun 3 15:15 mystuff
Fajl mystuff imeet dovol'no neobychnye, no imeyushchie silu, razresheniya. Vladelec (alex) ne mozhet pisat' ili vypolnyat' etot fajl. (On mozhet izmenit' razresheniya, konechno, i dobavit' bol'shee kolichestvo razreshenij dlya sebya, no, v dannyj moment, on ne mozhet pisat' ili vypolnyat' fajl.) A lyuboj chlen gruppy xyz mozhet chitat' ili pisat' fajl. Kto-libo eshche (krome vladel'ca i lyubyh chlenov gruppy xyz) mozhet chitat', pisat', ili vypolnyat' fajl.
Ustanovka razlichnyh razreshenij, naznachennyh vladel'cu, gruppe, ili ostal'nym - mozhet sluzhit' instrumentom ogranicheniya. Vladelec, naprimer, ne rassmatrivaetsya chast'yu "ostal'nyh".
|tot aspekt mozhet ispol'zovat'sya, chtoby isklyuchit' nekotoryh pol'zovatelej ot dostupa k fajlu. Sozdav novuyu gruppu, soderzhashchuyu vseh pol'zovatelej, kotorye budut isklyucheny, gruppovoj vladelec fajla zatem mozhet byt' izmenen na eto novoe imya gruppy. Razresheniya novoj gruppy ustanavlivayutsya v "---". V rezul'tate - nikakoj chlen gruppy ne mozhet obrashchat'sya k fajlu, dazhe esli fajl imeet polnyj dostup dlya vseh ostal'nyh.
Kazhdyj fajl (i direktoriya) imeyut bity razresheniya. Vladelec mozhet izmenit' ih s komandoj chmod. Nachal'nyj, zadannyj po umolchaniyu, nabor razreshenij, kogda fajl sozdan, upravlyaetsya otnosyashchejsya k okruzheniyu peremennoj umask.
Po prichinam, vozvrashchayushchimsya k rannim dnyam UNIX, znachenie umask ispol'zuetsya nechetnym sposobom. To est' zadannye po umolchaniyu razresheniya ustanavlivayutsya, prinimaya razresheniya ("rwxrwxrwx" (ili vos'merichnyj 777) dlya direktorij, ili "rw-rw-rw-" (ili vos'me-richnyj 666) dlya obychnyh fajlov) i udalyaya bity razresheniya, opredelennye v umask (kotoraya vsegda vyrazhaetsya v vos'merichnom formate).
Znachenie po umolchaniyu umask - 022. Sledovatel'no, zadannye po umolchaniyu razresheniya: 666 udalyaya 022 = 644 = rw-r--r-- (dlya fajla) 777 udalyaya 022 = 755 = rwxr-xr-x (dlya direktorii)
Dlya bol'shej bezopasnosti rekomenduetsya vmesto znacheniya 022 ispol'zovat' znacheniya 027 ili 077: 666 udalyaya 027=640=rw-r----- (dlya fajla) 777 udalyaya 027=750=rwxr-x--- (dlya direktorii)
umask - otnosyashchayasya k okruzheniyu peremennaya, kotoraya mozhet byt' izmenena pol'zovatelem s komandoj umask (kotoryj yavlyaetsya komandoj obolochki).
Ne imeetsya nikakogo sposoba predpisat' standartnoe znachenie dlya pol'zovatelej. Razlichnoe znachenie po umolchaniyu mozhet byt' ustanovleno razmeshchaya komandu umask v fajle $HOME/.profile pol'zovatelya. Odnako, pol'zovatel' mozhet izmenit' eto znachenie v lyuboe vremya.
Nachal'noe znachenie umask pol'zovatelya mozhet byt' ustanovleno cherez SMIT. Vy mozhete proveryat' vashe znachenie po umolchaniyu s komandoj umask (bez operanda).
Sistemy UNIX, vklyuchaya AIX, podderzhivayut tri vremennyh shtampa (timestamps) dlya fajlov (vklyuchaya direktorii). Oni mogut byt' vazhny dlya resheniya voprosov zashchity. Timestamps:
1. atime. |to - vremya poslednego obrashcheniya k fajlu. V dejstvitel'nosti, eto - vremya poslednego otkrytiya fajla.
2. ctime. |to - vremya poslednego izmeneniya inode dlya fajla. (|to - ne vremya sozdaniya, esli, konechno, sozdanie fajla ne bylo poslednim sobytiem dlya nego) inode izmenyaetsya, vsegda, kogda izmeneny razresheniya, izmenen vladelec, izmenen razmer fajla (chislo klasterov), i t.d.
3. mtime. |to - vremya poslednego izmeneniya soderzhaniya fajla. |to voobshche oznachaet, chto fajl byl otkryt dlya vyvoda. |to vremya mozhet legko upravlyat'sya root.
Dlinnye formy komandy ls obychno vnosyat v spisok mtime. Flazhok -c mozhet ispol'-ovat'sya, chtoby vzamen vnesti v spisok ctime. Flazhok -u mozhet ispol'zovat'sya, chtoby vnesti v spisok atime. Komanda mozhet ssylat'sya vse tri timestamps.
AIX imeet dopolnitel'nuyu funkciyu zashchity dlya fajlov. |to - tak nazyvaemyj spisok upravleniya dostupa (ACL). |ta funkciya - ne standartnaya chast' "tradicionnogo" UNIX. Sovremennye sistemy UNIX obychno imeyut funkciyu ACL-tipa, no komandy i funkcional'nye vozmozhnosti otlichayutsya v razlichnyh sistemah.
ACL v AIX mozhet obespechivat' namnogo bolee detal'noe upravlenie dostupom, chem s ispol'zovaniem bitov dostupa. Obychno, yavnoe upravlenie s pomoshch'yu ACL ne ispol'zuetsya dlya ARM. |to mozhet ispol'zovat'sya vnutri specificheskih prikladnyh programm na serverah.
Kazhdyj fajl (i direktoriya) imeet "bazovyj spisok dostupa" tak kak standartnye bity dostupa (staryj termin) yavlyayutsya osnovoj ACL (novyj termin). Rasshirennye funkcii ACL obychno prosto nazyvayutsya funkciyami ACL.
Osnovnye razresheniya pokazyvayutsya acl-kasayushchimisya komandami v sleduyushchem formate:
atributy: SUID, or SGID or SVTX v
lyuboj kombinacii bazovyh razreshenij:
vladelec (imya): rw
gruppa (gruppa): r-x
ostal'nye: -wx
Gde: SUID oznachaet setuid SGID oznachaet setgid SVTX oznachaet Savetext (lipkij bit)
Rasshirennye razresheniya pozvolyayut vladel'cu opredelyat' dostup k fajlu bolee tochno. Rasshirennye razresheniya rasshiryayut osnovnye razresheniya fajla (vladelec, gruppa, drugie) razreshaya, zapreshchaya, ili opredelyaya rezhimy dostupa dlya specificheskih lichnostej, grupp, ili pol'zovatelya i gruppiruya kombinacii.
Lyuboj pol'zovatel' mozhet sozdavat' rasshirennyj spisok dostupa ACL dlya fajla, kotorym on obladaet.
Klyuchevye slova opredeleny sleduyushchim obrazom:
permit predostavlyaet pol'zovatelyu ili gruppe dostup.
deny zapreshchaet pol'zovatelyu ili gruppe dostup.
specify tochno opredelyaet dostup k fajlu.
Kogda i pol'zovatel' i gruppa opredeleny v rasshirennom razreshenii tol'ko kombinaciya konkretnogo pol'zovatelya i gruppy poluchaet dostup. Imeetsya otnoshenie "i" mezhdu elementami v spiske. Znachenie po umolchaniyu - zablokirovannoe klyuchevoe slovo. Ispol'zovanie chmod s vos'merichnym operandom - odin iz sposobov ustanovit' zablokirovannoe sostoyanie.
Rasshirennye razresheniya pokazyvayutsya v sleduyushchem formate:
attributes: SUID, or SGID or SVTX v lyuboj kombinacii bazovyh razreshenij: owner(alex): rw group(system): r-x others: --extended permissions: enabled permit rw- u:dhs deny r-- u:chas, g:system specify r-- u:lena, g:gateway, g:mail permit rw- g:account, g:finance
Pervaya stroka rasshirennyh razreshenij opisyvaet sostoyanie: dopuskaemoe ili zablokirovannoe.
Esli zablokirovano, rasshirennaya ACL informaciya ne imeet nikakogo effekta; tol'ko osnovnye razresheniya effektivny.
Vtoraya stroka yavno dopuskaet, chto dhs imeyut dlya fajla razresheniya na chtenie (r) i zapis' (w).
Tret'ya stroka opredelenno zapreshchaet razreshenie na chtenie (r) tol'ko pol'zovatelyu chas, kogda on - chlen gruppy system.
CHetvertaya stroka dopuskaet, chto lena imeet dostup na chtenie (r), esli ona - chlen grupp gateway i mail.
Pyataya stroka razreshaet dostup na chtenie i dlya zapisi etogo fajla dlya pol'zovatelej, kotorye prinadlezhat, i gruppam account i finance.
Znachenie ACL mozhet stat' problemoj dlya pol'zovatelya, chlena mnogih grupp. Spisok dostupa ACL mog by vklyuchat' razlichnye razresheniya i zapreshcheniya dlya neskol'kih iz grupp pol'zovatelya, i oni mogut nahodit'sya v protivorechii.
Naprimer, pol'zovatel' mozhet prinadlezhat' GROUP1 i GROUP2. Dannyj ACL mozhet obespechivat' dostup dlya chteniya dlya GROUP1 i dlya vypolneniya dlya GROUP2.
|ti konflikty resheny v etom poryadke:
1. Esli SPECIFY operand sushchestvuet dlya lyuboj iz grupp pol'zovatelya (ili dlya ego sobstvennogo userid), SPECIFY ustanovit maksimal'nyj uroven' dostupa. Esli mnozhitel' SPECIFY, sushchestvuyut (dlya razlichnyh grupp i-ili userid), ispol'zuetsya znamenatel' SPECIFY.
2. Vse PERMIT (polozhitel'nye) razresheniya dostupa (dlya pol'zovatelya i vseh ego grupp) summiruyutsya.
3. Vse DENY (otricatel'nye) ogranicheniya (dlya pol'zovatelya i lyuboj ego gruppy) vychitayutsya.
Rezul'tat pri nalichii ogranichenij SPECIFY ogranichivayutsya imi.
Funkciya DENY yavlyaetsya bolee moshchnoj chem funkcii PERMIT, tak kak odin DENY mozhet otmenyat' lyuboj PERMIT. |tot rezul'tat mozhet udivlyat' pol'zovatelej i administratorov, no eto - logicheskij rezul'tat. Esli pol'zovatelyu ne udaetsya poluchit' dostup k fajlu i vy ne mozhete ponyat', pochemu, to vy dolzhny proverit' spisok dostupa ACL na nalichie operandov DENY svyazannyj s groupids pol'zovatelya.
Tot zhe samyj effekt mozhet byt' vyzvan operandom SPECIFY.
Komandy ACL, vyzvannye zdes' - prezhde vsego dlya rasshirennyh funkcij ACL, no oni mogut ispol'zovat'sya vmesto chmod, chtoby takzhe upravlyat' osnovnymi bitami razresheniya.
Komandy:
aclget pokazyvaet ACL dlya fajla.
aclput ustanavlivaet ACL dlya fajla
acledit kombinaciya komand aclget i aclput.
Komanda acledit pozvolyaet vladel'cu upravlyat' dostupom k fajlu (ispol'zuya redaktor, opredelennyj sistemnoj peremennoj EDITOR). Poetomu sistemnaya peremennaya EDITOR dolzhna opredelit' polnyj put' k redaktoru.
Naprimer: EDITOR = /usr/bin/vi ili EDITOR = /usr/bin/e
Imeyutsya dva metoda dlya ustanovki i upravleniya bitami razresheniya: komanda chmod i nabor komand ACL. Komandy spiska upravleniya dostupa - prezhde vsego dlya raboty s rasshirennymi funkciyami spiska dostupa. Komanda chmod - pervichnyj instrument dlya izmenyayushchihsya osnovnyh bitov razresheniya.
Operandy shmod mogut byt' vos'merichnymi (inogda nazyvaemymi "absolyutnymi") ili simvolicheskimi. Ispol'zovanie vos'merichnogo operanda otklyuchit svyazannye s fajlom rasshirennye parametry ACL (esli oni ustanovleny). Esli vy ispol'zuet rasshirennyj spiski dostupa ACL, vy dolzhny ispol'zovat' komandu chmod s simvolicheskimi operandami pri rabote fajlami, soderzhashchimi rasshirennye spiski dostupa ACL.
Naprimer, administrator dolzhen ispol'zovat' chmod + rw myfile, a ne chmod 644 myfile. |to mozhet byt' neprivychnoe trebovanie, i ochen' trudno ne zabyt' ne ispol'zovat' vos'merichnuyu zapis'. Pochti vozmozhno predpisat' ispol'zovanie tol'ko simvolicheskogo operanda.
Komanda tcbck mozhet razmeshchat' fajly s zablokirovannym rasshirennym ACL (sm.str.139).
Defekty Zashchity inogda sluchayutsya iz-za oshibok. AIX imeet horoshuyu sistemu registracii oshibok.
Komanda errpt ispol'zuetsya neposredstvenno, ili s pomosh'yu SMIT sleduyushchim obrazom:
SMIT -Problem Determination --Error Log ---Generate Error Report Change / Show Characteristics of Error Log Clean Error Log
Operacionnaya sistema zapisyvaet otkazy dlya vybrannyh apparatnyh sredstv i programmnogo obespecheniya v fajle registracii oshibok sistemy. |tot vybor mozhet izmenyat'sya, ispol'zuya komandu errupdate. Otchet oshibok mozhet byt' poluchen v kratkoj forme ili kak detalizirovat'sya forma.
Rekomenduetsya, chtoby registraciya oshibok vsegda byla aktivna (zapusk demona errdemon pri starte sistemy).
Dlya raboty s sistemoj registracii oshibok ispol'zujte menyu SMIT:
SMIT -System Environment --Change / Show Characteristics of Operating System
Vy mozhete ogranichivat' razmer fajla registracii oshibok.
V AIX kak i drugie sistemy UNIX ispol'zovanie simvolicheskih svyazej tyazhelo. Komanda ls -l oboznachaet ih so strelkoj v pole imeni i "l" kak pervyj simvol polya razreshenij.
Naprimer:
lrwxrwxrwx 1 root system 5 Jul 22 1993 u -> home
Obratite vnimanie, chto kazhdyj pol'zovatel' imeet polnye razresheniya dlya u. |to vvodit v zabluzhdenie. Razresheniya dlya simvolicheskoj svyazi ne imeyut nikakogo znacheniya. |ffektivnye razresheniya primenyayutsya te, kotorye ustanovleny dlya celevogo imeni.
V vysheupomyanutom primere, lyuboj rabotayushchij s u dolzhen rabotat' pod naborom razreshenij home (v etom primere, u i home- direktorii, no to zhe samoe ponyatie primenyaetsya i k direktoriyam i k fajlam).
UNIX (vklyuchaya AIX) ne imeet nikakogo prostogo sposoba obnaruzhit', kogda adresat simvolicheskoj svyazi byl udalen. CHerez kakoe-to vremya, simvolicheskie svyazi s otsutstvuyushchimi adresatami mogut nakaplivat'sya. |to mozhet vyzyvat' oshibki.
Nikakie pryamye interesy zashchity ne zatragivayutsya, no administrator dolzhen znat' problemu.
AIX imeet sushchestvennoe chislo vsemirno-perezapisyvaemyh direktorij. Bol'shinstvo iz nih imeet ustanovlennyj bit SVTX. V etih sluchayah, etot bit obespechivaet edinstvennuyu effektivnuyu zashchitu. Ne udalite ego!
S AIX, tol'ko root mozhet ispol'zovat' komandu chown, chtoby izmenit' vladel'ca fajla. |to bolee ogranichitel'no po sravneniyu s bolee starymi sistemami i mozhet vyzvat' zhaloby pol'zovatelej. Ponyatno, chto eto izmenenie bylo absolyutno neobhodimo dlya effektivnoj zashchity.
Obratite vnimanie, chto imeetsya komanda AIX, s imenem test, tak chto pol'zovateli dolzhny izbezhat' sozdavat' fajly, s imenem "test".
Hotelos' eshche raz povtorit', chto AIX ne podderzhivaet suid dlya scenariev obolochki. To est' suid bit v razresheniyah dlya fajla scenariya obolochki ignoriruetsya. Scenarij obolochki ne mozhet byt' vypolnen kak root, esli on ne vypolnyaetsya pol'zovatelem root.
Nenahodyashchiesya v sobstvennosti fajly (unowned files) obychno poyavlyayutsya, kogda pol'zovateli udalyayutsya iz sistemy. Kogda pol'zovatel' udalen (cherez SMIT, naprimer), vse ego fajly (i ego ishodnaya direktoriya) ostayutsya. |ti fajly perechisleny sistemoj (s ls ili komandami li) s chislovym UID. Pol'zovatel' mozhet takzhe imet' fajly v drugih mestah: naprimer, na arhivnoj lente ili fajly mailbox.
Komanda find mozhet ispol'zovat'sya, chtoby vnesti v spisok vse fajly, prinadlezhashchie specificheskomu pol'zovatelyu. Ispol'zovanie komandy find / -user username -print formiruet spisok vseh fajlov prinadlezhashchih username. |ti fajly mogut zatem byt' provereny, i nuzhnye raspredelenny drugim pol'zovatelyam (ispol'zuya komandu chown). Ostal'nye mogut byt' udaleny. CHtoby proveryat' sistemu dlya nenahodyashchihsya v sobstvennosti fajlov ispol'zujte komandu find / -nouser -print.
Bud'te vnimatel'ny - nekotorye sistemnye fajly budut vklyucheny v etot spisok, osobenno /dev/console. NE udalite ih!!
Podsoedinenie komp'yutera k seti, yavlyaetsya li ona lokal'noj (LAN) ili global'noj set'yu (WAN), vydvigaet novye problemy zashchity sistemy. Prakticheski, problema setevoj zashchity mozhet byt' razdelena na sleduyushchie oblasti:
1. Soedineniya TCP/IP:
Dlya polnost'yu vnutrennej lokal'noj seti, v kotoroj net nikakih soedinenij s vneshnim mirom TCP/IP (tipa soedinenij s Internet).
Dlya seti, kotoraya imeet soedinenie s "vneshnimi" sistemami.
2. Dial-in porty dlya ASCII terminalov.
3. Setevye operacii Uucp. (Teoreticheski, eto - podmnozhestvo dial-in soedinenij, no na praktike soedineniya uucp dolzhny rassmatrivat'sya otdel'no).
4. Vse drugie soedineniya, vklyuchaya SNA.
Setevaya zashchita vklyuchaet, i fizicheskuyu zashchitu i logicheskuyu zashchitu. Fizicheskaya setevaya zashchita ne budet obsuzhdena.
Lyuboj podhod k setevoj zashchite dolzhen byt' sformirovan vokrug priemlemyh celej. "Nashi setevye sistemy dolzhny byt' polnost'yu bezopasny" yavlyaetsya horoshej cel'yu, no ne priemlemoj. Prakticheskaya setevaya zashchita vklyuchaet upravlyaemye riski, i nuzhno priblizit'sya s etoj tochki zreniya. Imeyutsya dve ochen' otlichnyh oblasti zashchity:
1. Konfidencial'nost' dannyh seansa.
2. Ustanovlenie podlinnosti i upravlenie dostupom (dlya vhoda v sistemu, peredachi fajla, vypolneniya udalennyh komand) dlya vashej sistemy.
Poluchenie v setevoj srede sil'noj konfidencial'nosti dannyh seansa trudna (ili nevozmozhna). Vnutri ogranichennoj i upravlyaemoj sredy, etot risk mozhet obychno dopuskat'sya. V bol'shih sredah (s menee izvestnymi pol'zovatelyami) risk rastet i ne mozhet byt' priemlemym. |to oznachaet, chto setevaya topologiya i segmentaciya stanovitsya vazhnym faktorom zashchity. Nebol'shie seti, s nekotoroj stepen'yu izolyacii mezhdu nimi snizhaet riski, svyazannye s tekushchim kontrolem.
Obychno takoj segmentacii dobivayutsya s pomoshch'yu brendmauerov (firewall), kotorye yavlyayutsya sistemami, ogranichivayushchimi opredelennye tipy trafika mezhdu dvumya setyami.
Novye tehnologii mogut ustranyat' nekotorye iz samyh ser'eznyh iz®yanov setevoj zashchity.
Naprimer, sistema DCE (sm.Raspredelennaya sreda obrabotki dannyh DCE) polnost'yu shifruet process vhoda v sistemu i mozhet shifrovat' trafik seansa. Segodnya eti funkcii mogut ispol'zovat'sya tol'ko dlya vzaimodejstvij s serverami DCE. No v etom kontekste DCE mozhet obespechivat' bezopasnuyu i konfidencial'nuyu svyaz' cherez set'.
Tehnologiya virtual'nyh setej obespechivaet kommutaciyu takim obrazom, chto uzly seti ne vidyat (i ne mogut kontrolirovat') pakety, kotorye im ne adresovany.
Nekotorye komandy TCP/IP otnositel'no obespechivayut opoznavatel'nuyu sredu v techenie ih dejstviya. |ti komandy - ftp, rexec, i telnet. |ti komandy obespechivayut funkcii zashchity tol'ko v ramkah ih sobstvennogo dejstviya. Oni ne obespechivayut bezopasnuyu sredu dlya drugih komand.
Naprimer, pol'zovatel' mozhet podklyuchit'sya k udalennoj sisteme s pomoshch'yu komandy telnet (s priemlemoj opoznavatel'noj zashchitoj, obespechivaemoj telnet) i, odnazhdy zaregistrirovavshis' v udalennoj sisteme, delat' polnost'yu opasnye dejstviya.
Komanda securetcpip otklyuchaet slabozashchishchennye "standartnye" komandy TCP/IP. Rekomenduetsya ispol'zovat' komandu securetcpip na vseh sistemah v vashej seti, esli, konechno ne imeetsya sil'noj neobhodimosti ispol'zovat' eti "standartnye" komandy.
securetcpip - scenarij obolochki, kotoryj otklyuchaet komandy i demony, redaktiruya vneshne svyazannye stanzy v fajle /etc/inetd.conf i ispol'zuet komandu chmod, chtoby ustanovit' razresheniya dlya vypolnimyh komand v 000 (---------).
Pered vypolneniem komandy securetcpip vy dolzhny otklyuchit' ispolnyayushchiesya programmy raboty s set'yu. Esli razlichnye setevye demony zapushcheny s pomoshch'yu SRC, to oni ostanavlivayutsya sleduyushchim obrazom: STOPSRC -G TCPIP |ta komanda ostanavlivaet vse demony, svyazannye s TCP/IP. Zatem vy mozhete vvesti komandu: SECURETCPIP
Posle zapuska securetcpip, nizhesleduyushchie komandy i demony budut zablokirovany i stanut nedostupnymi dlya ispol'zovaniya:
DEMONY:
rshd rlogind tftpd
KOMANDY:
rlogin rcp rsh tftp trpt
securetcpip otklyuchaet ispol'zovanie etih komand, no mozhno vklyuchit' ispol'zovanie etih komand i demonov zakommentiruya sootvetstvuyushchie stanzy v fajle /etc/inetd.conf i izmeniv razresheniya na programmah i demonah takim obrazom, chtoby ih mozhno bylo zapustit' povtorno.
CHtoby predotvratit' samu vozmozhnost' povtornogo zapuska potencial'no opasnyh komand i demonov mozhno udalit' sootvetstvuyushchie komandy i demony.
Komanda securetcpip sozdaet fajl /etc/security/config, kotoryj soderzhit stanzy, kotorye ogranichivayut ispol'zovanie $HOME/.netrc, ftp i rexec. Posle vypolneniya etogo, vashi pol'zovateli dolzhny ispol'zovat' komandu telnet vmesto rlogin ili rsh, ftp vmesto tftp i rcp, i rexec vmesto rsh.
Obratite vnimanie: vashim X-stanciyam mozhet byt' neobhodim tftp, chtoby zagruzhat' kod X-servera iz AIX. Vy dolzhny proverit', chto vashi X-stancii mogut funkcionirovat' bez tftp, pered vypolneniem securetcpip.
Fajl /etc/hosts opisyvaet setevye uzly, kotorye lokal'naya sistema identificiruet imenami. V fajle opisyvaetsya sootvetstvie imeni uzla ego IP adresu. Tipichnyj primer fajla /etc/hosts:
9.12.2.32 gateway 9.12.2.95 bill 128.100.1.4 dtp
Fajl /etc/hosts ispol'zuetsya tol'ko togda, kogda neaktiven server imen (server DNS), ili esli server imen nesposoben predostavit' sootvetstvie imeni uzla ego IP adresu. Poetomu, dazhe esli ispol'zuetsya server imen, fajl /etc/hosts dolzhen byt' zashchishchen. Tol'ko administrator dolzhen imet' dostup na zapis' v etot fajl. Dostup dlya chteniya razreshaetsya vsem.
|tot fajl dopuskaet i otklyuchaet uslugi TCP/IP. Demon inetd zapuskaet drugie demony TCP/IP, kogda trebuyutsya specificheskie servisy. Naprimer, esli pol'zovatel' ispol'zuet komandu telnet, chtoby obrabotat' etot zapros demon inetd zapuskaet demon telnetd. Dostupnye servisy mogut byt' ubrany iz sredy TCP/IP, putem udaleniya sootvetstvuyushchej stanzy v etom fajle. |tot fajl obespechivaet pervichnyj kontrol'nyj punkt upravleniya servisami TCP/IP, kotorye yavlyayutsya dostupnymi na vashej sisteme.
Esli vasha sistema - server imen (DNS), vy dolzhny zashchitit' fajly dannyh servera imen. Fajl /etc/resolv.conf dolzhen byt' zashchishchen na vseh sistemah. Nepravil'noe soderzhimoe etogo fajla mozhet napravit' zaprosy nesankcionirovannomu serveru imen. Takzhe dolzhny byt' nadezhno zashchishcheny fajly /etc/named.boot, /etc/named.ca, /etc/named.local i /etc/named.data.
Komanda netstat obychno ispol'zuetsya dlya polucheniya informacii o sostoyanii seti i diagnostirovaniya setevyh problem. No ona zhe mozhet ispol'zovat'sya dlya polucheniya informacii poleznoj pri proverke setevoj zashchity. Naprimer, komanda: netstat -p tcp obespechivaet informaciyu otnositel'no protokola TCP/IP nachinaya s zagruzki sistemy. Ishchite soobshcheniya tipa neudachnyh popytok soedineniya. |ti soobshcheniya mogut oznachat', chto kto-to pytaetsya vojti v vash uzel. Imeyutsya drugie opcii dlya komandy netstat, i nekotorye mogut byt' polezny dlya celej zashchity.
Mnogie putayutsya, kogda idet rech' o AIX Doverennoj Vychislitel'noj osnove (Trusted Computing Base (TCB)). Ved' pod TCB ponimayut sleduyushchee:
1. Ponyatie (koncepciya)
2. Nekotorye programmy, tipa tcbck
3. Fajly Upravleniya
4. Flazhok v vybrannyh fajlah
5. Doverennyj process vhoda v sistemu
6. Doverennaya obolochka
7. Opciya ustanovki
Vy mozhete ignorirovat' TCB i OS AIX budet funkcionirovat' sovershenno normal'no. Odnako TCB, vmeste s komandoj tcbck, obespechivaet ochen' poleznye instrumental'nye sredstva dlya sohraneniya celostnosti sistemy i funkcij zashchity.
Sohranenie celostnosti mozhet byt' naibolee vazhno dlya administratora sistemy; sredstva TCB mogut pomogat' obnaruzhivat' ili predotvrashchat' sluchajnye i "ne sluchajnye" izmeneniya sistemy.
Ustanovit' TCB mozhno tol'ko pri ustanovke OS. Rekomenduetsya vsegda ustanovlivat' TCB, na kazhdoj sisteme, dazhe esli vy ne imeete nikakih neposredstvennyh planov e£ ispol'zovaniya. Pochemu? Ob etom nizhe…
Sredstva TCB mogut pomoch' podderzhat' priemlemyj uroven' obespecheniya celostnosti sistemy. Vy mozhete ispol'zovat' funkcii TCB tol'ko dlya togo, chtoby proveryat' tol'ko osnovnye komponenty AIX. S nebol'shimi usiliyami vy mozhete ispol'zovat' ih takzhe i dlya kontrolya i proverki vashih klyuchevyh prikladnyh programm, chtoby byt' uverennym v tom, chto oni nepovrezhdeny i bezopasny. V nekotoryh sluchayah vam mozhet ponadobit'sya bezopasnyj vhod v sistemu i garantirovannye sredstva obolochki. Vasha stepen' ispol'zovaniya funkcij TCB opredelit kolichestvo neobhodimogo vremeni i usilij, trebuemyh, chtoby ponyat' ih.
Obratite vnimanie na to, chto funkcii TCB ne mogut zashchishchat' protiv upolnomochenyh (razreshennyh vami) suid programm root, kotorye (sluchajno ili v sootvetstvii c proektom) dayut nepodhodyashchij dostup k pol'zovatelyam.
Funkcii TCB pozvolyayut zapuskat' nesankcionirovannye suid programmy root, no oni ne mogut proveryat' vnutrennyuyu logiku lyuboj programmy.
Doverennaya vychislitel'naya osnova (Trusted Computing Base (TCB)) - nabor programm i fajlov, kotorye obespechivayut proverku na "pravil'nost'" ("doveryaemost'") chastyam sistemy. V TCB vklyuchayutsya programmy tipa yadra AIX, programma vhoda v sistemu(y), programma passwd, i t.d Analogichno, fajl /etc/passwd, i drugie klyuchevye fajly upravleniya dolzhny byt' doveryaemymi. Krome togo, dolzhen imet'sya metod dlya pol'zovatelya, chtoby vojti v sistemu i garantirovat' emu, chto on obshchaetsya s sootvetstvuyushchej programmoj vhoda v sistemu, a ne s poddelkoj. Sootvetstvenno pol'zovatel' dolzhen byt' uveren i v obolochke.
Lyubye sredstva obespecheniya celostnosti sistemy schitayut, chto bazisnoj sisteme, postavlennoj prodavcom mozhno doveryat'. To est' AIX TCB schitaet, chto IBM postavil sistemu, v kotoroj klyuchevye komponenty obespechivayut sootvetstvuyushchuyu zashchitu i celostnost'.
Vy mozhete dobavlyat' lyubye programmy ili fajly k TCB (ne vse komponenty AIX nahodyatsya v TCB; tol'ko otnositel'no malen'kij procent ot vseh programm i fajlov).
Naibolee poleznoj funkciej TCB, iz tochki zreniya administratora, yavlyaetsya process proverki, svyazannym s nej. Spisok atributov razlichnyh fajlov (razresheniya, vladelec, kontrol'naya summa, svyazi, i t.d.) zanositsya v fajl /etc/security/sysck. Komandoj tcbck mozhno proverit', chto klyuchevye fajly na moment proverki vs£ eshche imeyut eti atributy (i, fakul'tativno, ispravlyayut ih v sootvetstvii s shablonom, esli nekotorye iz nih izmeneny.
|ta procedura yavlyaetsya bystrym i funkcional'no polnym sposobom proverki vseh programm/fajlov, kotorye vklyucheny v vashu TCB na to, chto oni imeyut sootvetstvuyushchie atributy i ih nikto i nichto ne izmenilo.
Administrator dolzhen issledovat' fajl /etc/security/sysck.cfg (ispol'zuya komandy pg) chtoby luchshe razobrat'sya s atributami, kotorye kontroliruyutsya. AIX opredelyaet TCB-bit v inodes. |tot bit ukazyvaet, chto fajl yavlyaetsya chast'yu TCB i ego edinstvennoj cel'yu yavlyaetsya ukazanie na to, chto dannaya programma mozhet byt' vypolnena doverennoj obolochkoj.
Doverennaya obolochka (Trusted Shell) takzhe yavlyaetsya chast'yu TCB i ona pozvolyaet vypolnyat' tol'ko te programmy, kotorye yavlyayutsya chast'yu TCB na osnove informacii zanesennoj v inode.
TCB-bit mozhet byt' ustanovlen (pol'zovatelem root) ispol'zuya komandu chtcb.
Esli AIX ustanavlivaetsya soglasno rekomendacii s opciej TCB, to vy dolzhny najti fajl /etc/security/sysck.cfg, kotoryj sootvetstvuet ustanovlennoj sisteme i yavlyaetsya etalonom dlya TCB. Dlya proverki celostnosti sistemy ispol'zuetsya komanda
tcbck -n ALL
kotoraya proveryaet sootvetstvie atributov fajlov etalonu.
Programma tcbck imeet opcii "p" i "y", kotorye ukazyvayut, chto pri proverke fajlov, perechislennyh v etalonnoj baze dannyh avtomaticheski ispravlyalis' atributy, kotorye ne sootvetstvuyut atributam, perechislennym v baze dannyh.
Nastoyatel'no ne rekomenduetsya ispol'zovat' eti opcii. Luchshe lichno razobrat'sya s problemoj i, pri neobhodimosti, ispravit' voznikshuyu problemu vruchnuyu.
Administrator sistemy dolzhen periodicheski vypolnyat' komandu tcbck, prosto proveryaya celostnost' bazovoj sistemy. Esli vashi kommercheskie programmy otnositel'no ustojchivy, to mozhno dobavit' ih v TCB.
Process vhoda v sistemu, dlya lyuboj sistemy UNIX, mozhet yavlyat'sya glavnym defektom bezopasnosti. Problema prosta: yavlyaetsya li "real'noj" programma vhoda v sistemu ili kto-to podmenil e£ na programmu modeliruyushchuyu programmu vhoda v sistemu? Pol'zovatel', obladayushchij tol'ko skromnymi umeniyami programmirovaniya, mozhet napisat' programmu, kotoraya ochishchaet ekran, pokazyvaet priglashenie vhoda v sistemu, i zhdet vvoda imeni i parolya pol'zovatelya. Esli eta programma zapushchena na ostavlennom rabotayushchem terminale, drugoj nichego ne podozrevayushchij pol'zovatel', mozhet podumat', chto terminal svoboden i popytaetsya zaregistrirovat'sya v sisteme. Poddel'naya programma fiksiruet userid i parol' i zavershaet seans. Zavershenie seansa vyzyvaet novuyu podskazku vhoda v sistemu (iz "real'noj" programmy vhoda v sistemu). Pol'zovatel' dumaet, chto on oshibsya pri vvode svoego imeni ili parolya i vtorichno povtoryaet proceduru vhoda v sistemu. Opytnye ili nemnogo paranoidal'nye pol'zovateli obychno srazu zhe v takih situaciyah menyayut svoj parol'. |to - klassicheskij tip napadeniya na UNIX, kotoryj mozhet byt' effektivnym dazhe na sovremennyh sistemah UNIX.
OS AIX obespechivaet zashchitu protiv takih napadenij s pomoshch'yu SAK i doverennogo puti dlya vhoda v sistemu. |tot process ne avtomaticheskij. Administrator dolzhen zapustit' SAK-process dlya pol'zovatelej i dlya portov.
SAK imeet dve celi:
1. Esli pol'zovatel' ne zaregistrirovan v sisteme garantiruetsya put' vhoda v siste-mu. Esli tpath opredelen dlya pol'zovatelya, to SAK soedinit ego s doverennoj obolochkoj (tsh), v inom sluchae dlya pol'zovatelya zapuskaetsya obychnaya obolochka.
2. Esli pol'zovatel' uzhe zaregistrirovan v sisteme, SAK zavershit vse programmy, kotorye zapushcheny pol'zovatelem i esli tpath opredelen dlya nego, zapustit doverennuyu obolochku; v inom sluchae dlya pol'zovatelya zapuskaetsya obychnaya obolochka.
Kogda pol'zovatel' vvodit doverennyj put', razresheniya dlya ego porta izmenyayutsya (avtomaticheski, upravlyaemym sak-processom) na vos'merichnoe razreshenie 600 (vmesto razresheniya 622, obychno svyazannogo s soedinennym portom).
CHtoby ispol'zovat' dlya portov SAK, vstavlyaetsya stroka metodom pryamogo redaktirovaniya (s pomoshch'yu SMIT ne ustanavlivaetsya) sak_enable=true v fajle /etc/security/login.cfg. |tot parametr mozhet byt' ustanovlen v zadannoj po umolchaniyu strofe (otnositsya ko vsem portam), ili ustanovlen v strofah dlya kazhdogo porta.
SAK vyzyvaetsya s terminala nazhatiem kombinacii klavish Ctrl-x Ctrl-r.
Esli port - osnovnoj graficheskij terminal dlya zapuska SAK, neobhodimo dobavit' dve dopolnitel'nye stroki v fajl /etc/security/login.cfg:
/dev/console: synonym = /dev/lft0
Dlya dopuska pol'zovatelej k doverennomu puti i doverennoj obolochke, ustanavlivaetsya parametr tpath v sootvetstvuyushchej stanze fajla /etc/security/user. Dlya individual'nyh pol'zovatelej eto mozhet byt' ustanovleno ispol'zuya SMIT.
Parametr mozhet prinimat' odno iz sleduyushchih znachenij:
1. tpath=nosak. |to - znachenie po umolchaniyu i oznachaet, chto doverennyj put' ne dostupen dlya etogo pol'zovatelya. SAK ignoriruetsya, esli etot pol'zovatel' uzhe zaregistrirovan v sisteme. SAK pered vhodom v sistemu zapustit obychnuyu obolochku pol'zovatelya.
2. tpath=on. |to dopuskaet fakul'tativnoe ispol'zovanie SAK i doverennogo puti dlya etogo pol'zovatelya. SAK posle vhoda v sistemu zapustit doverennuyu obolochku.
3. tpath=always. |to razreshaet pol'zovatelyu registrirovat'sya v sisteme tol'ko cherez doverennyj put' (proizvedennyj s SAK) i ogranichivaet pol'zovatelya tol'ko doverennoj obolochkoj. Esli vy tshchatel'no ne ocenili snachala eti ogranicheniya, ne rekomenduetsya ispol'zovat' eto znachenie.
4. tpath=notsh. |to znachenie, esli vveden SAK, v to vremya kak pol'zovatel' registriruetsya v sisteme, vynudit k neposredstvennomu vyhodu iz sistemy.
Doverennaya obolochka, tsh, vypolnyaet tol'ko te programmy, kotorye imeyut TCB-bit, svyazannyj s ih razresheniyami. Ona ne razreshaet izmenyat' tekushchij put', i imeet ochen' ogranichennyj nabor komand obolochki i peremennyh.
SAK i doverennaya obolochka, vmeste, obespechivayut poleznuyu funkciyu dlya administratora v yavno opasnoj srede (tipa universiteta), dlya neobychno kriticheskoj ustanovki ili prikladnoj programmy, ili dlya yavno paranoidal'nogo pol'zovatelya.
Doverennaya obolochka obychno ne primenyaetsya dlya "normal'nyh" pol'zovatelej, tak kak ona imeet ochen' ogranichennye funkcii.
Otdel'no, SAK ispol'zuetsya dlya zashchity ot napadeniya "Troyanskij kon'" pri vhode v sistemu. Pol'zovatelyam soobshchaetsya o vozmozhnosti doverennogo vhoda v sistemu i ob®yasnyaetsya, chto dlya togo, chtoby vojti v sistemu oni dolzhny:
1. Pri priglashenii vhoda v sistemu, nazhat' Ctrl-x Ctrl-r (SAK-posledovatel'nost'). Dolzhno poyavit'sya novoe priglashenie vhoda v sistemu (nizhe pervogo priglasheniya). |to - signal, chto SAK byl effektiven. Esli nizhe ne poyavlyaetsya novoe priglashenie vhoda v sistemu, to SAK ne srabotal, i bezopasnyj put' ne ustanovlen.
2. Zaregistrirovat'sya kak obychno.
3. Esli poyavlyaetsya obychnaya podskazka obolochki, prodolzhat' kak obychno.
4. Esli poyavlyaetsya podskazka doverennoj obolochki tsh, vvedite komandu sh. Inicializiruetsya seans pol'zovatelya s obychnoj obolochkoj.
Osushchestvlyat' audit (reviziyu) ne rekomenduetsya pri obychnom funkcionirovanii sistemy. No rekomenduetsya, chtoby kazhdyj administrator sistemy znal, kak ispol'zovat' podsistemu audita. V chastnosti neobhodimo znat', kak zapuskat', ostanavlivat', i prosmatrivat' osnovnuyu kontrol'nuyu informaciyu.
Administrator budet nuzhdat'sya v etih funkciyah, esli on podozrevaet, chto ego sistema atakovana. Vy mozhete dobavlyat' imena fajlov k spisku kontrol'nyh ob®ektov. Vy mozhete ostanovit'sya na nabore kriticheskih fajlov i dobavit' ih k kontrol'nomu spisku ob®ektov.
Predvaritel'no podgotovit' sootvetstvuyushchij spisok ob®ektov luchshe ranee, chem vozniknet kriticheskaya situaciya.
Dlya kriticheskogo servera eti rekomendacii ne podhodyat. Dlya takogo servera neobhodimo opredelit' minimal'nyj nabor kontrol'nyh sobytij i ob®ektov, i vsegda vypolnyat' s aktivnyj audit.
1. Pol'zovateli sistemnoj gruppy mogut chitat', redaktirovat' i/ili udalyat' kontrol'nye sobytiya.
2. Opredeleno mnogo kontrol'nyh sobytij, no generaciya sobytiya zavisit ot vypolneniya opredelennoj dlya etogo sobytiya programmy. Naprimer, komanda mkuser generiruet kontrol'noe sobytie. Odnako, vozmozhno sozdat' novogo pol'zovatelya bez ispol'zovaniya komandy mkuser.
3. Na mnogih serverah ispol'zuyutsya takie programmy, kak, naprimer, programmy bazy dannyh (naprimer, DB2) ili interaktivnye monitory dialogovoj obrabotki zaprosov (tipa CICS). |ti programmy imeyut sobstvennye sredstva bezopasnosti i audita i ne vsegda horosho vzaimodejstvuyut s kontrol'noj podsistemoj operacionnoj sistemy.
Naprimer, monitory bazy dannyh otkryvayut svoi fajly, i osushchestvlyayut ves' dostup k nim cherez sebya. Kontrol'naya podsistema "ne znaet", kakie pol'zovateli rabotayut s fajlami bazy dannyh. Podsistema kontrolya vidit tol'ko monitor bazy dannyh, obrashchayushchijsya k svoim fajlam.
|ti ogranicheniya ne umalyayut roli i neobhodimosti podsistemy audita. Ona mozhet byt' ochen' effektivnoj, osobenno pri ispol'zovanii v kommercheskih sistemah.
Mozhno porekomendovat' dva stilya ispol'zovaniya podsistemy audita:
1. Kontrolirovat' specificheskie sobytiya i ob®ekty napisav lokal'nuyu programmu (ili scenarij obolochki) soobshchayushchuyu administratoru o nastuplenii kontrol'nogo sobytiya.
2. Zapisyvat' mnogo sobytij i ob®ektov dostupa dlya ispol'zovaniya v "poslefakticheskom" issledovanii problem. Takaya procedura podrazumevaet nakoplenie i upravlenie znachitel'nymi kolichestvami dannyh i trebuet planirovaniya i prilozheniya usilij dlya upravleniya etimi dannymi.
Esli ne dostupen userid pol'zovatelya root, vy imeete ser'eznuyu problemu. Naibolee obshchim sluchaem takoj problemy yavlyaetsya administrator, kotoryj zabyl parol' root. Takzhe byvaet tak, chto novye administratory sistemy, pri eksperimentirovanii s razlichnymi opciyami zashchity, mogut delat' sistemu nastol'ko bezopasnoj, chto nikto ne mozhet ispol'zovat' e£.
Dlya vosstanovleniya root userid neobhodimo sdelat' sleduyushchee:
1. Najti vashu ustanovochnuyu sistemnuyu lentu (ili CD-ROM).
2. Esli eto vozmozhno, dat' komandu shutdown -F (tol'ko root mozhet ispol'zovat' etu komandu).
3. Vstavit' lentu v strimer, ustanovite klyuch v poziciyu SERVICE (dlya klassicheskoj sistemy), i zatem nazhmite zheltuyu knopku sbrosa.
4. Nazhat' F1.
5. Vybrat' iz otobrazhaemogo menyu rezhim "System Maintenance&q