uot;.

6. Vybrat' "Access a Root Volume Group".

7. Vybrat' "Continue".

8. Vybrat' "Access the Volume Group and start a shell".

Vy poluchite dostup ko vsem sistemnym fajlam s polnomochiyami pol'zovatelya root.

9. Ispol'zuya SMIT ili drugie komandy vosstanovite vashu sistemu.

11. Vypolnit' dvazhdy komandu sync dlya obnovleniya informacii na diske.

12. Vypolnit' komandu shutdown -F.

13. Vernut' klyuch v poziciyu NORMAL.

14. Perezagruzit' sistemu (ne zabud'te vynut' lentu). Ne zabud'te zadat' parol' pol'zovatelyu root.

Pozhalujsta obratite vnimanie, chto etot metod "vtorzheniya" v sistemu trebuet (1) fizicheskogo dostupa k RS/6000, i (2) "lenty nachal'noj zagruzki" (ili CD-ROM), kotoraya postavlyaetsya s programmnym obespecheniem AIX.

Drugie temy

|ta glava kratko obsuzhdaet neskol'ko tem, svyazannye zashchitoj sistemy AIX, kotorye ne upomyanuty v drugom meste.

Firewall

"Firewall" yavlyaetsya sistemoj, kotoraya zashchishchaet vashu set' iz nezhelatel'nyh vzaimodejstvij s vneshnej set'yu. Naibolee tipichnoe ispol'zovanie takoj sistemy - eto soedinenie vashej seti s Internet. Programmnoe obespechenie dlya sozdaniya firewall dostupno iz neskol'kih istochnikov, vklyuchaya "svobodnye" anonimnye FTP servery.

Naibolee obshchim podhodom yavlyaetsya sozdanie "obolochki", kotoraya preryvaet programmy, vypolnennye cherez inetd.

X Window

Polnoe obsuzhdenie zashchity dlya X Window - slozhnaya tema i nahoditsya vne konteksta etoj knigi. Nizhesleduyushchaya informaciya mozhet pomoch' s bazovym planirovaniem zashchity dlya X Window.

Terminologiya dlya X Window

Server - modul' s displeem; eto - server displeya. Klient - sistema s vychislitel'noj programmoj, kotoraya posylaet vyvod (ili chitaet vvod) servera. Bazisnaya zashchita nachinaetsya s servera displeya. Upravlyaet etim to, kakie sistemy klienta mogut ispol'zovat' server displeya.

Imeyutsya dva metoda dlya zashchity servera displeya:

1. Mozhet ispol'zovat'sya komanda xhost, chtoby dobavlyat' ili udalit' sistemy iz spiska razreshennyh sistem klientov. |ta komanda, v dejstvitel'nosti, delaet vremennyj spisok (kotoryj ne perezhivet perezagruzku).

2. Vy mozhete sozdavat' fajly, pod imenami /etc/Xn.hosts, gde n 0, 1, 2, ... (nomer logicheskogo displeya) soderzhashchij spiski sistem klientov, razreshennyh, chtoby soedinit'sya s etim serverom displeya. Vy mozhete najti i upravlyat' fajlami /etc/X?.hosts na vashej sisteme.

K sozhaleniyu, ne tak legko nahodit' scenarii pol'zovatelya s komandami xhost, upolnomachivayushchimi razlichnye soedineniya klientskih sistem s XWindow serverom na vashej sisteme. Nekotorye pol'zovateli formiruyut svoi scenarii obolochki, soderzhashchie komandy xhost dlya kazhdogo klienta, kotoryj oni mogli by kogda-libo ispol'zovat', i eto - konechno defekt.

Fundamental'naya problema s zashchitoj XWindow sostoit v tom, chto, kak tol'ko server razreshaet sisteme klienta soedinit'sya s nim, lyubaya programma, protekayushchaya v etom kliente mozhet obrashchat'sya k serveru displeya.

Dokumentirovanie ustanovok i politiki bezopasnosti

1. Opredelite razlichnye tipy pol'zovatelej i dannye, k kotorym oni dolzhny imet' dostup.

2. Organizujte gruppy v zavisimosti ot raboty, kotoruyu pol'zovateli dolzhny vypolnyat'.

3. Organizujte dostup k dannym v sootvetstvii so strukturoj grupp.

4. Ustanovite SVTX dlya razdelyaemyh direktorij.

5. Pomnite, chto UNIX i AIX, v chastnosti, ne imeet koncepcii vladeniya prilozheniyami.

K soderzhaniyu Vpered Nazad

Upravlenie pol'zovatelyami

K soderzhaniyu Vpered Nazad

Upravlenie pol'zovatelyami

Scheta Pol'zovatelya

Upravlenie schetami pol'zovatelya - naibolee standartnaya funkciya administratora sistemy.

"Tradicionnaya" sistema UNIX dlya dobavleniya ili udaleniya pol'zovatelya trebuet, chtoby administrator redaktiroval neskol'ko fajlov (tipa /etc/passwd i /etc/group). Bolee pozdnie pokoleniya UNIX obespechivayut komandy (ili scenarii obolochki), tipa mkuser, dlya obshchih dejstvij upravleniya pol'zovatelyami.

AIX, i nekotorye drugie sovremennye versii UNIX, obespechivaet instrumental'nye sredstva s bolee vysokim urovnem upravleniya pol'zovatelyami. Instrument AIX - SMIT.

Vozmozhno vypolnyat' upravlenie pol'zovatelyami v AIX, redaktiruya razlichnye fajly, ili ispol'zuya mkuser i podobnye etoj komandy. Odnako, nastoyatel'no rekomenduetsya ispol'zovat' SMIT.

Upravlenie pol'zovatelyami vklyuchaet v sebya ispol'zovanie tenevyh fajlov (dlya luchshej zashchity), razlichnye kvoty pol'zovatelej (dlya luchshego upravleniya resursami), ogranicheniya vhoda v sistemu (dlya luchshej zashchity), kriterii parolya (dlya luchshih parolej) i t.d.

Dlya upravleniya pol'zovatelyami v AIX imeetsya bol'she administrativnyh fajlov, kotorye dolzhny modificirovat'sya, s vzaimno neprotivorechivymi parametrami, chem v tradicionnyh sistemah UNIX.

Ispol'zovanie SMIT uproshchaet i namnogo snizhaet veroyatnost' oshibki v etom dele, v otlichie pryamogo redaktirovaniya vseh etih fajlov ili ispol'zovaniya komand nizshego urovnya. Ispol'zujte SMIT!

Vy budete inogda stalkivat'sya s utverzhdeniyami o tom, chto "real'nye guru UNIX" vsegda upravlyayut sistemami redaktiruya bazisnye fajly (tipa /etc/passwd). |to utverzhdenie bylo verno neskol'ko let nazad. |to ne verno segodnya.

Obratite vnimanie: |ta glava ignoriruet effekt ispol'zovaniya NIS.

Nizhesleduyushchee obsuzhdenie otnositsya k administrirovaniyu, kotoroe vypolnyaetsya neposredstvenno na sisteme.

Process inicializacii pol'zovatelya

Kogda pol'zovatel' vhodit v sistemu sistema ustanavlivaet dlya nego okruzhenie ispol'zuya informaciyu iz treh fajlov:

ž /etc/profile komandnyj scenarij obolochki, kotoryj kontroliruet obshchesistemnye peremennye po umolchaniyu. Naprimer, TERM, MAILMSG, MAIL.

ž /etc/environment V etom fajle opredelyaetsya bazovoe okruzhenie dlya vseh processov. Dlya primera: HOME, LANG, TZ, NLSPATH.

ž $HOME/.profile Sobstvennyj profil' pol'zovatelya v ego direktorii. Pol'zovatel' lichno mozhet ukazat' svoi sobstvennye predpochteniya otmenyaya komandy i znacheniya peremennyh zadannyh v fajle /etc/profile.

Poryadok vhoda v sistemu

process getty	startuetsya processom initparametry portov v ODM
login	Fajl /etc/security/login.cfg
Pol'zovatel' vvodit svoe imya vhoda
Pol'zovatel' vvodit svoj parol'
Proverka imeni i parolya pol'zovatelya	Fajly /etc/password i/etc/security/password	V sluchae oshibki delaetsya zapis' v fajl /etc/security/failedlogin
Ustanovka okruzheniya	Fajly /etc/security/environ,/etc/security/limits, /etc/security/user
Soobshchenie dnya	Fajl /etc/motd	Esli v direktorii pol'zovatelya sushchestvuet fajl $HOME/.hushlogin to soobshchenie dnya emu ne pokazyvaetsya
shell	Zapusk obolochki
Ustanovka okruzheniya pol'zovatelya	Fajly /etc/environment, /etc/profile i $HOME/.profile

Kogda pol'zovatel' vyhodit iz sistemy obolochka prekrashchaet rabotu i process init sozdaet novyj process getty dlya dannogo porta.

Parametry Pol'zovatelya v SMIT

Nizhesleduyushchee menyu SMIT ispol'zuetsya dlya dobavleniya ili izmeneniya oblastej opredeleniya pol'zovatelya. Podmnozhestva etih teh zhe samyh edinic menyu proizvedeny drugimi menyu SMIT. Oznakom'tes' s sistemnymi znacheniyami po umolchaniyu pered resheniem, kak ispol'zovat' elementy v nizhesleduyushchem menyu.

smit
Security and Users
Users
ADD a User

1 * User NAME [alex]
2 User ID [ ]
3 ADMINISTRATIVE User? false
4 Primary GROUP [staff]
5 Group SET [staff]
6 ADMINISTRATIVE GROUPS []
7 Another user can SU TO USER true
8 SU GROUPS [ALL]
9 HOME Directory [/usr/guest]
10 Initial PROGRAM []
11 User INFORMATION []
12 EXPIRATION date (MMDDhhmmyy) 0
13 Is this user ACCOUNT LOCKED? false
14 User can LOGIN? true
15 User can LOGIN REMOTELY? true
16 Allowed LOGIN TIMES
17 Number of FAILED LOGINS before [0] user account is locked
18 Login AUTHENTICATION GRAMMAR [compat]
19 Valid TTYs [ALL]
20 Days WARN USER before pw expires [0]
21 Password CHECK METHODS []
22 Password DICTIONARY FILES []
23 Number of PASSWORDS before reuse [0]
24 WEEKS before password reuse [0]
25 Weeks between pw expire & lockout[-1]
26 Password MAX. AGE [0]
27 Password MIN. AGE [0]
28 Password MIN. ALPHA characters [0]
29 Password MIN. OTHER characters [0]
30 Password MAX. REPEATED chars [0]
31 Password MIN. DIFFERENT chars [0]
32 Password REGISTRY []
33 MAX FILE Size [2097151]
34 MAX CPU Time [-1]
35 MAX DATA Segment [262144]
36 MAX STACK Size [65536]
37 MAX CORE File Size [2048]
38 File creation UMASK [22]
39 AUDIT classes []
40 Trusted path? nosak
41 PRIMARY Authentication Method [SYSTEM]
42 SECONDARY Authentication [NONE]

Nomera strok (cifry s 1 do 42) ne pokazyvayutsya na ekrane, no pomogayut nizhesleduyushchemu obsuzhdeniyu. Nekotorye iz etih opcij vazhny dlya zashchity i dolzhny byt' ponyaty administratorom.

Vvedite userid (stroka 1, User NAME) dlya novogo pol'zovatelya. Userid dolzhen byt' unikalen na dannoj sisteme. Identifikator pol'zovatelya (stroka 2) - UID. Process SMIT avtomaticheski naznachit sleduyushchij UID; bez yavnoj neobhodimosti administrator ne dolzhen otmenit' predlozhennoe znachenie etogo polya. Ostav'te znachenie etogo polya pustym.

Administrativnye polya (stroki 3 i 6) opisany pozzhe. Ostav'te eti polya neizmenyaemymi (to est' "false" i probel) dlya obychnyh pol'zovatelej.

Pol'zovatel' mozhet pole vhoda v sistemu (stroka 14) opredelyaet, mozhet li etot pol'zovatel' vhodit' v sistemu neposredstvenno (kosvennyj vhod v sistemu chastichno upravlyaetsya strokami 7,8 i 15). Obychnomu pol'zovatelyu nuzhno pozvolyat' registrirovat'sya v sisteme. Standartnye scheta sistemy, tipa bin, yavlyayutsya special'nymi sluchayami, kotorym ne nuzhno razreshat' nikakogo vhoda v sistemu. Drugoj special'nyj sluchaj - pol'zovatel' root, kotoryj obsuzhden pozzhe. |tot parametr ustanavlivaet flazhok v stanze fajla /etc/security/user v otnoshenii etogo pol'zovatelya. |to ne ustanavlivaet zvezdochku v pole parolya v /etc/passwd, chtoby zapretit' vhod v sistemu.

GRUPPY SU (stroka 8), SU POLXZOVATELYU (stroka 7), i VHOD V SISTEMU DISTANCIONNO (stroka 15) sredstvami upravleniya mogut ispol'zovat'sya, chtoby ogranichit' dostup k etomu schetu. Pokazyvayutsya normal'nye (i znachenie po umolchaniyu) znacheniya. |ti znacheniya po umolchaniyu razreshayut dostup k schetu neskol'kimi sposobami.

SU POLXZOVATELYU opredelyaet, mozhet li lyuboj drugoj pol'zovatel' ispol'zovat' etot schet, ispol'zuya komandu su. Tol'ko root mozhet su k schetu, esli etot flazhok ustanovlen v false. Esli SU POLXZOVATELYU ustanovlen v true, pole GRUPPY SU obespechivaet nekotoryj kontrol' nad tem, kakie pol'zovateli mogut su k etomu schetu. Tol'ko chlenam grupp pol'zovatelej, perechislennyh v etom pole razresheno su k etomu schetu. |to pole ne effektivno dlya root, tak kak root mozhet su k schetu nezavisimo ot ogranichenij gruppy. Znachenie po umolchaniyu all - klyuchevoe slovo, oznachayushchee vse gruppy (znak vosklicaniya, predshestvuyushchij gruppe sluzhit simvolom otricaniya, to est' chlenov imenovannoj gruppy ne razresheno su k etomu userid.)

Pole VHODA V SISTEMU DISTANCIONNO upravlyaet dostupom cherez rlogin i telnet sredstva TCP/IP. Esli znachenie ustanovleno v true (znachenie po umolchaniyu), lyuboj mozhet registrirovat' pod etim schetom, ispol'zuyutsya telnet, esli on znaet parol' scheta. |tot parametr ne upravlyaet dostupom cherez funkciyu ftp TCP/IP.

NACHALXNAYA PROGRAMMA (stroka 10) - imya (s polnym putem) programmy, kotoroj budet dano upravlenie, kogda etot pol'zovatel' zaregistriruetsya v sisteme. |to - obychno imya obolochki, tipa /usr/ksh. Esli eto pole pusto (normal'nyj sluchaj), nachal'noe imya programmy beretsya iz fajla /etc/security/mkuser.default.

V pole DATA OKONCHANIYA (stroka 12) obychno stavyat znachenie 0 (oznachayushchij nikakuyu datu okonchaniya). Format daty pokazyvaetsya v menyu. Tipichnym znacheniem moglo by byt' chislo "0330000099" (MMDDhhmmyy). |tot parametr polezen dlya vremennyh schetov, tipa schetov dlya posetitelej ili podryadchikov. Schet budet zablokirovan posle opredelennoj daty.

Pole BLOKIROVKA SCHETA (stroka 13) obychno ustanovleno v false, i mozhet ispol'zovat'sya kak sredstvo upravleniya, chtoby otklyuchit' userid. (|to ne budet vynuzhdat' pol'zovatelya vyjti iz sistemy, esli on v nastoyashchee vremya zaregistrirovan v nej.)

Vy mozhete ogranichivat' vremya registracii pol'zovatelya opredelennymi chasami, ispol'zuya VREMYA VHODA V SISTEMU (stroka 16). Imeyutsya neskol'ko formatov dlya etogo parametra, i oni ob®yasneny v kommentariyah dlya fajla /etc/security/user (sm.Fajl /etc/security/user). |to vremya otnositsya tol'ko k dopustimomu vremeni registracii v sisteme i ne otnositsya k dopustimomu vremeni raboty v sisteme.

DOPUSTIMYE TTYs (stroka 19) opredelyaet terminaly, kotorye etot schet mozhet ispol'zovat' (eta stroka ne upravlyaet psevdo-terminalami, kakie ispol'zuetsya telnet i drugimi udalennymi soedineniyami). Polnye imena puti terminalov dolzhny byt' zadany yavno, naprimer /dev/tty1. Simvol "!" pered imenem terminala oznachaet, chto terminal ne mozhet ispol'zovat'sya. Klyuchevoe slovo ALL oznachaet, chto mogut ispol'zovat'sya vse terminaly. Sposobnost' ogranichivat' konkretnyh pol'zovatelej konkretnymi terminalami mozhet byt' sil'nym instrumentom zashchity, no dolzhna ispol'zovat'sya s ostorozhnost'yu. Naprimer, pol'zovatel' root mog by byt' ogranichen lokal'nym pul'tom, hotya eto mozhet stat' problemoj v sluchae apparatnoj problemy.

Parametr WARN USER (stroka 20) zastavlyaet vydat' preduprezhdayushchee soobshchenie pri registracii pol'zovatelya v sisteme, esli ego parol' dolzhen v skorom vremeni istech'. Rekomenduetsya ispol'zovat' etot parametr, esli predpisano izmenenie parolya (stroka 25). Pol'zovatel' nuzhdaetsya v nekotorom vremeni, chtoby vydumat' novyj horoshij parol'.

Pole OPOZNAVATELXNAYA GRAMMATIKA (stroka 18) dolzhen byt' ostavlen so znacheniem po umolchaniyu "compat". |to pole budet ispol'zovat'sya s budushchimi rasshireniyami dlya raspredelennyh sistem.

Razlichnye sredstva upravleniya parolem (stroki 21 - 31) obsuzhdeny pozzhe. Predlagaetsya, chtoby vy ostavili eti linii neizmennymi. Ne vvedite chto-nibud' v pole REGISTRACII PAROLYA (stroka 32). |to pole vvedeno dlya budushchego ispol'zovaniya s DCE ili drugimi udalennymi funkciyami registracii.

Ogranicheniya processa (stroki s 33 po 37) obespechivayut nekotoruyu zashchitu protiv programm vyhodyashchih iz-pod kontrolya.

Maksimal'nyj razmer FAJLA (stroka 33) op-redelyaet verhnij ogranichenie dlya parametra ulimit. Ulimit - maksimal'nyj razmer (v modulyah 512 bajtov) fajla, sozdannogo etim pol'zovatelem. Pol'zovatel' mozhet izmenyat' znachenie s komandoj ulimit, no ne mozhet prevyshat' nabor znachenij v pole, ukazannoe administratorom v SMIT. Minimal'noe znachenie, predlagaemoe SMIT - 8192. Obratite vnimanie, chto etot maksimal'nyj razmer fajla - dlya odnogo fajla; eto znachenie ne ogranichivaet obshchee kolichestvo diskovogo prostranstva, ispol'zovannogo etim pol'zovatelem.

Parametr VREMYA CENTRALXNOGO PROCESSORA (stroka 34) ogranichivaet maksimal'nuyu prodolzhitel'nost' techeniya lyuboj odinochnoj programmy. Znachenie ukazyvaetsya v sekundah. Kogda process prevyshaet eto ogranichenie vremeni, on preryvaetsya AIX. Pol'zovatel' vidit soobshchenie ob oshibke i novuyu podskazku obolochki.

UMASK (stroka 38) - znachenie po umolchaniyu peremennoj umask dlya pol'zovatelya. Pol'zovatel' mozhet izmenit' eto znachenie vo vremya odinochnogo seansa komandoj umask.

Ne izmenite stroki 39-42 (KLASSY AUDITA, DOVERENNYJ PUTX, PERVICHNYJ METOD AUTENTIFIKACII, VTORICHNAYA AUTENTIFIKACIYA) esli vy ne imeete specificheskih trebovanij.

V rezul'tate opredeleniya novogo pol'zovatelya (ispol'zuya panel' SMIT, pokazannuyu vyshe) budut vneseny sleduyushchie dobavleniya k sleduyushchim fajlam:

1. Fajl /etc/passwd budet soderzhat' novuyu stroku, opredelyayushchuyu pol'zovatelya.

2. Fajl /etc/security/passwd budet soderzhat' novuyu stanzu dlya shifrovannogo parolya pol'zovatelya i neskol'kih flazhkov.

3. Fajl /etc/security/user budet soderzhat' novuyu stanzu, soderzhashchuyu nekotorye iz ogranichenij pol'zovatelya.

4. Fajl /etc/group budet izmenen, chtoby dobavit' novogo pol'zovatelya v odnu ili bol'shee kolichestvo grupp.

5. Fajl /etc/security/limits budet soderzhat' novuyu stanzu, soderzhashchuyu nekotorye iz otnosyashchihsya k okruzheniyu ogranichenij pol'zovatelya.

6. Fajl /etc/security/.ids budet modificirovan, chtoby soderzhat' sleduyushchij dostupnyj UID.

7. Direktoriya /home budet soderzhat' novuyu direktoriyu, kotoraya yavlyaetsya ishodnoj direktoriej dlya novogo pol'zovatelya.

Sistemnye znacheniya po umolchaniyu

Mnogie iz polej menyu, perechislennyh vyshe mogli by byt' luchshe vsego ustanovleny kak znacheniya po umolchaniyu dlya vseh pol'zovatelej, vmesto individual'nyh znachenij kazhdogo pol'zovatelya. Naprimer, vy mogli by hotet' ustanovit' maksimal'nyj vozrast parolya (stroka 26) dlya vseh pol'zovatelej.

Bol'shinstvo parametrov pol'zovatelya hranitsya v fajle /etc/security/user. V nem imeetsya stanza dlya kazhdogo opredelyaemogo pol'zovatelya v sisteme i stanza dlya znachenij po umolchaniyu. Kak root, administrator mozhet redaktirovat' zadannuyu po umolchaniyu stanzu (ispol'zuya vi ili drugoj vash lyubimyj redaktor) i izmenit' znacheniya po umolchaniyu.

Izmeneniya vstupayut v silu nemedlenno pri sleduyushchej registracii pol'zovatelej v sisteme, esli, konechno, konkretnyj pol'zovatel' ne imeet znacheniya otmeny v ego stanze. Takzhe, parametry v zadannoj po umolchaniyu stanze poyavyatsya kak znacheniya po umolchaniyu pri dobavlenii novogo pol'zovatelya s pomoshch'yu SMIT.

Iz 42 strok menyu, otobrazhaemyh SMIT pri dobavlenii ili izmenenii parametrov pol'zovatelya, 30 strok hranyatsya v fajle /etc/security/user.

Fajl /etc/security/limits organizovan takim zhe obrazom, i znacheniya po umolchaniyu dlya shesti ogranichenij pol'zovatelya (maksimal'nyj razmer fajla i t.d) mogut byt' ustanovleny v etom fajle.

Preimushchestva ustanovki znachenij po umolchaniyu vmesto mnogih individual'nyh znachenij pol'zovatelya ochevidny. Znacheniya po umolchaniyu mogut byt' izmeneny legko. Individual'nye zhe znacheniya pol'zovatelya dolzhny byt' chetko opredeleny, esli tol'ko oni dolzhny byt' otlichnymi ot znachenij po umolchaniyu.

Fajly /etc/security/user i /etc/security/limits ispol'zuyutsya vsyakij raz, kogda pol'zovatel' registriruetsya v sisteme; na teh pol'zovatelej, kotorye v moment izmenenij zaregistrirovany v sisteme izmeneniya ne budut vozdejstvovat'.

Tenevye fajly

Tradicionnyj UNIX dlya upravleniya pol'zovatelyami ispol'zuet fajl /etc/passwd. Pol'zovatel' sozdaetsya dobavleniem stroki v etot fajl. Parol' pol'zovatelya v zashifrovannoj forme hranitsya v etoj stroke. Drugie klyuchevye parametry, takie kak UID pol'zovatelya, zadannaya po umolchaniyu gruppa, ego ishodnaya direktoriya, i ego nachal'naya programma (obychno obolochka) takzhe opredeleny v etoj stroke.

Stroki v fajle /etc/passwd ispol'zuyutsya mnogimi programmami, chtoby translirovat' mezhdu UID (vnutrennyaya chislovaya identifikaciya pol'zovatelya) i userid (vneshnyaya identifikaciya pol'zovatelya). Po etoj prichine fajl /etc/passwd dolzhen byt' chitaem lyuboj programmoj i lyubym pol'zovatelem. To est' etot fajl dolzhen byt' chitaemym vsemi. |to oznachaet, chto vse paroli pol'zovatelej, hotya i v shifrovannom vide, mozhet prochitat' lyuboj. To est', hotya i zashifrovannye, paroli vystavleny dlya lyubogo pol'zovatelya dlya issledovaniya.

Standartnaya shema shifrovaniya parolya UNIX (ispol'zuemaya fakticheski vsemi sistemami UNIX, vklyuchaya AIX) pri ee razrabotke rassmatrivalas' kak ochen' horoshaya. Poyavlenie bolee skorostnyh processorov sdelalo etu shemu shifrovaniya ne takoj uzh i nadezhnoj, a budushchee usilenie vychislitel'noj tehniki budut delat' etu situaciyu eshche huzhe. Vskrytie parolej osnovano v osnovnom pri predpolozhenii parolej. Avtomatizirovav process, osnovannyj na bol'shih slovaryah veroyatnyh parolej, programma predpolozheniya parolya budet chasto preuspevat' v rasshifrovke parolej dlya nekotoryh pol'zovatelej v lyuboj bol'shej sisteme UNIX. Programmy vskrytiya parolej trebuyut dostupa k shifrovannym parolyam. Esli shifrovannye paroli nahodyatsya v fajle /etc/passwd, oni legko dostupny lyubomu.

Reshenie bylo najdeno: trebuetsya chtoby (fakul'tativno) peremestit' shifrovannye paroli v drugoj fajl. |tot "drugoj" fajl nazyvaetsya tenevym fajlom.

Dlya AIX tenevym fajlom yavlyaetsya fajl /etc/security/passwd. Stroka v fajle /etc/passwd mozhet imet' chetyre znacheniya v pole parolya (vtoroe pole v stroke):

1. Pole parolya imeet nulevoe (pustoe) znachenie. Nulevoe (pustoe) pole parolya oznachaet, chto ne trebuetsya parolya dlya etogo userid.

2. Zvezdochka. |to oznachaet, chto userid otklyuchen. (AIX obychno ispol'zuet drugoe pole v /etc/security/user, chtoby otklyuchit' pol'zovatelya, no ispol'zuet metod zvezdochki, kogda pol'zovatel' uzhe opredelen.)

3. Simvol vosklicaniya. |to oznachaet, chto shifrovannyj parol' nahoditsya v tenevom fajle /etc/security/passwd. |to - standartnyj variant dlya AIX.

4. SHifrovannyj parol' (dlina shifrovannogo parolya vsegda 13 simvolov).

Nekotorye scheta mogut pomeshchat' zashifrovannye paroli v fajl /etc/passwd, i drugie scheta mogut imet' ih zashifrovannye paroli v tenevom fajle /etc/security/passwd. AIX budet rabotat' pravil'no v oboih sluchayah, no nastoyatel'no rekomenduetsya ne razmeshchat' shifrovannye paroli v fajle /etc/passwd.

SMIT i komanda passwd avtomaticheski pomestit simvol vosklicaniya v fajl /etc/passwd i pomestit zashifrovannyj parol' v fajl /etc/security/passwd.

Imeyutsya nekotorye drugie fajly v direktorii /etc/security. Oni vse svyazany so sredstvami upravleniya bezopasnosti i inogda nazyvayutsya "fajlami tenevoj zashchity''.

Paroli

Kogda novyj pol'zovatel' dobavlyaetsya s pomoshch'yu SMIT, schet avtomaticheski blokiruetsya, pomeshchaya zvezdochku vo vtorom pole (pole parolya) stroki fajla /etc/passwd dlya novogo pol'zovatelya. Administrator (rabotayushchij kak root) dolzhen ispol'zovat' SMIT ili komandu passwd i zadat' nachal'nyj parol' dlya pol'zovatelya.

Tak kak parol' byl ustanovlen administrativnym pol'zovatelem (root), novogo pol'zovatelya pri pervoj popytke registracii v sisteme poprosyat ego izmenit' (flazhok ADMCHG vo vhode pol'zovatelya v fajle /etc/security/passwd ukazyvaet, chto trebuetsya izmenenie parolya). Ustanovka nachal'nogo parolya daet vozmozhnost' novomu pol'zovatelyu s novym schetom zaregistrirovat'sya v sisteme.

Komanda passwd - obychnaya komanda UNIX dlya izmeneniya parolej. Komanda mozhet ispol'zovat'sya lyubym pol'zovatelem, chtoby izmenit' ego sobstvennyj parol', ili ispol'zovat'sya root dlya izmeneniya parol' lyubogo pol'zovatelya.

Ne imeetsya nikakogo specificheskogo preimushchestva dlya ispol'zovaniya SMIT dlya izmeneniya parolej; komanda passwd delaet to zhe samoe delo.

Funkciya SMIT dlya izmeneniya parolya nahoditsya v tom zhe samom menyu chto i funkciya dlya dobavleniya novogo pol'zovatelya. |to obychno udobno dlya administratora, chtoby ustanovit' nachal'nyj parol' dlya novogo pol'zovatelya nemedlenno posle togo, posle togo kak on sozdal novogo pol'zovatelya, i zdes' funkcii SMIT udobny.

V nekotoryh sluchayah, neobhodimo sozdat' neskol'ko novyh pol'zovatelej, no ne dopuskat' ih v sistemu (to est' ne naznachit' im nachal'nye paroli).

Naprimer, novaya gruppa studencheskih userid mogla by byt' sozdana v udobnoe dlya administratora vremya, no ne byt' dopushchennoj dlya registracii v sistemu, poka ne nachnetsya uchebnyj period. V etom sluchae, ispol'zovanie komandy passwd mozhet byt' bolee udobno, chem ustanovka parolej cherez SMIT.

Ne zabud'te, chto administrator (upravlyaya kak root) dolzhen vsegda naznachat' nachal'nyj parol' dlya aktivizacii novogo scheta. I eto yavlyaetsya odnim iz obshcheizvestnyh defektov bezopasnosti.

Kakoj parol' dolzhen nabrat' administrator kak nachal'nyj parol'? Administratory imeyut tendenciyu ustanavlivat' obshchij parol', tipa imeni pol'zovatelya ili nazvaniya otdela, dlya vseh novyh pol'zovatelej. Pri znanii etogo, lyuboj "zloumyshlennik", znayushchij principy prisvoeniya nachal'nogo parolya, mozhet "zahvatit'" novyj schet zaregistrirovavshis' v sisteme bystree chem dopustimyj pol'zovatel'.

Imeyutsya dva resheniya dlya etoj problemy:

1. Administrator mozhet ustanavlivat' neizvestnyj parol' (razlichnyj dlya kazhdogo novogo pol'zovatelya) i soobshchat' ego konkretnomu pol'zovatelyu.

2. Administrator mozhet ne ustanavlivat' nachal'nyj parol', poka novyj pol'zovatel' ne gotov zaregistrirovat'sya v sisteme. |to oznachaet, chto budet imet'sya nekij korotkij period, poka opredelen standartnyj nachal'nyj parol'.

V lyubom sluchae, novomu pol'zovatelyu budet vydan zapros na izmenenie ego parolya pri pervoj registracii v sistemu.

Mnogo vzlomov zashchity nachinayutsya s nedostatochno "stojkih" parolej. Problema kachestva parolej byla obsuzhdena mnogo raz vo mnogih publikaciyah; eti obsuzhdeniya ne budut povtoreny zdes'. Stoit otmetit' bazisnye rukovodyashchie principy vybora "ctojkih" parolej:

1. Ne ispol'zujte vashe imya pol'zovatelya ili lyuboj ego variant.

2. Esli Vy ispol'zuete tot zhe samyj parol' na bol'she chem na odnoj sisteme, bud'te vdvojne ostorozhnee. Nikogda ne ispol'zujte tot zhe samyj parol' root na raznyh sistemah.

3. Ne ispol'zujte imena lyudej.

4. Ne ispol'zujte slova, kotorye mogut byt' najdeny v slovare, osobenno eto aktual'no dlya setevoj ili bol'shoj mnogopol'zovatel'skoj sistemy.

5. Ne ispol'zujte paroli koroche chem pyat' ili shest' simvolov.

6. Ne ispol'zujte rugatel'nye ili nepristojnye slova; oni - sredi pervyh slov, kotorye probuyut pri vskrytii parolej.

7. Ispol'zujte paroli, kotorye vy mozhete pomnit'. Ne zapisyvajte vash parol'.

8. Ispol'zujte po vozmozhnosti paroli, kotorye sostoyat iz bukv i chisel.

9. Ispol'zujte paroli, kotorye vy mozhete bystro nabrat' na klaviature.

10. Dva slova, s chislom mezhdu nimi, obychno yavlyayutsya "horoshim" parolem.

11. Slovo (dlinoj po krajnej mere v shest' simvolov), s cifroj, vstavlennoj v slovo, yavlyaetsya prevoshodnym parolem (no ne formirujte cifru, zamenyaya bukvu "l" na "1" ili bukvu "o" na cifru "0'').

12. Slovo s cifroj vnutri - luchshij parol' chem slovo s pervoj ili poslednej cifroj.

13. Udoboproiznosimyj parol' proshche dlya zapominaniya.

14. AIX proveryaet tol'ko pervye vosem' simvolov parolya. Odnako slovo mozhet byt' bolee dlinnoe chem vosem' simvolov.

Vy mozhete opredelyat' kachestvo parolya i pravila ego sostavleniya dlya kazhdogo pol'zovatelya, ili dlya vseh, redaktiruya zadannuyu v fajle /etc/security/user stanzu po umolchaniyu.

Individual'nye ustanovki po upravleniyu mogut byt' ustanovleny, ispol'zuya menyu SMIT. Sredstva upravleniya:

            recommended default
minage      0            0 (weeks. Use 0)
maxage      12           0 (maximum age in weeks)
maxexpired  4            0 (weeks after expire)
minalpha    1            0 (alpha characters)
minother    1            0 (non-alpha characters)
minlen      6            0 (minimum length)
mindiff     3            0 (different from last pw)
maxrepeats  3            8 (repeated characters)
histexpire  26           0 (prohibit reuse, weeks)
histsize    8            0 (number of old passwords)
pwdwarntime 14           0 (warning time, days)

Znacheniya po umolchaniyu ne obespechivayut nikakih sredstva upravleniya kachestvom parolej. |to sdelano namerenno, poskol'ku eto sootvetstvuet ozhidaemoj harakteristike "standartnogo" UNIX.

Maxage/minage opredelyaet maksimal'nyj/minimal'nyj vozrast parolya (v nedelyah). Znachenie po umolchaniyu - 0 na obeih strokah, chto ukazyvaet, chto parol' ne imeet nikakogo minimal'nogo ili maksimal'nogo vozrasta. Rekomenduetsya, chtoby vy ne ispol'zovali parametr minage. |to mozhet vyzvat' konfliktnye situacii.

Rassmotrite vozmozhnost' ispol'zovaniya men'shih znachenij parametra maxage dlya privilegirovannyh pol'zovatelej tipa root i chlenov gruppy system. Ranee sushchestvoval spor o tom neobhodimo li pol'zovatelyu vremya posle okonchaniya vremeni dejstviya parolya na obdumyvanie novogo parolya ili net. Esli pol'zovatelya zhestko potrebuyut srochno pomenyat' ego parol', on mozhet vybrat' novyj parol' trivial'nym ili nedostatochno "stojkim". Tak kak pol'zovatel' registriruetsya v sisteme dlya svoej celi, on ne mog ser'ezno ranee podumat' o svoem novom parole.

Parametr pwdwarntime (opredelennyj v dnyah) zastavlyaet AIX preduprezhdat' pol'zovatelya prezhde, chem istechet vremya dejstviya ego parolya. |to pozvolyaet pol'zovatelyu izmenit' ego parol' zablagovremenno i obychno obespechivaet luchshee "kachestvo" parolya.

Parametry maxrepeat, mindiff, minlen, minalpha, i minother obespechivayut bazisnye sredstva upravleniya kachestvom parolej. Oni upravlyayut maksimal'nom chislom povtoreniya simvolov, minimal'nym chislom simvolov, ukazyvayut na to, chto novyj parol' dolzhen otlichit'sya ot predydushchego, minimal'noj dlinoj, minimal'nym chislom bukvennyh simvolov, i minimal'nym chislom nebukvennyh simvolov, kotorye dolzhny poyavit'sya v parole.

AIX imeet opciyu, chtoby pomnit' starye paroli (ispol'zuyutsya fajly /etc/security/pwdhist.dir i /etc/security/pwdhist.pag). Parametr histexpire opredelyaet chislo nedel', kotorye dolzhny protech' do togo, kak parol' mozhet vtorichno ispol'zovat'sya.

Parametr histsize opredelyaet chislo drugih parolej, kotorye dolzhny ispol'zovat'sya prezhde, chem dannyj parol' mozhet ispol'zovat'sya snova.

AIX obespechivaet eshche dve funkcii upravleniya kachestvom parolya. Mozhet byt' opredelen fajl nedopustimyh parolej (s parametrom dictionlist=) i mozhet byt' opredelen spisok programm pol'zovatelya (s parametrom pwdchecks=) chtoby vypolnit' lyubuyu nastroennuyu proverku parolya.

Fajlom nedopustimyh parolej mog by byt' fajl /usr/share/dict/words (esli on prisutstvuet v vashej sisteme) ili lyuboj drugoj fajl so spiskom slov. |ti parametry mogut byt' ustanovleny dlya individual'nyh pol'zovatelej cherez SMIT ili ustanovleny kak znacheniya po umolchaniyu v fajle /etc/security/user.

Fajly, svyazannye so schetami pol'zovatelej

Fajly, kotorye svyazany s upravleniem pol'zovatelyami, perechisleny nizhe s kratkimi kommentariyami. Pochti vse fajly, neposredstvenno svyazannye s upravleniem pol'zovatelyami i gruppami nahodyatsya v direktorii /etc/security.

1. Fajl /etc/security/.ids Ne redaktirujte etot fajl. On soderzhit posledovatel'nost' chisel dlya ispol'zovaniya komandoj mkuser tak, chtoby novaya gruppa ili pol'zovatel' vsegda poluchila unikal'nyj uid/gid. Fajl modificiruetsya avtomaticheski razlichnymi komandami, vyzyvaemymi (vnutrenne) SMIT.

Primer etogo fajla:

6 221 12 206

Gde: 6 = sleduyushchij administrativnyj nomer uid
221 = sleduyushchij nomer uid
12 = sleduyushchij administrativnyj nomer gid
206 = sleduyushchij nomer gid

2. Fajl /etc/group soderzhit bazisnye oblasti opredeleniya gruppy.

3. Fajl /etc/security/group soderzhit dopolnitel'nuyu informaciyu gruppy, tipa flazhkov admin i adms.

4. Fajl /etc/security/login.cfg soderzhit stanzy dlya ryada sredstv upravleniya dlya vsej sistemy. Ne imeetsya nikakih stanz konkretnyh pol'zovatelej ili grupp. |ti sredstva upravleniya voobshche svyazany ispol'zovaniem porta i terminalov. Kommentarii v fajle opisyvayut ego funkcii i formaty ochen' yasno. Stanzy vklyuchayut:

a) gruppu parametrov, svyazannyh nedopustimymi vhodami v sistemu. |ti parametry mogut zaderzhivat' ili zapreshchat' (na opredelennyj period ili neopredelenno) dopolnitel'nye popytki vhoda v sistemu posle neudachnogo vhoda. |ti parametry mogut obespechivat' cennuyu zashchitu dlya sistemy pri napadenii s popytkoj vzlomat' paroli. Esli vy imeete dial-in porty ili vystavleny bol'shoj gruppe potencial'nyh "zloumyshlennikov" vy dolzhny otredaktirovat' i ispol'zovat' eti parametry.
b) sak_enabled - upravlenie dostupnost'yu bezopasnoj funkcii vnimaniya dlya porta.
v) auth_method (ne opredelennyj v zadannom po umolchaniyu fajle, otpravlennom s AIX) - opredelyaet razlichnye ili dopolnitel'nye opoznavatel'nye metody.
g) parametry geral'da (nachal'nogo ekrannogo soobshcheniya pered registraciej pol'zovatelya) nahodyatsya v etom fajle. Administrator mozhet otredaktirovat' i pereproektirovat' geral'd. Ubedites', chto vash geral'd soderzhit dostatochno simvolov nachala novoj stroki dlya ochistki ekrana.
d) usw - etot parametr ispol'zuetsya tol'ko komandoj chsh i soderzhit spisok dopus-timyh obolochek. Opredelyajte imena obolochek s polnym putem.
e) maxlogins - etot parametr ustanavlivaet maksimal'noe chislo terminalov, s kotoryh mozhno registrirovat'sya v odno vremya (etot parametr dolzhen byt' izmenen komandoj chlicense, ispol'zuetsya v sootvetstvii s vashej licenziej na ispol'zovanie AIX).
zh) logintimeout - vremya za kotoroe vhod v sistemu dolzhen zavershit'sya.

5. Fajl /etc/passwd soderzhit bazisnye oblasti opredeleniya pol'zovatelya.

6. Fajl /etc/security/passwd soderzhit zashifrovannye paroli, shtamp vremeni poslednej modifikacii, i flazhok, ukazyvayushchego na to, modificirovalsya li parol' administratorom (esli da, to pol'zovatelyu pri sleduyushchej popytke zaregistrirovat'sya v sisteme budet vydan zapros na izmenenie ego parolya).

7. Fajly /etc/passwd.dir i /etc/passwd.pag sozdany komandoj mkpasswd i soderzhat malen'kie struktury bazy dannyh, chtoby uskorit' dostup k userid fajlam upravleniya. Ne redaktirujte eti fajly.

8. Fajl /etc/security/user soderzhit bol'shinstvo parametrov upravleniya pol'zovatelyami.

9. Fajl /etc/security/environ mozhet soderzhat' otnosyashchiesya k okruzheniyu atributy dlya pol'zovatelej.

10. Fajl /etc/security/limits soderzhit parametry resursov.

11. Fajl /usr/lib/security/mkuser.default soderzhit neskol'ko znachenij po umolchaniyu, ispol'zuemye pri sozdanii novogo pol'zovatelya. Vy mozhete redaktirovat' etot fajl neposredstvenno. On soderzhit zadannuyu po umolchaniyu gruppu, zadannuyu po umolchaniyu nachal'nuyu programmu (obolochku), i zadannoe po umolchaniyu imya ishodnoj direktorii dlya novogo pol'zovatelya.

12. Fajl /etc/security/failedlogin soderzhit zapisi o kazhdom sboe vhoda v sistemu. Fajl mozhet otobrazhat'sya komandoj who:

who -a /etc/security/failedlogin >> /tmp/check

|tot primer perenaznachit vyvod v fajl /tmp/check. Ne redaktirujte etot fajl. Odnako, periodicheski vy mogli by udalyat' ego. |tot fajl ne tak polezen, kak moglo by pokazat'sya, potomu chto v nem ne zapisyvayutsya nedopustimye userid (lyuboj userid, kotoryj ne prisutstvuet v vashem fajle /etc/passwd). Nedopustimye userid registriruyutsya kak UNKNOWN.

13. Fajl /etc/security/lastlog imeet odnu stanzu na pol'zovatelya i soderzhit informaciyu o neskol'kih poslednih vhodah v sistemu (imeyushchih silu i nedopustimyh). Informaciya iz etogo fajla otobrazhaetsya pri vhode v sistemu pol'zovatelya. Vy mozhete prochitat' etot fajl, no ne redaktirovat' eto (vremennye otmetki (shtampy) nechitabel'ny lyud'mi).

14. Fajl /etc/security/.profile - prototip dlya fajla $HOME/.profile dlya novyh pol'zovatelej. Vy mozhete redaktirovat' etot fajl kogda trebuetsya. Nekotorye iz etih fajlov imeyut vtoruyu, bolee staruyu, kopiyu v direktorii /etc/security, kotoraya sozdaetsya avtomaticheski pri izmenenii etih fajlov. "Staraya" kopiya imeet simvol "o" kak pervyj simvol imeni fajla. Naprimer, sushchestvuyut fajly /etc/security/limits i /etc/security/olimits.

K soderzhaniyu Vpered Nazad

Upravlenie zadaniyami

K soderzhaniyu Vpered Nazad

Upravlenie zadaniyami

Poisk sistemnyh processov

Dlya polucheniya spiska vseh sistemnyh processov, krome processov yadra, ispol'zujte komandu ps -ef.

# ps -ef

USER PID  PPID C STIME TTY TIME CMD
root 1    0    0 02 Jan    -    1:30 /etc/init
root 1360 1    0 02 jan    -    0:00 /usr/sbin/srcmstr
root 3329 1    0 02 Jan    -    0:00 /usr/lib/errdaemon
root 2563 1360 0 02 Jan    -    0:00 /usr/lpp/info/bin/infod
root 4317 1    0 02 Jan    -    0:00 /usr/sbin/cron
root 7904 1360 0 02 Jan    -    0:00 /usr/sbin/qdaemon
root 8460 1360 0 02 Jan    -    0:00 /usr/sbin/writesrv

Ostanovka processov

ž Dlya ostanovki foreground processov ispol'zujte kombinaciyu klavish preryvaniya (obychno Ctrl+C).
ž Dlya ostanovki background processov ispol'zujte komandu kill.
ž Dlya ostanovki zadanij crontab zakommentirujte sootvetstvuyushchuyu stroku zadaniya v crontab fajle.
ž Dlya ostanovki demona cron zakommentirujte stroku zapuska etogo demona v fajle /etc/inittab ispol'zuya komandu chitab.

Komandnyj fajl (scenarij) skulker

AIX postavlyaetsya s fajlom /usr/sbin/skulker, obychno izvestnym kak skulker. |to - scenarij obolochki, kotoryj udalyaet ryad nezhelatel'nyh fajlov.

Vy mozhete vypolnyat' skulker iz komandnoj stroki (esli Vy - root), ili Vy mozhete vypolnyat' ego avtomaticheski (ispol'zuya cron). |ta komanda avtomaticheski ne vypolnyaetsya cron v bazovoj sisteme AIX.

Imeetsya stroka v fajle /var/spool/cron/crontabs/root dlya vklyucheniya etoj komandy v scenarij cron, no, po umolchaniyu, eta stroka zakommentirovana.

Sleduyushchie fajly udalyayutsya skulker:

ž Zapisannye v bufernyj fajl vyhodnye fajly nahodyashchiesya tam bolee chem chetyre dnya;
ž Fajly, nahodyashchiesya v ocheredi pochty bol'she chem dva dnya;
ž Obychnye fajly v /tmp, kotorye nahodyatsya tam bol'she chem odin den';
ž Obychnye fajly v /var/tmp, kotorye nahodyatsya tam bol'she chem odin den';
ž Fajly *.bak, .*.bak, a.out, core, proof, galley, ...*, ed.hup (s nekotorymi ogranicheniyami), kotorye nahodyatsya tam bol'she chem odin den';
ž Direktorii .putdir, kotorye nahodyatsya tam bol'she chem odin den'.

Vy mozhete izmenyat' parametry skulker, no bud'te vnimatel'ny. |to izmenenie vypolnyaetsya s polnomochiyami root, i lyubye izmeneniya dolzhny byt' horosho provereny.

Kontrolirovanie ispol'zovaniya funkcij cron i at

Sistemnym processom, kotoryj pozvolyaet zapuskat' raboty, kotorye dolzhny byt' vypolneny v opredelennoe vremya, yavlyaetsya demon cron. |tot demon startuet pri starte sistemy soglasno zapisi v fajle /etc/inittab.

Demon cron vypolnyaet rabotu:

ž dlya vypolneniya regulyarnyh komand po raspisaniyu - pri nastuplenii sobytij komandy crontab;
ž dlya vypolneniya komand, kotorye dolzhny byt' vypolneny odin raz - pri nastuplenii sobytij komandy at;
ž dlya vypolneniya komand, kotorye dolzhny vypolnitsya v tot moment, kogda sistema menee vsego zagruzhena - pri nastuplenii sobytij komandy batch.

Hronologicheskie sobytiya konfiguriruyutsya v fajle /var/adm/cron/queuedefs. Vy dolzhny chitat' dokumentaciyu AIX dlya komandy crontab pered ispol'zovaniem funkcij cron. V to vremya kak vozmozhno redaktirovanie nekotorye cron fajlov neposredstvenno, komanda crontab obespechivaet normal'nyj metod dobavleniya, izmeneniya, i udaleniya cron rabot.

Sistema AIX cron (cherez komandu crontab) formiruet otdel'nye fajly dlya rabot ot razlichnyh pol'zovatelej, i v nej udaleny mnogie defekty root, kotorye byli horosho izvestny na bolee staryh UNIX sistemah.

Raboty pol'zovatelya (user) opredeleny v crontab fajle pol'zovatelya /var/spool/cron/crontabs/user. Format crontab fajla pol'zovatelya:

minuta chas den' mesyac den'_nedeli komanda

Vy dolzhny rassmotret', nuzhno li lyubogo iz vashih normal'nyh pol'zovatelej razreshit' predstavit' na rassmotrenie cron ili pri rabotah. Na bolee rannih sistemah, imelas' obshchaya potrebnost' v etih funkciyah, potomu