 таковой. </p>
<p>Џолитика безопасности должна исполнЯтсЯ
во всей организации. Ќе имеет никакого
смысла в защите конфиденциального файла на
одной системе, когда копиЯ этого же файла
может открыто читатьсЯ на другой системе.</p>
<h2>‘колько нужно безопасности?</h2>
<p>‘лишком много безопасности может быть так
же плохо, как и слишком мало. ‘оответствие
самому строгому уровню безопасности вместе
с применением множества средств
обеспечениЯ безопасности, при условии, что
система неаккуратно спроектирована и плохо
управлЯетсЯ, может привести к
неэффективности защиты и сложности
использованиЯ системы по еЈ прЯмому
назначению.</p>
<p>Ќеобходимо помнить, что практически
всегда повышение уровнЯ безопасности
системы требует увеличениЯ времени и
усилий администратора на управление им.</p>
<p>Љомпьютерные уровни защиты, определенные
U.S. Department of Defence стали длЯ большинства
основными критериЯми при закупке систем.
ќтими уровнЯми по возрастанию, ЯвлЯютсЯ D, C1,
C2, B1, B2, B3, и A.</p>
<p>“ровень &quot;D&quot; не имеет никаких функций
защиты.</p>
<p>“ровни &quot;C&quot; имеют контролируемые
средства управлениЯ защиты. ’о есть,
пользователь решает, какие его ресурсы
защищать и управлЯет (до некоторой степени)
тем, как эта защита применЯетсЯ.</p>
<p>“ровни &quot;B&quot; имеют обЯзательные
средства управлениЯ защитой (нарЯду с
другими дополнительными функциЯми).
‘редства управлениЯ автоматически
применЯютсЯ системой.</p>
<p>“ровень &quot;A&quot; ЯвлЯетсЯ столь необычным,
что имеетсЯ только несколько примеров его
практической реализации.</p>
<p>Ћбратите внимание, что вышеупомЯнутые
уровни относЯтсЯ к изолированным системам
и вообще игнорируют проблемы безопасной
работы в сетЯх.</p>
<p>“становка системы уровнЯ &quot;B&quot;
автоматически не повысит уровень
безопасности вашей системы. ‚ам
понадобитсЯ значительно больше времени и
умений длЯ планированиЯ и управлениЯ
системой уровнЯ &quot;B&quot;, чем системой более
низшего уровнЯ.</p>
<p>Ќе приобретайте или не устанавливайте
больше средств защиты чем те, которыми вы
сможете управлЯть.</p>
<h2>Ћбщие дефекты защиты</h2>
<p>‚ этой книге обсуждаетсЯ много дефектов
защиты AIX. Ћднако имеютсЯ три специфических
дефекта, которые ЯвлЯютсЯ более важными,
чем весь другие вместе взЯтые. ќто:</p>
<p>1) недостаточно надежные пароли;</p>
<p>2) &quot;программы устанавливающие userid&quot;;</p>
<p>3) недостаточные ограничениЯ на доступ к
директориЯм.</p>
<p>Џроблема недостаточных паролей не
уникальна длЯ AIX. Џочти каждый компьютерный
пользователь уверен, что он может выбирать
хорошие пароли. Ќо обычно это не так.
Ѓольшинство нападений на UNIX системы
осуществлЯетсЯ подбором паролЯ. € часто эти
нападениЯ удачны, потому что обычно
требуетсЯ наличие только одного userid с
недостаточно надежным паролем, чтобы
обеспечить возможность длЯ получениЯ
несанкционированного доступа к системе.</p>
<p>Ћднажды зарегистрировавшись в системе
&quot;злоумышленник&quot; часто использует &quot;программы
устанавливающие userid&quot; (обычно называемые
suid), чтобы получить более широкий доступ к
системе. ”ункциЯ suid - не дефект (см.Ѓиты
доступа (Џродвинутые)); она ЯвлЯетсЯ
необходимой частью UNIX. Ќарушение
безопасности вызывает неправильное
употребление suid.</p>
<p>AIX не поддерживает suid длЯ командных файлов
оболочки (shell scripts). € это одно из основных
отличий AIX от многих других UNIX систем, что
ЯвлЯетсЯ определенным расширением защиты.</p>
<p>‡ащита файлов (включаЯ файлы, которые
ЯвлЯютсЯ выполнимыми программами) вообще
управлЯетсЯ битами разрешениЯ, хотЯ
доступны и другие средства управлениЯ. Ќа
практике, длЯ надежной защиты файла
требуетсЯ, чтобы кроме установки
пользователем битов разрешениЯ
непосредственно на файл, были установлены
соответствующие биты разрешениЯ на
директории в цепочке директорий ведущих к
файлу.</p>
<p>’е пользователи, которые осторожны с
битами разрешениЯ длЯ их файлов, ЯвлЯютсЯ
часто небрежными (или не сознающими
важность) в отношении установки битов
разрешениЯ на директории.</p>
<p>ќти три дефекта (недостаточные пароли,
программы suid, и установка разрешений на
директории) объЯснЯют многие общие
проблемы защиты UNIX.</p>
<p>Њногие также читали об экзотических и
сложных нападениЯх на различные системы.
’акие нападениЯ существуют, но они редки и
требуют нетривиальной квалификации
нападающего. Џоэтому в этой книге мы
сконцентрируемсЯ на общих и стандартных
элементах защиты длЯ &quot;обычной&quot; системы
AIX в &quot;обычной&quot; коммерческой среде. </p>
<h2>”изическаЯ защита</h2>
<p>”изическаЯ защита имеет несколько
аспектов, включаЯ:</p>
<blockquote>
<p>ћ „оступ к компьютеру;<br>
ћ „оступ к кабелю LAN;<br>
ћ „оступ к привилегированным терминалам,
типа &quot;пульт оператора&quot;.</p>
</blockquote>
<p>Џроблемы физической защиты очевидны и мы
не будем обсуждать их здесь.</p>
<h2>ЉонцепциЯ безопасности AIX</h2>
<p>Ѓезопасность операционной системы AIX
базируетсЯ на том, что каждому пользователю
в системе ставитсЯ в соответствие
уникальное имЯ, идентификатор пользователЯ
(UID) и пароль. Љогда пользователь
подключаетсЯ к системе, его UID используетсЯ
длЯ всех запросов на доступ.
€дентификационный номер имеет также каждый
процесс в системе. Љогда создаетсЯ любой
файл, UID ассоциированный с процессом,
который создал этот файл, ассоциируетсЯ с
этим файлом. ’олько создатель или
пользователь root могут изменить правила
доступа к файлу.</p>
<p>Џредопределены следующие пользователи:
root - супер пользователь с максимально
широкими полномочиЯми adm, sys, bin, ... -
идентификационные номера используемые
системой и которые нельзЯ использовать длЯ
входа в систему пользователЯм.</p>
<p>Џользователи, которым требуетсЯ доступ к
одним и тем же данным или ресурсам,
объединЯютсЯ в группы. ЉаждаЯ группа имеет
уникальное имЯ и групповой
идентификационный номер (GID). GID также
ассоциируетсЯ с файлом при его создании.</p>
<p>Џервоначально существуют две группы: system -
длЯ администраторов user - длЯ обычных
пользователей</p>
<h2>ѓруппы</h2>
<p>‘оздание групп организует пользователей,
которым необходим доступ к одним и тем же
файлам или ресурсам системы. ђуководство
группами должно быть частью любой политики
безопасности в организации. Ћпределение
групп длЯ больших систем может быть очень
сложным и находитсЯ вне контекста этой
книги.</p>
<p>Љаждый пользователь может принадлежать
только к одной группе, а также быть членом
нескольких групп. Џользователи будут часто
принадлежать больше чем к одной группе, но
членство в группах не должно быть
чрезмерным.</p>
<p>‹огично разделение пользователей на
группы пользователей с административными
функциЯми и прочих пользователей. Џоэтому
существуют три различные типы групп в
системе:</p>
<p><b>ѓруппы пользователей</b> ‹юди, которым
необходим доступ к одним и тем же данным,
такие как пользователи, которые работают в
одном отделе или над одним и тем же проектом.</p>
<p><b>ѓруппы системных администраторов</b>
‘истемные администраторы автоматически
ЯвлЯютсЯ членами группы system. —ленство в
одной из этих групп позволЯет системным
администраторам выполнЯть различные
задачи системного администрированиЯ без
необходимости регистрироватьсЯ как
пользователь root. </p>
<p><b>Џредопределенные системные группы</b> ‚
системе существуют предопределенные
группы. Ќапример, группа staff ЯвлЯетсЯ
предопределенной группой длЯ всех новых
неадминистративных пользователей в
системе. „ругаЯ предопределеннаЯ группа
security обладает привилегиЯми длЯ выполнениЯ
ограниченных функций администратора
безопасности.</p>
<p>‘истемные предопределенные группы
используютсЯ длЯ контролЯ над работой
некоторых подсистем.</p>
<p>Ћбщие группы системы следующие:</p>
<p><b>system</b> длЯ основной конфигурации и
поддержки стандартного аппаратного и
программного обеспечениЯ.</p>
<p><b>printq</b> длЯ управлениЯ очередЯми.</p>
<p><b>security</b> управление парольной защитой и
ограничениЯми</p>
<p><b>adm</b> основные функции мониторинга
системы</p>
<p><b>staff</b> предопределеннаЯ группа длЯ всех
новых пользователей системы</p>
<p><b>audit</b> длЯ аудиторов в системе</p>
<h2>Ђдминистрирование групп</h2>
<p>Џользователь может быть членом многих
групп и AIX будет длЯ разрешениЯ доступа к
файлу автоматически искать все разрешениЯ
длЯ этого пользователЯ в его группах. ‚аше
наиболее общее имЯ группы должно быть
сделано заданным по умолчанию именем
группы длЯ новых пользователей. ‚ AIX
заданное по умолчанию имЯ такой группы - staff.</p>
<p>„лЯ изменениЯ наименованиЯ группы,
заданной по умолчанию длЯ новых
пользователей, отредактируйте станзу pgrp в
файле /usr/lib/security/mkuser.default. ‚ этом файле
содержатсЯ значениЯ по умолчанию длЯ
команд mkuser и smit. Ќапример, чтобы заданнаЯ по
умолчанию группа имела имЯ office,
отредактируйте файл /usr/lib/security/mkuser.default
следующим образом: </p>
<pre>user :
    pgrp = staff
на
user :
    pgrp = office</pre>
<p>€меютсЯ также два типа групп в системе:
административные группы и нормальные
группы.</p>
<p>ѓруппа администрации определена в файле /etc/security/group
станзой admin. ‚ каждой группе может иметьсЯ
свой администратор группы. ќто определено в
строфе файла /etc/security/group.</p>
<p>Ќе запутайтесь с указанием
административных прав. …сли значениЯ admin=true
находитсЯ в /etc/security/group (см.”айлы /etc/group и /etc/security/group),
то это указывает административную группу.
Ќо admin=true в файле /etc/security/user (см.”айл /etc/security/user)
означает, что пользователь имеет
административные права длЯ той
специфической группы, котораЯ указана в
станзе adms файла /etc/security/group. ‘ admin=true,
пользователь может управлЯть той группой.</p>
<p>‚ключение пользователЯ в
административную группу не имеет большого
эффекта в AIX. „лЯ небольших систем
рекомендуетсЯ игнорировать
административные группы и пользователей. ‚
этих системах длЯ выполнениЯ управлениЯ
пользователЯми нужно использовать права root.
Ѓольшие же системы (более чем с 30 или 40
пользователЯми) могли бы нуждатьсЯ в
администраторах групп.</p>
<p>…сли ваша политика безопасности
разрешает это, то самым простым способом
выполнЯть управление группой могло бы
стать разрешение администраторам группы
выполнЯть команду su root. …сли ваша политика
безопасности не разрешает администраторам
группы знать пароль root, то в этом случае
можно использовать административную
группу и еЈ атрибуты.</p>
<p>‚ AIX включена группа, именованнаЯ security.
‹юбой член этой группы может читать все
файлы администрированиЯ пользователЯми в
каталоге /etc/security (см. ’еневые файлы), и может
выполнЯть многие из команд управлениЯ
системой. ‘ небольшим усилием, член группы
security может получить полномочиЯ root.
‘ледовательно, только самые доверенные
сотрудники должны быть в этой группе.</p>
<h2>‘тандартные userids</h2>
<p>AIX имеет userid и группы, которые необходимы
системе. Ќе изменЯйте параметры этих
пользователей и групп, если, конечно, ‚ы не
очень уверенны в том, что ‚ы делаете :-).
Ќикогда не входите в систему с любым из этих
userid (за исключением root). </p>
<p>€дентификаторы пользователЯ, которые
включены в систему (в форме, в которой они
описаны в /etc/passwd) перечислены ниже. ќти
идентификаторы используютсЯ длЯ различных
целей, типа монопольного использованиЯ
файла и функций NFS. ‚се они, за исключением
root, ЯвлЯютсЯ заблокированными длЯ входа в
систему в распределенной системе. (Ћни
заблокированы паролем = * в /etc/security/passwd):</p>
<pre>root:!:0:0:/:/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys:
adm:!:4:4::/usr/adm:
uucp:!:5:5::/usr/spool/uucp
public:/usr/lib/uucp/uucico
guest:!:100:100::/usr/guest:
nobody:!:4294967294::4294967294::/:
lpd:!:104:9::/:</pre>
<p>Ќовые пользователи, которых вы добавлЯете,
будут значение по умолчанию в группу staff,
если вы не изменили значение по умолчанию.</p>
<p>groupids, которые включены в систему - (в форме,
в которой они поЯвлЯютсЯ в /etc/group):</p>
<pre>system:!:0:root
staff:!:1:
bin:!:2:root,bin
sys:!:3:root,bin,sys
adm:!:4:bin,adm
uucp:!:5:uucp
mail:!:6:
security:!:7:root
cron:!:8:root
printq:!:9:lpd
audit:!:10:root
ecs:!:28:
nobody:!:4294967294:nobody
usr:!:100:guest</pre>
<p>ЌастоЯтельно не советуетсЯ назначать
пользователей в любую из перечисленных
выше групп (за исключением staff), если,
конечно, вы не уверенны относительно
последствий таких действий. Ќекоторые из
этих групп (типа system, bin, security, cron) - владельцы
совокупности многих важных файлов и
директорий. ‚ключение пользователЯ в любую
из этих групп, с небольшим усилием, может
скомпрометировать любые средства
информационной безопасности в системе.</p>
<h2>Џользователи</h2>
<p>‚се пользователи в системе, в
соответствии с их правами, разделены на три
категории:</p>
<p>1. <b>пользователь root</b>;</p>
<p>2. <b>пользователи с административными
правами</b> (группы security, system, printq, cron, adm, audit).
Ћсобого вниманиЯ заслуживают пользователи
включенные в группу security, так как они могут
добавлЯть/удалЯть/изменЯть других
пользователей или группы;</p>
<p>3. <b>обычные пользователи</b>.</p>
<p>„лЯ защиты пользователей из
административной категории от
некорректных действий пользователей
группы security, только пользователь root может
добавлЯть/удалЯть/изменЯть пользователей и
группы административной категории. </p>
<p>„лЯ того чтобы добавить любого
пользователЯ в административную категорию
следует сделать следующее: </p>
<p>Ќабрать команду: # cat /etc/security/user и в станзе
описаниЯ пользователЯ внести следующее: </p>
<pre>user1: admin=true</pre>
<h2>ЏеременнаЯ PATH</h2>
<p>PATH - относЯщаЯсЯ к окружению переменнаЯ,
используемаЯ текущей оболочкой при поиске
исполнЯемых файлов (команд). Џри
использовании нормальной оболочки,
пользователь может изменЯть PATH в любое
времЯ. Ќе имеетсЯ никакого приемлемого
способа предотвратить такие изменениЯ. (ЋграниченнаЯ
оболочка, обсужденнаЯ в Trusted Computing Base (TCB) не
разрешает изменениЯ длЯ PATH.)</p>
<p>Ћдна из целей защиты состоит в том, чтобы
защитить root (или любого другого
пользователЯ) от выполнениЯ поддельной
программы. Ќапример, если /tmp (незащищенный
каталог) - первый элемент в PATH и если
злоумышленник поместит программу под
именем su в /tmp, эта программа su будет
выполнена вместо правильной программы su
системы.</p>
<p>„ефект PATH - простое понЯтие и вы, как
администратор системы, должны понЯть это.
PATH пользователЯ обычно устанавливаетсЯ (используЯ
профиль системы и профиль пользователЯ (если
они существует)), когда он регистрируетсЯ в
системе. „омашней директорией пользователЯ
root обычно ЯвлЯетсЯ директориЯ root и файл /.profile
(если он существует) будет выполнен, когда
root регистрирует в систему. …сли же мы
получаем полномочиЯ root используЯ команду su
профиль root (это верно и длЯ получениЯ
полномочий любого другого пользователЯ
командой su) автоматически не выполнЯетсЯ. (€спользование
флажка &quot;-&quot; с командой su заставит
профиль целевого пользователЯ быть
выполненным, но это может иметь последствиЯ
на текущем пользователе. Ћбычно, флажок
&quot;-&quot; не используетсЯ с su.)</p>
<p>Ќапример, если вы регистрируетесь в
системе как обычный пользователь и затем
даЈте команду su root, вы продолжаете
использовать профиль (и PATH), установленный
первоначальным профилем пользователЯ. ќто
может быть источником серьезных нарушений
защиты, подобных этой:</p>
<p>1. Џользователь (желающий получить пароль
root) пишет маленькую программу на C,
выводЯщую сообщениЯ, аналогичные
сообщениЯм команды su. ’о есть, эта программа
попросит вас ввести пароль root.</p>
<p>2. Џользователь компилирует и линкует эту
программу и помещает еЈ в свою библиотеку.</p>
<p>3. Џользователь изменЯет свой PATH таким
образом, чтобы первой директорией в поиске
была его личнаЯ (home) директориЯ.</p>
<p>4. Џользователь просит администратора
решить какую-нибудь проблему, решение
которой, вероЯтно, требует прав доступа root.</p>
<p>5. Ђдминистратор приходит к терминалу
пользователЯ и использует команду su, чтобы
получить полномочиЯ root. Љогда
администратор вводит команду su, система
ищет программу с именем su сначала в личной
директории пользователЯ (как установлено в
PATH пользователЯ) и находит подделанную
программу su и выполнЯет еЈ.</p>
<p>6. Џрограмма su пользователЯ запрашивает
ввод администратором паролЯ root, сохранЯет
пароль в невидимом файле, посылает
сообщение об ошибке о вводе неправильного
паролЯ и стирает саму себЯ.</p>
<p>7. Ђдминистратор думает, что он ввел
неправильный пароль и пытаетсЯ снова
выполнить команду su root. ‘ейчас всЈ
функционирует нормально, так как
подделаннаЯ программа уже удалена и сеанс
продолжаетсЯ как обычно.</p>
<p>8. Џользователь позже читает пароль root из
невидимого файла и может войти в систему
как root.</p>
<p>ќто - классическое нападение &quot;’роЯнского
конЯ&quot;, и оно сработало, потому что
администратор выполнил команду su используЯ
неправильный PATH.</p>
<p>„лЯ защиты от таких нападений на систему
безопасности, рекомендуетсЯ следующее: </p>
<p>1. Ђдминистратор, при получении полномочий
root, если он работает в среде другого
пользователЯ, должен всегда вводить полное
имЯ пути команд. ќто позволит избежать
использованиЯ PATH пользователЯ.</p>
<p>2. ‚ PATH длЯ обычного пользователЯ первыми в
пути поиска должны быть стандартные
директории системы, перед текущей
директорией или специфической директории
$HOME. ‡аданный по умолчанию путь (установлен
значением по умолчанию) длЯ AIX: PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:.
Џоддиректории внутри /usr содержат
большинство команд AIX, используемых
обычными пользователЯми. „иректориЯ /etc
содержит символьные ссылки на команды в
более удаленных директориЯх. Ћбратите
внимание, что сначала ищутсЯ библиотеки
системы. € только после этого поиска
просматриваютсЯ программы в $HOME/bin. &quot;’очка&quot;
в последней позиции PATH указывает на поиск в
текущей директории. </p>
<p>€гнорируЯ малые элементы (X11 и /sbin), порЯдок
поиска PATH следующий: директории системы,
директориЯ программ пользователЯ(/$HOME/bin) и
текущаЯ директориЯ. ќто - безопасный
порЯдок поиска, хотЯ можно спорить о том,
должна ли текущаЯ директориЯ (&quot;точка&quot;)
быть в пути поиска.</p>
<h2>Ѓлокировки по времени</h2>
<p>Ѓлокировки по времени используютсЯ, чтобы
автоматически блокировать оболочку,
котораЯ неактивна слишком долго. ”ункциЯ
блокировки по времени обеспечиваетсЯ не
длЯ базисного Ядра AIX, а длЯ оболочек AIX.</p>
<p>Џо умолчанию блокировка по времени не
включена. „лЯ установки блокировки по
времени Korn shell использует переменную TMOUT, а
Borne shell использует переменную TIMEOUT. ‚ы, как
администратор, должны установить одну или
обе из этих переменных, если ‚ы хотите
автоматически блокировать оболочку после
чрезмерного неактивного состоЯниЯ.</p>
<p>ЌастоЯтельно рекомендуетсЯ использовать
эту функцию, потому что терминалы без
присмотра - серьезное нарушение защиты.
Ќапример, добавьте строки в файлы /etc/profile
или к /etc/security/.profile: </p>
<pre>TMOUT=45
TIMEOUT=45
export TMOUT TIMEOUT</pre>
<p>Ѓлокировка по времени выражена в минутах.
…сли пользователь запускает несколько
оболочек (например, запускаЯ команду ksh
неоднократно), оболочки будут блокированы
по времени в обратном порЯдке.</p>
<p>Џериод блокировки по времени - переменнаЯ
относЯщаЯсЯ к оболочке или к окружению и
она может быть изменена каждым
пользователем. ‚ы не можете предписывать
стандартное длЯ всех значение (если только
ваши пользователи не знают, что они могут
изменЯть значение периода блокировки по
времени).</p>
<h2>Џодсказки (Prompts)</h2>
<p>‚ы можете устанавливать подсказку
оболочки, чтобы показать на экране
информацию о текущей директории. „лЯ
пользователей оболочки Korn, это выполнЯетсЯ
путЈм добавлениЯ следующих двух строк в
профиль $HOME/.profile:</p>
<pre>PS1='$PWD $ ' (используйте одиночные кавычки)
export PS1</pre>
<p>ќто изменение обеспечивает выведение
пути и имени текущей директории,
сопровождаемых традиционным символом &quot;$&quot;.
Љ сожалению, эта простаЯ методика вводит в
заблуждение, если пользователь выполнЯет
команду su root. &quot;$&quot; будет всЈ еще
поЯвлЯтьсЯ вместо символа &quot;#&quot; который
ЯвлЯетсЯ традиционным длЯ su root.</p>
<p>ќтого можно избежать, не используЯ такую
подсказку длЯ пользователей, которым часто
приходитсЯ выполнЯть команду su root, или
используЯ команду su с флажком &quot;-&quot;. </p>
<p>Џодсказка, показывающаЯ путь текущей
директории, полезна длЯ многих
пользователей, особенно, если они обычно
работают со многими директориЯми.</p>
<p>Ќе имеетсЯ более никаких дефектов защиты
при использовании подсказок (кроме как
вышеуказанного введениЯ в заблуждение
администратора), но информативнаЯ
подсказка может уменьшать количество
ошибок пользователЯ.</p>
<h2>Ћтключение userid root</h2>
<p>ђедко имеетсЯ необходимость длЯ
регистрации в системе пользователем root.
Ѓольшинство &quot;несчастных случаев&quot; в
системах UNIX часто вызваны использованием
root, как стандартного userid. Џоэтому, после
того, как ваша система сконфигурирована, вы
можете отключить возможность входа в
систему как root. “полномоченные
пользователи (те, кто знают пароль длЯ root)
могут пользоватьсЯ командой su root после того,
как они вошли в систему под их обычными userids.</p>
<p>Ћтключение root легко выполнЯетсЯ с помощью
SMIT:</p>
<pre>smit -Security and Users --Users
---Change / Show Characteristics of a Userid
* User NAME [root]
...
Another user can SU TO USER? [true]
...
User can LOGIN? [false] &lt;--
User can LOGIN REMOTELY? [false] &lt;--</pre>
<p>Ќе отключайте пользователЯ root, напрЯмую
редактируЯ файл /etc/passwd и изменЯЯ поле
паролЯ. ’акое действие запретит вам
использование полномочий root с помощью
команд su или telnet.</p>
<h2>Ђудит безопасности</h2>
<p>”айл /var/adm/sulog содержит информацию в ASCII
формате о дате, времени, имени системы и
имени пользователЯ, которые входили в
систему. ќтот файл можно просмотреть
командами pg, more или cat. ќтот файл также
фиксирует тот факт, была ли попытка входа в
систему удачной или нет.</p>
<p>”айл /etc/utmp содержит информацию о текущих
пользователЯх системы.</p>
<p>Ђ файл /var/adm/wtmp содержит информацию о
времени нахождениЯ пользователей в системе
(фиксирует времЯ входа и выхода из системы).
„лЯ просмотра этой информации используйте
команду who file_name. Љоманда who без параметров
показывает содержимое файла /etc/utmp.</p>
<p>„лЯ просмотра хронологического списка
входов и выходов из системы используетсЯ
также команда last. Ќапример, команда last root
выдаст информацию обо всех входах и выходах
из системы пользователЯ root, а команда last reboot
покажет времЯ прошедшее между
перезагрузками системы.</p>
<p>‘уществует также еще один важный файл,
просматриваемый командой who. ќто файл /etc/security/failedlogin,
из названиЯ которого следует, что в него
заноситьсЯ информациЯ каждый раз при
неправильном вводе имени и/или паролЯ при
входе в систему. Ќераспознанные имена
пользователей записываютсЯ как UNKNOWN.</p>
<h2>Џроверка пользовательского окружениЯ</h2>
<p>„лЯ поддержки системы безопасности вы
можете воспользоватьсЯ некоторыми &quot;проверЯющими&quot;
командами (grpck, usrck, pwdch, sysck, tcbck) и &quot;списочными&quot;
командами (lsuser и lsgroup) доступными длЯ
использованиЯ пользователю root (или любому
пользователю из группы security).</p>
<h3>Љоманда grpck</h3>
<p>Љоманда grpck проверЯет длЯ всех
пользователи, поскольку члены группы
определены как пользователи, что их gid
уникальны, и что имЯ группы правильно
сформировано. ’акже выполнЯютсЯ другие
небольшие проверки. ”лажок -t заставлЯет
команду сообщать об ошибках и спрашивать
относительно разрешениЯ об их устранении:
grpck -t ALL</p>
<p>ќта команда проверЯет среду группы, и,
если ‚ы отвечаете Yes на запрос, будут стЈрты
userids, которые не существуют или длЯ которых
станзы в файле /etc/security/user имеют
противоречивые данные.</p>
<h3>Љоманда usrck</h3>
<p>Љоманда usrck проверЯет много параметров
области определениЯ userid. ”лажок -t
заставлЯет команду сообщать об ошибках и
спрашивать относительно разрешениЯ об их
устранении. ‚ некоторых случаЯх команда
отключит userid, добавлЯЯ дату окончаниЯ в
область определениЯ пользователЯ. Ќа
данные пользователЯ эта команда не
воздействует. ЏользователЯ можно допустить
в систему снова, удалЯЯ добавленную дату
окончаниЯ (используЯ SMIT или
непосредственно редактируЯ файл /etc/security/user).</p>
<p>usrck -t ALL Ќикогда не пробуйте исправлЯть userid
root, используЯ эту команду. …сли ‚ы хотите
попробовать это сделать, пожалуйста
сначала прочитайте о восстановлении root userid
(см.‚осстановление root userid).</p>
<h3>Љоманда pwdck</h3>
<p>Љоманда pwdck проверЯет опознавательные
станзы в файлах /etc/passwd и /etc/security/passwd. …сли
что-то неправильно, стандартным действием
этой команды ЯвлЯетсЯ удаление станзы или
создание станзы /etc/security/passwd с * (звездочкой)
в поле паролЯ. ‡апустив эту команду
нижеуказанным синтаксисом вы получите
сообщение о проблемах и отчет об их
фиксации: pwdck -t ALL Љоманда pwdck не проверЯет
определенные правила заданиЯ паролЯ, типа
minalpha, minother, и lastupdate. </p>
<h3>Љоманды lsgroup и lsuser</h3>
<p>ќти команды используютсЯ SMIT, но ‚ы можете
также использовать их непосредственно.
ЏрЯмое использование может быть более
удобно, когда вы хотите помещать их вывод в
файл, например так: </p>
<pre>lsgroup -f ALL &gt;&gt; /tmp/check lsuser -f ALL &gt;&gt; /tmp/check</pre>
<p>‚ форме, показанной выше, эти команды
создают файл /tmp/check и пишут в него свой вывод.</p>
<p>ќти команды отображают большинство
информации необходимой длЯ управлениЯ
пользователЯми и группами. ќти команды
могут использоватьсЯ любым пользователем,
но намного больше информации отображаетсЯ,
когда они используютсЯ пользователем root (или
любым членом группы security).</p>
<p>Љоманда lsuser непосредственно полезна при
использовании root длЯ специфического
пользователЯ, например: lsuser joe ќта команда
отобразит несколько строк, содержащие
информацию управлениЯ длЯ пользователЯ joe.
Љогда lsuser используетсЯ с операндом ALL,
информациЯ отображаетсЯ длЯ всех
пользователей в системе. „оступны
несколько опций форматированиЯ.</p>
<h3>Љоманда tcbck</h3>
<p>ќта команда описана подробно в Trusted Computing
Base (см.Trusted Computing Base). </p>
<h2>”ункции ђевизии (Ђудита)</h2>
<p>Љогда вы устанавливаете AIX, подсистема
контролЯ по умолчанию не устанавливаетсЯ.
Џодсистема ревизии (аудита) обеспечивает
средства, чтобы прослеживать и записывать
относЯщуюсЯ к защите информацию. ‚ы можете
использовать эту информацию, чтобы
обнаружить потенциальные и фактические
нарушениЯ стратегии защиты. </p>
<p>‚ы (администратор, действуЯ как root) можете
конфигурировать и управлЯть подсистемой
аудита. ђЯд команд, файлов управлениЯ, и
параметров взаимодействует, чтобы
управлЯть ревизией. Ћни могут быть длЯ вас
сложными.</p>
<p>‘ледующие описаниЯ концентрируютсЯ на
базисном использовании и принимают, что вы
используете контрольный файл управлениЯ,
поставленный с AIX, только с минимальными
изменениЯми.</p>
<p>Љогда запущена контрольнаЯ подсистема,
она ревизует (то есть генерирует запись
вывода) длЯ событий и объектов.</p>
<p>Њогут быть определены два различных
режима записи: BIN и STREAM.</p>
<h3>Љонтрольные ‘обытиЯ</h3>
<p>‘обытие - выполнение определенного
действиЯ, которое создает директорию или
модифицирует пароль. Ћбнаружение ‘обытиЯ
распределено через AIX (внутри доверенных
модулей). ‘писок всех определенных событий
ревизии AIX дан в Љонтрольном ‘обытии (вы
можете добавлЯть контрольные событиЯ длЯ
ваших собственных программ, и расширЯть
этот список, но это было бы необычно). Ћтчет
включает имЯ событиЯ, успех событиЯ, и
специфические данные длЯ этого вида
событий. —ерез различные контрольные
средства управлениЯ вы можете выбирать,
какие из этих событий вы хотите
активизировать и записывать.</p>
<p>‚ы должны минимизировать количество
отслеживаемых событий, насколько это
возможно. ‡апись всех возможных событий длЯ
каждого пользователЯ в системе может
произвести к генерированию огромного
количества данных и значительно понизит
эффективность всей системы. Џричем,
администратор системы или безопасности
просто физически не смогут разобратьсЯ с
таким &quot;обвалом&quot; контрольной
информации за приемлемый срок.</p>
<p>ђевизиЯ ‘обытиЯ ‚‘…ѓ„Ђ свЯзываетсЯ с userid (или
userids). Ќапример, вы можете отслеживать
создание директорий пользователем joe.</p>
<p>€меютсЯ приблизительно 130 различных
контрольных событий, встроенных в AIX.
Љонтрольные событиЯ сгруппированы в классы.
€мена классов произвольны. </p>
<h3>Љонтрольные Ћбъекты</h3>
<p>‚ дополнение к отслеживанию событий, вы
можете ревизовать объекты. Џрактически, -
следить за файлами.</p>
<p>‚ы можете контролировать три файловые
операции: чтение, запись и выполнение.
Ћбъекты не свЯзаны с пользователЯми.</p>
<p>Њеханизм длЯ ревизии объекта генерирует
псевдособытиЯ, и этот процесс работает
очень подобно ревизии событий. ‚ы можете
легко добавлЯть дополнительные файлы,
включаЯ ваши файлы прикладных программ, в
список контрольных объектов, расширЯЯ файл
/etc/security/audit/objects.</p>
<h3>Љоманды аудита</h3>
<p>€меютсЯ пЯть разновидностей команд
аудита:</p>
<p>ћ Audit start - используетсЯ длЯ
активизированиЯ подсистемы контролЯ. ќто -
единственно правильный способ начать
ревизию.</p>
<p>ћ Audit shutdown - прекращает работу подсистемы
контролЯ, производитсЯ обработка
заключительных записей BIN (если необходимо)
и удалЯетсЯ файл /audit/auditb, который
используетсЯ как &quot;активный&quot; индикатор
контрольных моду-лей. </p>
<p>ћ Audit off - временное приостановление
ревизии. Ќапример, при контрольном закрытии
системы нет необходимости использовать
ревизию.</p>
<p>ћ Audit on - включение подсистемы контролЯ
после временного ее выключениЯ командой audit
off.</p>
<p>ћ Audit query - отображение состоЯниЯ
подсистемы ревизии.</p>
<h2>ЋграничениЯ доступа к файлам/директориЯм</h2>
<p>‘уществуют несколько битов доступа (разрешениЯ),
ассоциированные с файлом или директорией.</p>
<p>‘тандартные ограничениЯ r (read), w (write) и x (execute)
определЯют три уровнЯ доступа длЯ
пользователЯ (владельца), группы (group) и
остальных (others). ‚ добавление к этим трем
ограничениЯм существуют три бита доступа
известные как SUID (set UID), SGID (set GID) и SVTX (sticky bit).</p>
<p>Ѓит SUID, установленный на исполнЯемом
файле, означает, что при выполнении этого
файла процесс выполнЯетсЯ с эффективным
идентификатором пользователЯ (UID) владельца
файла. SUID не поддерживаетсЯ длЯ командных
файлов оболочки (shell scripts). Ѓит SUID никак не
относитсЯ к директориЯм.</p>
<p>Ѓит SGID, установленный на исполнЯемом
файле, означает, что при выполнении
исполнЯемого файла процесс выполнЯетсЯ с
эффективным групповым идентификатором (GID)
группы владельца файла. Ѓит SGID,
установленный длЯ директории означает что
каждый файл или директориЯ создаваемые в
этой директории имеют те же групповые
разрешениЯ что и первичнаЯ группа
пользователЯ, создающего новый файл/директорию. </p>
<table border="0" width="100%" cellspacing="0" cellpadding="0">
  <tr>
    <td width="33%"><b>Ѓит доступа</b></td>
    <td width="33%"><b>”айл </b></td>
    <td width="34%"><b>„иректориЯ </b></td>
  </tr>
  <tr>
    <td width="33%" align="center">r</td>
    <td width="33%">пользователь может читать
      содержимое файла</td>
    <td width="34%">пользователь может
      просматривать содержимое директории</td>
  </tr>
  <tr>
    <td width="33%" align="center">w</td>
    <td width="33%">пользователь может изменЯть
      содержимое файла</td>
    <td width="34%">пользователь может создавать
      файлы и перемещать файлы в директорию</td>
  </tr>
  <tr>
    <td width="33%" align="center">x</td>
    <td width="33%">пользователь может использовать
      имЯ файла как команду</td>
    <td width="34%">пользователь может входить (cd) в
      директорию и помещать еЈ в PATH</td>
  </tr>
  <tr>
    <td width="33%" align="center">SUID</td>
    <td width="33%">программа выполнЯетсЯ с
      эффективным UID владельца</td>
    <td width="34%">-</td>
  </tr>
  <tr>
    <td width="33%" align="center">SGID</td>
    <td width="33%">программа выполнЯетсЯ с
      эффективным GID владельца</td>
    <td width="34%">файлы, созданные в директории
      наследуют принадлежность к той же
      группе, что и директориЯ</td>
  </tr>
  <tr>
    <td width="33%" align="center">SVTX</td>
    <td width="33%">-</td>
    <td width="34%">длЯ удалениЯ файла в директории
      пользователь должен быть владельцем
      файла или директории</td>
  </tr>
</table>
<p>—тобы интерпретировать полЯ разрешений,
выдаваемых, например, командой ls будет
полезна нижеследующаЯ схема:</p>
<p><span lang="RU" style="font-size:10.0pt;font-family:
&quot;Times New Roman&quot;;mso-fareast-font-family:&quot;Times New Roman&quot;;mso-ansi-language:
RU;mso-fareast-language:RU;mso-bidi-language:AR-SA"><img src="19.htm1.gif" v:shapes="_x0000_i1025" width="438" height="210"></span></p>
<h2>”айловаЯ защита AIX</h2>
<p>”айловаЯ защита - наиболее очевидный
элемент защиты длЯ большинства
пользователей AIX. Ѓазисными элементами,
управлЯющими защитой файла в локальной
системе ЯвлЯютсЯ:</p>
<p>ћ Ѓиты разрешениЯ, свЯзанные с файлом.<br>
ћ Ѓиты разрешениЯ, свЯзанные с директорией,
содержащей имЯ файла.<br>
ћ Ѓиты разрешениЯ во всех директориЯх в
пути к файлу.<br>
ћ ‘писки разрешений ACL.<br>
ћ ‚ладелец файла.<br>
ћ ѓруппа-владелец файла.<br>
ћ ‚ладелец и группа-владелец директории, в
которой размещен файл.<br>
ћ ‚ладельцы и группы-владельцы всех
директорий высшего уровнЯ в пути к файлу.<br>
ћ Џрограммы, выполнЯющиесЯ с эффективным
userid пользователЯ root. </p>
<h2>—астные файловые системы</h2>
<p>…сли вы создаете дополнительные файловые
системы, рекомендуетсЯ, чтобы точки
монтированиЯ директорий имели биты
разрешениЯ -rwx ------- (восьмеричный 700). </p>
<p>Џереносимые файловые системы (которые
ЯвлЯютсЯ обычно &quot;частными&quot;), имеют
уникальный дефект защиты. Љогда их
примонтируют, они функционируют как
нормальные файловые системы, включаЯ
функции suid (и особенно suid root). </p>
<p>Џользователь мог бы взЯть свою
переносимую файловую систему, добавить suid-программы
root. Љогда эта файловаЯ система установлена
на вашей системе, все эти suid-программы root
могли бы быть агрессивными.</p>
<p>Ђдминистратор имет некоторый контроль
над установкой частных файловых систем (Ћдна
из опций mount - nosuid. ђекомендуетсЯ всегда
использовать эту опцию при установке
переносимых файловых систем (включаЯ CD-ROM), и
(возможно) при установке любой частной
файловой системы).</p>
<h2>Inodes и Links</h2>
<p>Ќормальные файловые системы UNIX (включаЯ JFS
AIX) используют уровень косвенного
управлениЯ файлами, который обычно
скрываетсЯ от пользователЯ.</p>
<p>Ђдминистратор должен понимать некоторые
базисные элементы косвенного управлениЯ,
так как они важны длЯ защиты файлов.</p>
<p>„оступ к данным файла в UNIX - обычно подобен
такой процедуре:</p>
<pre>запись в директории --&gt; inode --&gt; блоки данных</pre>
<p>’о есть запись длЯ файла в директории не
указывает на данные файла. Ћна указывает на
inode, который, в свою очередь, указывает на
данные.</p>
<p>Ѓиты разрешениЯ защиты относЯтсЯ к inode, а
не к записи длЯ файла в директории. ‡апись в
директории содержит &quot;имЯ&quot; длЯ файла,
типа /u/trial/data.</p>
<p>inode имеет номер идентификации, но не &quot;имЯ&quot;
файла. </p>
<p>Ѓолее общее изображение могло бы быть: </p>
<pre>/u/trial/data --&gt; /xyz/j/g34/check --&gt; inode 317 --&gt; data blocks /joes/stuff --&gt; </pre>
<p>‚ этом примере, одиночный файл (основанный
на inode 317 внутри некоторой файловой системы)
имеет три директории &quot;свЯзи&quot;. ’от же
самый файл имеет три очень различных &quot;имени&quot;.
Ѓиты ђазрешениЯ (и UID и GID) сохранены в inode.
‚ызов к файлу через любое из имен будет
обеспечивать те же самые разрешениЯ и
средства управлениЯ владельца. ќти имена
дополнительного пространства
обеспечиваютсЯ символическими свЯзЯми. (‘имволическаЯ
свЯзь может функционировать между
различными файловыми системами, и не
удалЯетсЯ, если адресат inode удален.</p>
<p>†есткаЯ
свЯзь работает только внутри конкретной
файловой системы и может быть элементом
управлениЯ в удалении данных файла и inode.)</p>
<p>Џодобные свЯзи могут существовать и на
уровне директории (т.к. директориЯ - частный
случай файла). Ќапример, директориЯ /xxx могла бы
быть символически свЯзана с директорией /etc.
ќто означает, что файл /xxx/my/data - на самом деле
ЯвлЯетсЯ файлом /etc/my/data. Љ одному и тому же
самому файлу обращаютсЯ в обоих случаЯх,
хотЯ используютсЯ различные структуры
директорий. ‡начение защиты свЯзей
директорий обсуждены позже.</p>
<h2>Њонопольное
использование</h2>
<p>Љаждый файл (включаЯ
директории) имеет владельца и группу.
‚ладелец и идентификаторы группы
владельца (UID и GID) сохранены в inode.
€значально владелец это пользователь,
который создал файл. ѓруппа - текущаЯ группа
владельца, когда он создаЈт файл.
Џользователь root может изменЯть владельца
файла, используЯ команду chown, и может
изменЯть группу владельца с командой chgrp.</p>
<p>‚
AIX, обыкновенные пользователи не могут
использовать команды chown или chgrp, потому что
эти функции могут косвенно привести к
дефектам защиты. ‚ некоторых версиЯх UNIX, эти
две команды доступны обычным пользователЯм.</p>
<p>Ћбратите внимание, что монопольное
использование соответствует UID (владельца)
и GID (группы владельца), а не его userid и groupid.
…сли userid (и его соответствующий UID) удален из
системы, файлы, принадлежащие этому UID
остаютсЯ в системе. “даление userid не удалЯет
его файлы. Ћднако, в этом случае файлы, как
кажетсЯ &quot;не имеют&quot; владельца. Ќо как
только другой, позже назначенный userid,
получит тот же самый UID, то он станет
владельцем всех файлов, свЯзанных с этим UID.</p>
<p>…сли вас касаетсЯ эта проблема, вы можете
блокировать счет пользователЯ вместо того,
чтобы удалить его.</p>
<p>‚ы должны также понЯть,
как на монопольное использование файла
воздействуют команды mv и cp (перемещениЯ и
копированиЯ). Љоманда копированиЯ cp всегда
создает новый файл, и пользователь который
дал эту команду становитсЯ владельцем
нового файла. Љонечно, этот пользователь
должен иметь достаточные разрешениЯ на
чтение исходного файла.</p>
<p>…сли команда
перемещениЯ mv используетсЯ, чтобы
переместить файл внутри файловой системы,
монопольное использование файла не
изменЯетсЯ. Џользователь команды mv должен
иметь разрешение на запись в целевой
директории, и достаточные разрешениЯ на
чтение исходного файла. …сли команда mv
используетсЯ, чтобы переместить файл в
другую файловую систему, новый файл
создаЈтсЯ и текущий пользователь
становитсЯ владельцем файла. Џользователь
должен иметь разрешение на запись и в
исходной директории (чтобы удалить файл) и в
целевой директории (чтобы создать новый
файл). Ћн должен также иметь
соответствующие разрешениЯ на чтение длЯ
источника.</p>
<h2>Ѓиты доступа (Ѓазовые)</h2>
<p>”айлы (и
директории) имеют биты доступа. Ћни иногда
называютсЯ битами &quot;режима&quot;, но мы будем
использовать термин &quot;биты доступа&quot; или
&quot;разрешениЯ&quot;. </p>
<p> €меютсЯ 12 битов доступа:</p>
<p>ћ ’ри бита системы (которые непосредственно
не отображаютсЯ);<br>
ћ ’ри бита владельца, которые определЯют то,
что разрешаетсЯ делать владельцу;<br>
ћ ’ри бита группы, которые
описывают что разрешаетсЯ делать членам
группы владельца;<br>
ћ ’ри всеобщих бита,
которые описывают то, что разрешаетсЯ
делать любым другим пользователЯм.</p>
<p>Ѓиты
доступа часто отображаютсЯ как девЯть
битов (три старших системных бита отображаютсЯ
специальными способами).</p>
<p>ђазрешениЯ - не
ЯвлЯютсЯ иерархическими; то есть
разрешение на запись или на выполнение не
включают в себЯ разрешениЯ на чтение.</p>
<p>Ѓиты
доступа часто записывают в восьмеричном
формате. ‚осьмеричный формат удобен, так
как перваЯ цифра в такой записи разрешений
показывает разрешениЯ длЯ владельца,
втораЯ цифра - разрешениЯ длЯ группы
владельца, и третьЯ цифра - разрешениЯ длЯ
остальных пользователей.</p>
<h2>Љоманда ls</h2>
<p>Љоманда
ls - вероЯтно одна из наиболее важных команд
длЯ администратора безопасности. ‚ы должны
понЯть детализированную информацию,
которую это отображает. AIX также
обеспечивает команду li, котораЯ ЯвлЯетсЯ
очень подобной ls. </p>
<p> ЏредлагаетсЯ, чтобы вы
концентрировались на команде ls, так как это
- стандарт во всех системах UNIX, и обучатьсЯ,
чтобы использовать несколько из
факультативных флажков.</p>
<p>ЃазиснаЯ команда ls
отображает список файлов в текущем
каталоге и не отображает больше ничего. „лЯ
получениЯ большого количества информации, ‚ы будете
обычно использовать одну из сле-дующих форм:</p>
<p>ћ ls -al<br>
ћ ls -ld<br>
ћ ls -l /some/file/name<br>
ћ ls -ld /some/directory/name</p>
<p>ЏерваЯ форма, ls -al, отображает информацию
относительно всех файлов в текущем
каталоге, включаЯ &quot;скрытые&quot; файлы (чьи
имена начинаютсЯ с периода(точки)).</p>
<p>‚тораЯ
форма, ls -ld, отображает информацию
относительно текущей директории.</p>
<p> ’ретьЯ
форма, ls -l /some/file/name, отображает информацию
относительно специфического файла.</p>
<p>ЏоследнЯЯ форма, ls -ld /s
Ѓит доступа	”айл	„иректориЯ
r	пользователь может читать содержимое файла	пользователь может просматривать содержимое директории
w	пользователь может изменЯть содержимое файла	пользователь может создавать файлы и перемещать файлы в директорию
x	пользователь может использовать имЯ файла как команду	пользователь может входить (cd) в директорию и помещать еЈ в PATH
SUID	программа выполнЯетсЯ с эффективным UID владельца	-
SGID	программа выполнЯетсЯ с эффективным GID владельца	файлы, созданные в директории наследуют принадлежность к той же группе, что и директориЯ
SVTX	-	длЯ удалениЯ файла в директории пользователь должен быть владельцем файла или директории