Tato kapitola se zabývá následujícími tématy:
Uživatelé;
Rozdíly mezi privilegovanými a neoprávněnými uživateli;
Přihlašovací soubory;
Soubor / etc / passwd;
/ Atd. / Stínový soubor;
Soubor / etc / gshadow;
Soubor /etc/login.defs;
Úprava informací o vypršení platnosti hesla;
Zabezpečení WSWS je založeno na konceptech uživatelů a skupin. Všechna rozhodnutí o tom, co uživatel smí nebo nesmí dělat, se dělají podle toho, kdo je přihlášený uživatel z pohledu jádra operačního systému.
Celkový pohled na uživatele
WSWS je víceúlohový víceuživatelský systém. Operační systém je zodpovědný za vzájemnou izolaci a ochranu uživatelů. Systém sleduje každého z uživatelů a podle toho, kdo je tento uživatel, určuje, zda je možné mu udělit přístup ke konkrétnímu souboru nebo povolit spuštění konkrétního programu.
Při vytváření nového uživatele je mu přiřazeno jedinečné jméno
POZNÁMKA
Systém určuje uživatelská oprávnění na základě ID uživatele (ID uživatele, UID). Na rozdíl od uživatelského jména nemusí být UID jedinečné. V takovém případě se k přiřazení uživatelského jména k němu použije nalezené křestní jméno, které odpovídá danému UID.
Každému novému uživateli registrovanému v systému jsou přiřazeny určité prvky systému.
Privilegovaní a neprivilegovaní uživatelé
Když je do systému přidán nový uživatel, je mu přiřazeno speciální volané číslo uživatelské ID(ID uživatele, UID). V Caldera WSWS začíná přidělování ID novým uživatelům od 500 a pokračuje směrem k vysoká čísla až 65 534. Čísla až 500 jsou vyhrazena pro systémové účty.
Identifikátory s čísly menšími než 500 se obecně neliší od ostatních identifikátorů. Aby program správně fungoval, často potřebuje speciálního uživatele s plným přístupem ke všem souborům.
Číslování ID začíná na 0 a pokračuje až do 65 535. UID 0 je speciální UID. Jakýkoli proces nebo uživatel s nulovým identifikátorem je privilegovaný. Takový člověk nebo proces má neomezenou moc nad systémem. Nic pro něj nemůže být zákazem. Kořenový účet (účet, jehož UID je 0), také nazývaný účet superuživatel,činí osobu, která vstoupila s jeho použitím, pokud ne vlastníkem, tak alespoň jeho zmocněncem.
Zbývající UID se rovná 65535. Není to také obyčejné. Toto UID patří uživateli nikomu (nikdo).
Kdysi byl jedním ze způsobů hackování systému vytvoření uživatele s ID 65536, v důsledku čehož získal oprávnění superuživatele. Pokud vezmete jakýkoli UID a převedete odpovídající číslo na binární, získáte kombinaci šestnácti binárních číslic, z nichž každá je buď 0 nebo 1. Převážný počet identifikátorů zahrnuje nuly i jedničky. Výjimkou je superuživatelský UID nula, což jsou všechny nuly, a UIDnobody 65535, což je 16, tj. 1111111111111111. Číslo 65536 nelze umístit na 16 bitů - k reprezentaci tohoto čísla v binárním čísle je zapotřebí 17 bitů. Nejvýznamnější číslice se bude rovnat jedné (1), všechny ostatní se budou rovnat nule (0). Co se tedy stane, když vytvoříte uživatele se 17bitovým dlouhým identifikátorem - 1 000 000 000 000 000? Teoreticky uživatel s nulovým identifikátorem: protože je pro identifikátor přiděleno pouze 16 binárních číslic, není kam ukládat 17. číslici a je vyřazena. V důsledku toho se ztratí jediná jednotka identifikátoru a zůstanou pouze nuly a v systému se objeví nový uživatel s identifikátorem, a tedy oprávněními superuživatele. Nyní však ve WSWS neexistují žádné programy, které by vám umožnily nastavit UID na 65536.
POZNÁMKA
Můžete vytvářet uživatele s ID větším než 65 536, ale nebudete je moci používat bez nahrazení / bin / přihlášení.
Jakýkoli cracker se určitě pokusí získat oprávnění superuživatele. Jakmile je obdrží, další osud systému bude zcela záviset na jeho záměrech. Možná jí, spokojený se samotným hackováním, neudělá nic špatného a poté, co vám pošle dopis popisující díry v bezpečnostním systému, který našel, ji nechá navždy samotnou, nebo možná ne. Pokud úmysly hackerského hackera nejsou tak čisté, pak to nejlepší, v co můžete doufat, je deaktivace systému.
/ Etc / passwd soubor
Každý, kdo se chce přihlásit, musí zadat uživatelské jméno a heslo, které jsou ověřeny podle uživatelské databáze uložené v souboru / etc / passwd. Obsahuje mimo jiné hesla všech uživatelů. Při připojení k systému je zadané heslo zkontrolováno proti heslu odpovídajícímu danému jménu a v případě shody je uživatel vpuštěn do systému, poté se spustí program určený pro toto uživatelské jméno v souboru hesel. Pokud se jedná o příkazový shell, je uživatel schopen zadávat příkazy.
Zvažte výpis 1.1. Toto je starý soubor passwd.
Výpis 1.1. Starý soubor / etc / passwd
root: *: 1i DYwrOmhmEBU: 0: 0: root :: / root: / bin / bash
bin: *: 1: 1: bin: / bin:
démon: *: 2: 2: démon: / sbin:
adm: *: 3: 4: adm: / var / adm:
lp: *: 4: 7: lp: / var / spool / lpd:
sync: *: 5: 0: sync: / sbin: / bin / sync
shutdown: *: 6: 11: shutdown: / sbin: / sbin / shutdown
zastavení: *: 7: 0: zastavení: / sbin: / sbin / zastavení
mail: *: 8: 12: mail: / var / spool / mail:
novinky: *: 9: 13: novinky: / var / spool / novinky:
uucp: *: 10: 14: uucp: / var / spool / uucp:
operátor: *: 11: 0: operátor: / root:
hry: *: 12: 100: hry: / usr / hry:
gopher: *: 13: 30: gopher: / usr / 1ib / gopher-data:
ftp: *: 14:50: Uživatel FTP: / home / ftp:
muž: *: 15: 15: Manuály Vlastník: /:
majordom: *: 16: 16: Majordomo: /: / bin / false
postgres: *: 17: 17: Postgres Uživatel: / home / postgres: / bin / bash
mysql: *: 18: 18: MySQL Uživatel: / usr / local / var: / bin / false
silvia: 1iDYwrOmhmEBU: 501: 501: Silvia Bandel: / home / silvia: / bin / bash
nikdo: *: 65534: 65534: Nikdo: /: / bi n / false
david: 1iDYwrOmhmEBU: 500: 500: David A. Bandel: / home / david: / bin / bash
Soubor hesel má pevně zakódovanou strukturu. Obsahem souboru je tabulka. Každý řádek v souboru je záznam v tabulce. Každý záznam se skládá z několika polí. Pole v souboru passwd jsou oddělena dvojtečkami, takže dvojtečky nelze použít v žádném z polí. Celkem existuje sedm polí: uživatelské jméno, heslo, ID uživatele, ID skupiny, pole GECOS (alias pole komentáře), domovský adresář a přihlašovací shell.
Více na / etc / passwd
První pole obsahuje uživatelské jméno. Musí být jedinečný - nemůžete mít dva systémové uživatele se stejným jménem. Pole názvu je jediné pole, jehož hodnota musí být jedinečná. Druhé pole ukládá heslo uživatele. Za účelem ochrany systému je heslo uloženo v hašované podobě. Termín „hash“ v tomto kontextu znamená „šifrovaný“. V případě MSVS je heslo šifrováno pomocí algoritmu DES (DataEncryption Standard). Hašované heslo v tomto poli má vždy 13 znaků a některé znaky, například dvojtečka a jednoduchá uvozovka, se mezi nimi nikdy neobjeví. Jakákoli jiná hodnota pole než správné hashované 13místné heslo znemožňuje přihlášení daný uživatel do systému, s jednou extrémně důležitou výjimkou: pole pro heslo může být prázdné.
Druhé pole nestojí nic, ani mezeru, což znamená, že odpovídající uživatel k přihlášení nepotřebuje heslo. Pokud změníte heslo uložené v poli přidáním znaku, například jedné citace, bude účet uzamčen a příslušný uživatel se nebude moci přihlásit. Faktem je, že po přidání neplatného znaku do 14místného hašovaného hesla systém odmítl uživatele autentizovat pomocí takového hesla.
Heslo je aktuálně omezeno na osm znaků. Uživatel může zadat delší hesla, ale smysl bude mít pouze prvních osm znaků. První dva znaky hašovaného hesla jsou semínko(sůl). (Počáteční hodnota je číslo, které se používá k inicializaci šifrovacího algoritmu. Při každé změně hesla je náhodně vybráno osivo.) V důsledku toho je počet všech možných permutací dostatečně velký, takže není možné zjistit, zda existuje jsou uživatelé se stejnými hesly v systému jednoduše porovnáním hašovaných hesel.
POZNÁMKA
Slovníkový útok (dictionaryattack) se týká technik prolomení hesla hrubou silou a zahrnuje použití slovníku a známého semene. Útok spočívá v iteraci všech slov ve slovníku, jejich zašifrování daným semenem a porovnání výsledku s prolomením hesla. Navíc, kromě slov ze slovníku, jsou obvykle brány v úvahu i některé jejich modifikace, například všechna písmena jsou velká, pouze první písmeno je velké a přidání čísel (obvykle pouze 0-9) na konec všech těchto kombinace. Tímto způsobem lze prolomit spoustu snadno uhádnutých hesel.
Třetí pole obsahuje ID uživatele. Uživatelské ID nemusí být jedinečné. Zejména kromě uživatele root může existovat libovolný počet dalších uživatelů s nulovým identifikátorem a všichni budou mít oprávnění superuživatele.
Čtvrté pole obsahuje identifikátor skupiny (GroupID, GID). Skupina zadaná v tomto poli se nazývá primární skupina uživatelů(primární skupina). Uživatel může patřit do několika skupin, ale jedna z nich musí být primární.
Páté pole se nyní nazývá pole pro komentáře, ale jeho původní název byl GECOS z „GEConsolidatedOperatingSystem“. Při požadavku na informace o uživateli prostřednictvím prstu nebo jiného programu je nyní obsah tohoto pole vrácen jako skutečné uživatelské jméno. Pole pro komentář může být prázdné.
Šesté pole je domovský adresář uživatele. Každý uživatel musí mít svůj vlastní domovský adresář. Obvykle se uživatel přihlásí do svého domovského adresáře, ale pokud neexistuje, skončí v kořenovém adresáři.
Sedmé pole určuje přihlašovací prostředí. Do tohoto pole nelze zadat všechny skořápky. V závislosti na nastavení systému v něm lze zadat pouze shell ze seznamu platných shellů. Na WSWS je seznam přijatelných shellů standardně nalezen v souboru / etc / shells.
/ Atd. / Stínový soubor
Soubor / etc / shadow je ve vlastnictví uživatele root a je jediným uživatelem oprávněným číst soubor. Chcete -li jej vytvořit, musíte ze souboru passwd převzít uživatelská jména a hašovaná hesla a umístit je do stínového souboru, přičemž všechna hašovaná hesla v souboru passwd nahradíte znaky x. Pokud se podíváte na soubor passwd systému, můžete vidět, že místo hašovaných hesel je x znaků. Tento symbol systému znamená, že heslo by nemělo být zobrazeno zde, ale v souboru / etc / shadow. Přechod z jednoduchých hesel na stínová a naopak se provádí pomocí tří nástrojů. Chcete -li přepnout na stínová hesla, je nejprve spuštěn nástroj pwck. Zkontroluje soubor passwd, zda neobsahuje nějaké anomálie, které by mohly způsobit selhání dalšího kroku nebo jednoduše smyčku. Po spuštění pwck se spustí nástroj pwconv k vytvoření / etc / shadow. To se obvykle provádí po ruční aktualizace soubor / etc / passwd. Chcete -li se vrátit k normálním heslům, spusťte pwuncov.
Soubor stínového hesla je v mnoha ohledech podobný běžnému souboru hesel. Zejména první dvě pole těchto souborů jsou stejná. Ale kromě těchto polí přirozeně obsahuje další pole, která v běžném souboru hesel chybí. Výpis 1.2. ukazuje obsah typického souboru / etc / shadow.
Výpis 1.2./ Atd. / Stínový soubor
root: 1iDYwrOmhmEBU: 10792: 0 :: 7: 7 ::
bin: *: 10547: 0 :: 7: 7 ::
démon: *: 10547: 0 :: 7: 7 ::
adm: *: 10547: 0 :: 7: 7 ::
lp: *: 10547: 0 :: 7: 7 ::
synchronizace: *: 10547: 0 :: 7: 7 ::
vypnutí: U: 10811: 0: -1: 7: 7: -1: 134531940
zastavení: *: 10547: 0 :: 7: 7 ::
mail: *: 10547: 0 :: 7: 7 ::
novinky: *: 10547: 0 :: 7: 7 ::
uucp: *: 10547: 0 :: 7: 7 ::
operátor: *: 10547: 0 :: 7: 7 ::
hry: *: 10547: 0 :: 7: 7 ::
gopher: *: 10547: 0 :: 7: 7 ::
ftp: *: 10547: 0 :: 7: 7 ::
muž: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mysql: *: 10547: 0 :: 7: 7 ::
si1via: 1iDYwrOmhmEBU: 10792: 0: 30: 7: -l ::
nikdo: *: 10547: 0 :: 7: 7 ::
david: 1iDYwrOmhmEBU: 10792: 0 :: 7: 7 ::
Více na / etc / shadow
Účel prvního pole ve stínovém souboru je stejný jako u prvního pole v souboru passwd.
Druhé pole obsahuje hašované heslo. Implementace stínových hesel WSWS umožňuje hašovaná hesla o délce 13 až 24 znaků, ale program pro šifrování hesel krypt může vytvářet pouze hašovaná hesla o délce 13 znaků. Znaky použité v haši pocházejí ze sady 52 abecedních písmen (velká a malá písmena), číslic 0-9, tečky a lomítka (/). Celkem je v poli hash hesla povoleno 64 znaků.
Semeno, které, stejně jako dříve, představuje první dva znaky, lze vybrat z 4096 možné kombinace(64 x 64). Pro šifrování se používá algoritmus DES s 56bitovým klíčem, to znamená, že klíčový prostor tohoto algoritmu má 2 56 klíčů, což se přibližně rovná 72 057 590 000 000 000 nebo 72 kvadrilionu. Číslo vypadá působivě, ale ve skutečnosti můžete ve velmi krátkém čase iterovat přes všechny klíče z prostoru této velikosti.
Třetí pole začíná informací o vypršení platnosti hesla. Ukládá počet dní od 1. ledna 1970 do dne, kdy bylo heslo naposledy změněno.
Čtvrté pole určuje minimální počet dní, které musí uplynout, než bude možné heslo znovu změnit. Dokud od poslední změny hesla neuplyne tolik dní, jak je uvedeno v tomto poli, nemůžete heslo znovu změnit.
Páté pole nastavuje maximální počet dní, během nichž lze heslo použít, poté je nutné jej změnit. Pokud je toto pole kladné, pokus uživatele o přihlášení po vypršení platnosti hesla způsobí, že příkaz pro heslo nebude spuštěn jako obvykle, ale v režimu povinné změny hesla.
Hodnota ze šestého pole určuje, kolik dní před vypršením platnosti hesla byste na to měli začít vydávat varování. Po obdržení varování může uživatel začít vymýšlet nové heslo.
Sedmé pole nastavuje počet dní počínaje dnem povinné změny hesla, po kterém je tento účet zablokován.
Poslední, ale jedno pole ukládá den blokování účet.
Poslední pole je vyhrazeno a nepoužívá se.
Více na / etc / group
Každá položka v souboru / etc / group se skládá ze čtyř polí oddělených dvojtečkami. První pole je název skupiny. Podobně jako uživatelské jméno.
Druhé pole je obvykle vždy prázdné, protože mechanismus hesel pro skupiny se obvykle nepoužívá, ale pokud toto pole není prázdné a obsahuje heslo, může se ke skupině připojit kterýkoli uživatel. Chcete -li to provést, spusťte příkaz newgrp s názvem skupiny jako parametr a poté zadejte správné heslo. Pokud pro skupinu není zadáno heslo, mohou se k němu připojit pouze uživatelé uvedení v seznamu členů skupiny.
Třetí pole určuje identifikátor skupiny (GroupID, GID). Jeho význam je stejný jako u ID uživatele.
Poslední pole je seznam uživatelských jmen, která patří do skupiny. Uživatelská jména jsou oddělena čárkami bez mezer. Primární skupina uživatele je uvedena (bez selhání) v souboru passwd a je přiřazena, když se uživatel připojí k systému na základě těchto informací. Pokud tedy v souboru passwd změníte primární skupinu uživatele, uživatel se již nebude moci připojit ke své dřívější primární skupině.
SOUBOR /etc/login.defs
Existuje několik způsobů, jak přidat nového uživatele do systému. Za tímto účelem používá WSWS následující programy: coastooL, LISA, useradd. Každý z nich to udělá. Nástroj COAS používá vlastní soubor. Programy useradd a LISA přebírají výchozí hodnoty pro pole passwd a shadow souboru ze souboru /etc/login.defs. Obsah tohoto souboru je zkrácen, jak je uvedeno v seznamu 1.4.
Výpis 1.4. Zkrácený soubor /etc/login.defs
# Maximální počet dní, během kterých je povoleno používat heslo:
# (- 1- změna hesla je volitelná) PASS_MAX_DAYS-1
Minimální počet dní mezi změnami hesla: PASS_MIN_DAYSO
# Kolik dní před datem změny hesla by mělo být vydáno varování: PASS_WARN_AGE7
# Kolik dní musí uplynout po vypršení platnosti hesla, než je účet uzamčen: PASS_INACTIVE-1
# Vynutit vypršení platnosti hesla v daný den:
# (datum je určeno počtem dní po 70/1/1, -1 = nevynutit) PASS_EXPIRE -1
# Hodnoty polí vytvořeného účtu pro program useradd
# výchozí skupina: GROUP100
# domovský adresář uživatele:% s = uživatelské jméno) HOME / home /% s
# výchozí prostředí: SHELL / bin / bash
# adresář, kde se nachází kostra domovského adresáře: SKEL / etc / skel
# minimální a maximální hodnoty pro automatický výběr gid v groupaddGID_MIN100
Obsah tohoto souboru nastavuje výchozí hodnoty pro pole passwd a stínový soubor. Pokud je nepřepisujete z příkazového řádku, budou použity. Jako výchozí bod jsou tyto hodnoty v pořádku, ale některé z nich bude nutné změnit, aby bylo možné implementovat stárnutí hesel. Hodnota -1 znamená žádné omezení.
Software COAS společnosti Caldera k tomu používá grafické uživatelské rozhraní
Pomocí příkazu chage (changeaging) můžete změnit informace o stárnutí hesla pro jednoho nebo dva uživatele. Neprivilegovaní uživatelé mohou spustit chage pouze s možnostmi -l a vlastním uživatelským jménem, to znamená, že mohou požádat pouze o informace o vypršení platnosti vlastního hesla. Chcete -li změnit informace o ukončení podpory, stačí zadat uživatelské jméno, zbývající parametry budou vyžádány v dialogovém režimu. Volání chage bez parametrů vám poskytne krátké shrnutí využití.
COAS lze použít ke změně nastavení stárnutí hesla pro každý účet samostatně. V tomto případě jsou hodnoty uvedeny ve dnech. Rozhraní programu je zřejmé.
POZNÁMKA -
Pomocí příkazu vypršení platnosti můžete získat informace o vypršení platnosti hesla uživatele nebo vynutit tento proces.
Bezpečnostní systém PAM
Hlavní myšlenkou PAM je, že můžete vždy napsat nový modul zabezpečení, který by získal přístup k souboru nebo zařízení pro informace a vrátil výsledek autorizačního postupu: ÚSPĚCH, PORUCHA nebo IGNOROVAT. A RAM zase vrátí ÚSPĚCH nebo PORUCHU službě, která to nazvala. Nezáleží tedy na tom, jaká hesla, stínová nebo běžná, se v systému používají, pokud má PAM: všechny programy podporující PAM budou fungovat dobře s oběma.
Nyní přejdeme k úvaze o základních principech paměti RAM. Zvažte výpis 1.6. Adresář /etc/pam.d obsahuje konfigurační soubory pro další služby jako su, passwd atd., Podle toho software nainstalován v systému. Každá omezená služba má svůj vlastní konfigurační soubor. Pokud neexistuje, pak daná služba s omezením přístupu spadá do kategorie „ostatní“, s konfiguračním souborem other.d. (Omezená služba je jakákoli služba nebo program, který vyžaduje použití autorizace. Jinými slovy, pokud vás služba obvykle vyzve k zadání uživatelského jména a hesla, jedná se o omezenou službu.)
Výpis 1.6. Konfigurační soubor přihlašovací služby
je vyžadováno ověření pam_securetty.so
je vyžadováno ověření pam_pwdb.so
je vyžadováno ověření pam_nologin.so
#auth required pam_dialup.so
auth nepovinné pam_mail.so
požadovaný účet pam_pwdb.so
nutná relace pam_pwdb.so
relace volitelně pam_lastlog.so
vyžadováno heslo pam_pwdb.so
Jak vidíte z výpisu, konfigurační soubor má tři sloupce. Řádky začínající znakem libry (#) jsou ignorovány. Proto bude modul pam_dialup (řádek 4 seznamu 1.6.) Přeskočen. V souboru jsou řádky se stejným třetím polem - pam_pwd.so a první - auth. Použití více řádků se stejným prvním polem se nazývá skládání modulů a umožňuje vám získat vícestupňovou autorizaci (zásobník modulů), která zahrnuje několik různých autorizačních procedur.
První sloupec je sloupec typu. Typ je identifikován jedním ze čtyř znakových štítků: auth, účet, relace a heslo. Všechny sloupce jsou zpracovávány způsobem, který nerozlišuje malá a velká písmena.
Typ auth (autentizace) se používá ke zjištění, zda je uživatel tím, za koho se vydává. Toho je zpravidla dosaženo porovnáním zadaných a uložených hesel, ale jsou možné i další možnosti.
Typ účtu kontroluje, zda je danému uživateli povoleno používat službu, za jakých podmínek, zda vypršela platnost hesla atd.
Typ hesla se používá k aktualizaci autorizačních tokenů.
Typ relace provádí konkrétní akce, když se uživatel přihlásí a když se uživatel odhlásí.
Kontrolní vlajky
Druhý sloupec je pole kontrolního příznaku, které určuje, co se má dělat po návratu z modulu, tj. Jak PAM reaguje na ÚSPĚCH, IGNOROVAT a PORUCHU. Povolené hodnoty jsou nezbytné, povinné, dostatečné a volitelné. Hodnota v tomto poli určuje, zda budou zpracovány zbývající řádky v souboru.
Požadovaný příznak (povinný) určuje nejvíce omezující chování. Jakýkoli řetězec s požadovaným příznakem, jehož modul vrací FAILURE, bude ukončen a volající služba vrátí stav FAILURE. Žádné další řádky nebudou brány v úvahu. Tento příznak se používá jen zřídka. Faktem je, že pokud je modul, který je označen, spuštěn úplně první, pak nemusí být spuštěny následující moduly, včetně těch, které jsou zodpovědné za protokolování, takže se místo toho obvykle používá požadovaný příznak.
Požadovaný příznak nepřeruší provádění modulů. Bez ohledu na výsledek provedení modulu s ním označeného: ÚSPĚCH, IGNOROVÁNÍ nebo PORUCHA, PAM vždy pokračuje ve zpracování dalšího modulu. Toto je nejpoužívanější příznak, protože výsledek spuštění modulu není vrácen, dokud všechny ostatní moduly neskončí, což znamená, že moduly zodpovědné za protokolování budou určitě spuštěny.
Příznak dostatečný způsobí, že řádek okamžitě skončí a vrátí ÚSPĚCH, za předpokladu, že modul, který označil, vrátil ÚSPĚCH a neexistuje žádný předchozí modul s požadovaným příznakem, který by vrátil FAILURE. Pokud byl takový modul nalezen, je dostatečný příznak ignorován. Pokud modul označený tímto příznakem vrátí IGNORE nebo FAILURE, bude dostatečný příznak považován za volitelný příznak.
Výsledek spuštění modulu s volitelným příznakem je brán v úvahu pouze v případě, že je jediným modulem v zásobníku, který vrátil ÚSPĚCH. V opačném případě je výsledek jeho provedení ignorován. Neúspěšné spuštění modulu s ním označeného tedy neznamená selhání celého procesu autorizace.
Moduly označené požadovanými a požadovanými příznaky nesmí vracet FAILURE, aby měl uživatel přístup do systému. Výsledek spuštění modulu s volitelným příznakem je zvažován pouze v případě, že je jediným modulem v zásobníku, který vrátil ÚSPĚCH.
PAM moduly
Třetí sloupec obsahuje úplný název souboru modulu přidruženého k tomuto řádku. Moduly mohou být v zásadě umístěny kdekoli, ale pokud jsou umístěny v předdefinovaném adresáři pro moduly, pak lze zadat pouze jedno jméno, jinak je potřeba také cesta. Ve WSWS je předdefinovaný adresář / lib / security.
Čtvrtý sloupec je určen k přenosu dalších parametrů do modulu. Ne všechny moduly mají parametry, a pokud ano, nemusí být použity. Předání parametru modulu vám umožní změnit jeho chování tak či onak.
Výpis 1.7 obsahuje seznam modulů PAM, které jsou součástí WSWS.
Výpis 1.7. Seznam modulů PAM zahrnutých v MSVS
pam_rhosts_auth.so
pam_securetty.so
pam_unix_acct.so
pam_unix_auth.so
pam_unix_passwd.so
pam_unix_session.so
Více o modulech
Modul pam_access.so se používá k udělení /odepření přístupu na základě souboru /etc/security/access.conf. Řádky v tomto souboru mají následující formát:
práva: uživatelé: kde
Práva - buď + (povolit) nebo - (zamítnout)
Uživatelé - VŠE, uživatelské jméno nebo uživatel @ hostitel, kde hostitel odpovídá názvu místního počítače, jinak je položka ignorována.
Kde - jeden nebo více názvů koncových souborů (bez předpony / dev /), názvy hostitelů, názvy domén (začínající tečkou), IP adresy, ALL nebo LOCAL.
Modul pam_cracklib.so kontroluje hesla pomocí slovníku. Je navržen tak, aby ověřoval nové heslo a zabránil používání snadno prolomitelných hesel v systému, což jsou běžně používaná slova, hesla obsahující duplicitní znaky a příliš krátká hesla. Existují volitelné parametry: debug, type = a retry =. Parametr debug umožňuje protokolování informace o ladění do souboru protokolu. Parametr typu následovaný řetězcem změní výchozí výzvu NewUnixpassword: Unix word na zadaný řetězec. Parametr opakovat určuje počet pokusů o zadání hesla uživateli před vrácením chyby (standardně jedno opakování).
Zvažte výpis 1.8. Zobrazuje obsah souboru / etc / pam.d / other. Tento soubor obsahuje konfiguraci používanou modulem PAM pro služby, které nemají vlastní konfigurační soubory v adresáři /etc/pam.d. Jinými slovy, tento soubor platí pro všechny služby neznámé systému PAM. Představuje všechny čtyři typy autorizace, autorizace, účtu, hesla a relace, z nichž každý volá modul pam_deny.so, označený podle potřeby. Provádění neznámé služby je tedy odepřeno.
Výpis 1.8. FILE /etc/pam.d/other
je vyžadováno ověření pam_deny.so
je vyžadováno ověření pam_warn.so
požadovaný účet pam_deny.so
vyžadováno heslo pam_deny.so
vyžadováno heslo pam_warn.so
relace nutná pam_deny.so
Modul pam_dialup.so kontroluje, zda je třeba zadat heslo pro přístup ke vzdálenému terminálu nebo terminálům pomocí souboru / etc / security / ttys.dialup. Modul je použitelný nejen pro ttyS, ale obecně pro jakýkoli terminál tty. Je -li potřeba heslo, zkontroluje se oproti heslu uvedenému v souboru / etc / security / passwd.dialup. Soubor passwd.dialup je upraven programem dpasswd.
Modul pam_group.so provádí kontroly podle obsahu souboru /etc/security/group.conf. Tento soubor určuje skupiny, jejichž členem se uživatel uvedený v souboru může stát, pokud jsou splněny určité podmínky.
Modul pam_lastlog.so zapisuje do souboru lastlog informace o tom, kdy a odkud se uživatel přihlásil. Tento modul je obvykle označen typem relace a volitelným příznakem.
Modul pam_limits.so vám umožňuje uložit různá omezení přihlášeným uživatelům. Tato omezení se nevztahují na uživatele root (ani na jiné uživatele s nulovým ID). Omezení jsou nastavena na přihlašovací úrovni a nejsou globální ani trvalá, platí pouze pro jedno přihlášení.
Modul pam_lastfile.so vezme nějaký záznam (položku), porovná jej se seznamem v souboru a na základě výsledků porovnání vrátí ÚSPĚCH nebo PORUCHU. Parametry tohoto modulu jsou následující:
Item = [uživatel terminálu | remote_node | remote_user | skupina | skořápka]
Smysl = (stav pro návrat; když je v seznamu nalezen záznam, jinak je vrácen opačný stav)
soubor = / plný / cesta / a / název_souboru - onerr = (jaký stav vrátit v případě chyby)
App1y = [uživatel | @skupina] (určuje uživatele nebo skupinu, na kterou se omezení vztahují. Má smysl pouze pro položky položky formuláře = [terminál | vzdálený_uzel | shell], pro položky položky formuláře = [uživatel | vzdálený_uživatel | skupina] je ignorována)
Modul pam_nologin.so se používá pro autorizaci autorizace s požadovaným příznakem. Tento modul zkontroluje, zda soubor / etc / nologin existuje, a pokud ne, vrátí ÚSPĚCH, v opačném případě se soubor zobrazí uživateli a vrátí FAILURE. Tento modul se obvykle používá v případech, kdy systém ještě není plně funkční nebo dočasně uzavřen kvůli údržbě, ale není odpojen od sítě.
Modul pam_permit.so je doplňkem modulu pam_deny.so. Vždy vrací ÚSPĚCH. Všechny parametry předávané modulem jsou ignorovány.
Modul pam_pwdb.so poskytuje rozhraní pro soubory passwd a shadow. Jsou možné následující parametry:
Debug - zápis informací o ladění do souboru protokolu;
Audit - další informace o ladění pro ty, kteří nejsou spokojeni s obvyklými informacemi o ladění;
Use_first_pass - nikdy nežádejte uživatele o heslo, ale vezměte jej z předchozích modulů zásobníku;
Try_first_pass - zkuste získat heslo z předchozích modulů, v případě selhání se zeptejte uživatele;
Use_authtok - vrátí hodnotu FAILURE, pokud pam_authtok nebyl nainstalován, nežádejte uživatele o heslo, ale vezměte jej z předchozích modulů zásobníku (pouze pro zásobník modulů typu hesla);
Not_set_pass - nenastavujte heslo z tohoto modulu jako heslo pro další moduly;
Shadow - podpora systému stínových hesel;
Unix - vložte hesla do souboru / etc / passwd;
MD5 - při další změně hesla použijte hesla MD5;
Bigcrypt - při příští změně hesel použijte hesla DECC2;
Nodelay - deaktivuje jednosekundové zpoždění při neúspěšné autorizaci.
Modul pam_rhosts_auth.so umožňuje / odepírá použití souborů .rhosts nebo hosts.equiv. Kromě toho také umožňuje / popírá použití „nebezpečných“ položek v těchto souborech. Parametry tohoto modulu jsou následující:
No_hosts_equiv - ignorujte soubor /etc/hosts.equiv;
No_rhosts - ignorujte soubor / etc / rhosts nebo ~ / .rhosts;
Debug - zaznamenat informace o ladění;
Nowarn - nezobrazovat varování;
Potlačit - nezobrazovat žádné zprávy;
Promiskuitní - povolte zástupný znak „+“ v libovolném poli.
Modul pam_rootok.so vrací SUCCESS pro libovolného uživatele s nulovým ID. Pokud je tento parametr nastaven na příznak postačující, umožňuje vám přístup ke službě bez zadání hesla. Modul má pouze jeden parametr: ladění.
Modul pam_securetty.so lze použít pouze se superuživateli. Tento modul pracuje se souborem / etc / securetty, což umožňuje superuživateli přihlásit se pouze prostřednictvím terminálů uvedených v tomto souboru. Pokud chcete povolit přihlášení superuživatele prostřednictvím telnetu (pseudo ttyp), musíte do tohoto souboru buď přidat řádky pro ttyp0-255, nebo okomentovat volání pam_securetty.so v souboru pro přihlašovací službu.
Modul pam_shells.so vrací SUCCESS, pokud je shell uživatele zadaný v souboru / etc / passwd v seznamu shellů ze souboru / etc / shells. Pokud soubor / etc / passwd nepřiřadí uživateli žádný shell, spustí se / bin / sh. Pokud je v souboru / etc / passwd zadán shell pro uživatele, který není uveden v souboru / etc / shells, modul vrátí FAILURE. Pouze superuživatel by měl mít přístup k zápisu do souboru / etc / shells.
Ke správě hesel slouží modul pam_stress.so. Má mnoho parametrů, včetně nezměněného ladění, ale v obecném případě jsou ze všech parametrů zajímavé pouze dva:
Rootok - umožňuje superuživateli měnit uživatelská hesla bez zadávání starého hesla;
Vypršela platnost - S tímto parametrem je modul spuštěn, jako by již vypršelo heslo uživatele.
Další parametry modulu vám umožňují deaktivovat kterýkoli z těchto dvou režimů, použít heslo z jiného modulu nebo přenést heslo do jiného modulu atd. Viz popis v dokumentaci modulu.
Ve WSWS není modul pam_tally.so standardně používán v souborech z /etc/pam.d. Tento modul počítá pokusy o autorizaci. Po úspěšném dokončení autorizace lze počítadlo počtu pokusů vynulovat. Pokud počet neúspěšných pokusů o připojení překročí určitou prahovou hodnotu, může být přístup odepřen. Ve výchozím nastavení jsou informace o pokusech umístěny do souboru / var / log / faillog. Globální parametry jsou následující:
Onerr = - co dělat, pokud dojde například k chybě, soubor nelze otevřít;
Soubor = / plný / cesta / a / název_souboru - pokud chybí, použije se výchozí soubor. Následující parametr má smysl pouze pro typ ověřování:
No_magic_root - zapne počet pokusů pro superuživatele (standardně není zachován). Užitečné, pokud je povoleno přihlášení superuživatele prostřednictvím telnetu. Následující parametry mají smysl pouze pro typ účtu:
Deny = n - Odepřít přístup po n pokusech. Pomocí tohoto parametru změníte výchozí chování modulu reset / no_reset z no_reset na reset. K tomu dochází u všech uživatelů kromě uživatele root (UID 0), pokud není použit parametr no_magic_root;
No_magic_root - neignorujte parametr odmítnutí pro pokusy o přístup root. Při použití ve spojení s parametrem deny = (viz dříve) se výchozí chování pro uživatele root resetuje, stejně jako pro všechny ostatní uživatele;
Even_deny_root_account - Umožňuje uzamčení účtu superuživatele, pokud je přítomen parametr no_magic_root. V takovém případě je vydáno varování. Pokud není použit parametr no_magic_root, pak bez ohledu na počet neúspěšných pokusů nebude účet superuživatele na rozdíl od běžných uživatelských účtů nikdy uzamčen;
Reset - vynulování počitadla pokusů po úspěšném přihlášení;
No_reset - neresetujte počitadlo počtu pokusů po úspěšném přihlášení; používá se standardně, pokud není zadáno deny =.
Modul pam_time.so vám umožňuje omezit přístup ke službě na základě času. Veškeré pokyny k jeho konfiguraci najdete v souboru / etc / security / time.conf. Nemá žádné parametry: vše je nastaveno v konfiguračním souboru.
Modul pam_unix se zabývá běžnou autorizací WSWS (místo toho se obvykle používá pam_pwdb.so). Fyzicky se tento modul skládá ze čtyř modulů, z nichž každý odpovídá jednomu z typů PAM: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so a pam_unix_passwd.so. Moduly pro účty a typy oprávnění nemají žádné parametry. Modul pro typ passwd má pouze jeden parametr: strict = false. Pokud je k dispozici, modul nekontroluje odolnost hesel proti prolomení hesel, což umožňuje použití libovolných, včetně nezabezpečených (snadno uhádnutelných nebo hrubých) hesel. Modul relace rozumí dvěma parametrům: ladění a trasování. Informace o ladění parametru debug jsou zapsány do souboru protokolu informací o ladění, jak je uvedeno v syslog.conf, a informace o trasování jsou kvůli své citlivosti umístěny do protokolu authpriv.
Modul pam_warn.so napíše zprávu o svém volání do syslog. Nemá žádné parametry.
Modul pam_wheel.so umožňuje, aby se superuživatelem stali pouze členové skupiny kol. Skupina kol je speciální systémová skupina, jejíž členové mají více oprávnění než běžní uživatelé, ale méně než superuživatel. Jeho přítomnost vám umožňuje snížit počet uživatelů systému s oprávněními superuživatele, což z nich činí členy skupiny kol, a tím zvýšit bezpečnost systému. Pokud se superuživatel může do systému přihlásit pouze pomocí terminálu, pak lze tento modul použít k tomu, aby bylo uživatelům znemožněno pracovat prostřednictvím telnetu s oprávněními superuživatele a odepřít jim přístup, pokud nepatří do skupiny kol. Modul používá následující parametry:
Debug - protokolování informací o ladění;
Use_uid - určení příslušnosti na základě aktuálního identifikátoru uživatele, a nikoli toho, co mu bylo přiřazeno při vstupu do systému;
Důvěra - pokud uživatel patří do skupiny kol, vraťte ÚSPĚCH, nikoli IGNOROVAT;
Odmítnout - změní význam postupu na opačný (návrat NEÚSPĚŠNÝ). V kombinaci se skupinou = vám umožňuje odepřít přístup členům této skupiny.
POZNÁMKA -
Adresář /etc /security přímo souvisí s adresářem /etc/pam.d, protože obsahuje konfigurační soubory pro různé moduly PAM nazývané soubory z /etc/pam.d.
Záznamy PAM v souborech protokolu
Výpis 1.9. Obsah / var / log / secure
11. ledna 16:45:14 chiriqui PAM_pwdb: relace (su) otevřena pro root uživatele
11. ledna 16:45:25 chiriqui PAM_pwdb: (su) relace uzavřena pro root uživatele
11. ledna 17:18:06 přihlášení chiriqui: FAILED LOGIN 1 FROM (null) FOR david,
Selhání autentizace
11. ledna 17:18:13 přihlášení chiriqui: FAILED LOGIN 2 FROM (null) FOR david.
Selhání autentizace
11. ledna 17:18:06 přihlášení chiriqui: FAILED LOGIN 1 FROM (null) FOR david.
Selhání autentizace
11. ledna 17:18:13 přihlášení chiriqui: FAILED LOGIN 2 FROM (null) FOR david,
Selhání autentizace
11. ledna 17:18:17 chiriqui PAM_pwdb: (přihlášení) relace otevřena pro uživatele David
11. ledna 17:18:17 chiriqui - david: PŘIHLASTE SE NA Ttyl BY David
11. ledna 17:18:20 chiriqui PAM_pwdb: relace (přihlášení) pro uživatele David uzavřena
Každý záznam začíná datem, časem a názvem hostitele. Následuje název modulu PAM a ID procesu uzavřené do hranatých závorek. V závorkách je pak název omezené služby. Pro výpis 1.9 je to buď su, nebo přihlášení. Za názvem služby následuje buď „relace otevřena“ (relace otevřena), nebo „relace uzavřena“ (relace uzavřena).
Položka bezprostředně následující za položkou s „sessionopened“ je přihlašovací zpráva, ze které můžete zjistit, kdo se odkud přihlásil.
Jsou pokryty následující problémy:
Jaké jsou výchozí vlastní skupiny a soukromé vlastní skupiny;
Změnit uživatele / skupinu;
Jak změna uživatele / skupiny ovlivní GUI;
Zabezpečení a uživatelé;
Zabezpečení a hesla;
Ochrana heslem;
Výběr dobrého hesla;
Prolomení hesel.
Výchozí skupina
V současné době již neexistují žádná omezení na souběžnou příslušnost uživatele pouze k jedné skupině. Každý uživatel může patřit do několika skupin současně. Na příkazu newgrp se uživatel stane členem skupiny uvedené v příkazu a tato skupina se stane pro tohoto uživatele přihlašovací skupina(logovací skupina). V tomto případě je uživatel i nadále členem těch skupin, do kterých byl členem před provedením příkazu newgrp. Přihlašovací skupina je skupina, která se stává vlastníkem skupiny souborů vytvořených uživateli.
Rozdíl mezi výchozí skupinou a soukromými skupinami uživatelů spočívá v otevřenosti těchto dvou schémat. V případě výchozího skupinového schématu může každý uživatel číst (a často upravovat) soubory jiného uživatele. U soukromých skupin je čtení nebo zápis souboru vytvořeného jiným uživatelem možné pouze tehdy, pokud jeho vlastník výslovně udělil práva k těmto operacím jiným uživatelům.
Pokud chcete, aby se uživatelé mohli připojit a opustit skupinu bez zásahu správce systému, lze této skupině přiřadit heslo. Uživatel může využívat oprávnění určité skupiny pouze tehdy, pokud do ní patří. Tady jsou dvě možnosti: buď patří do skupiny od chvíle, kdy se přihlásil, nebo se stane členem skupiny později, poté, co začal pracovat se systémem. Aby se uživatel mohl připojit ke skupině, do které nepatří, musí být této skupině přiřazeno heslo.
Ve výchozím nastavení MSWS nepoužívá skupinová hesla, takže v adresáři / etc není žádný soubor gshadow.
Pokud pravidelně používáte pouze jeden z programů - useradd, LISA nebo COAS - k provádění rutinních úloh správy uživatelů, soubory nastavení uživatele jsou konzistentnější a snadněji se udržují.
Výhodou výchozího skupinového schématu je, že usnadňuje sdílení souborů, protože si při používání nemusíte dělat starosti s oprávněními k souborům. Toto schéma implikuje otevřený přístup k systému na principu „vše je dovoleno, co není zakázáno“.
Konfigurace výchozího uživatelského nastavení je úkol s vysokou prioritou a měl by být proveden ihned po instalaci systému.
Soukromé skupiny uživatelů
Soukromé skupiny uživatelů mají jména, která se shodují se jmény uživatelů. Soukromá skupina je vytvořena jako přihlašovací skupina, takže ve výchozím nastavení, tj. Pokud atributy adresářů nepředepisují nic jiného, je přiřazena jako skupina, která vlastní všechny soubory uživatele.
Výhodou soukromých skupin uživatelů je, že se uživatelé nemusí starat o omezení přístupu ke svým souborům: ve výchozím nastavení bude přístup k uživatelským souborům omezen od okamžiku jejich vytvoření. Ve WSWS může uživatel při používání soukromých skupin číst nebo upravovat pouze soubory, které mu patří. Kromě toho může vytvářet soubory pouze ve svém domovském adresáři. Toto výchozí chování může změnit správce systému nebo uživatel, a to jak na úrovni jednotlivého souboru, tak na úrovni adresáře.
Existuje několik příkazů, pomocí kterých může uživatel ovládat své jméno a / nebo skupinu, do které patří, nebo jméno nebo skupinu, jejímž jménem je program spuštěn. Jedním z takových programů je newgrp.
Příkaz newgrp může provést každý uživatel. Umožňuje mu připojit se ke skupině, do které nepatřil, ale pouze v případě, že k této skupině bylo přiřazeno heslo. Tento příkaz vám nedovolí připojit se ke skupině bez hesla, pokud nejste členem této skupiny.
Příkaz newgrp lze použít ve skupině, jejíž uživatel je již členem. V tomto případě newgrp provede zadanou skupinu jako přihlašovací skupinu. Skupiny uživatelů jsou rozděleny do dvou typů: přihlašovací skupina a všechny ostatní skupiny, do kterých uživatel patří. Uživatel může patřit do více než jedné skupiny, ale skupině, která vlastní soubory vytvořené uživatelem, bude vždy přiřazena přihlašovací skupina tohoto uživatele.
Kromě newgrp můžete také pomocí příkazů chown a chgrp řídit, který uživatel nebo skupina patří do souboru.
Rozsah příkazu newgrp v prostředí XWindow je omezen na program xterm, ve kterém byl spuštěn: v kontextu nové skupiny budou spuštěny pouze programy spuštěné prostřednictvím tohoto terminálu, což znamená, že jej uživatel nemůže použít ke změně přihlašovací skupina pro programy spuštěné prostřednictvím správce oken. Program, který musí být vždy spuštěn v kontextu sekundární skupiny, lze spustit pomocí skriptu, který pro něj nastaví požadovanou přihlašovací skupinu.
Systém XWindow vždy přináší do života uživatelů další komplikace. V tento případ Tyto potíže nesouvisejí přímo s X, ale vyplývají z logiky / etc / groups a / etc / gshadow. Pro ty, kteří nepoužívají stínová hesla pro skupiny, není moc starostí. V případě X není nastavení skupiny chráněné heslem jednoduchý scénář, ale pro sekundární skupiny uživatelů, které heslo nevyžadují, je změna skupiny velmi jednoduchá. Následující scénář je dostačující:
sg - gify -с / usr / X11R6 / bin / xv &
V důsledku spuštění tohoto skriptu bude spuštěn program xv, jehož primární skupinou bude skupina gifů. Co bylo nutné získat.
Pro uživatele používající hesla stínové skupiny je to obtížnější, protože to způsobí, že se při spuštění tohoto skriptu na obrazovce zobrazí chybová zpráva. Když jsou uživatelé uvedeni v souboru / etc / groups, každý z nich je automaticky považován za člena skupiny ihned po přihlášení. V případě stínových hesel byl však seznam uživatelů skupiny přesunut do souboru / etc / gshadow, takže přihlášený uživatel není automaticky zapsán do systému, ale může se k němu připojit pomocí příkazu newgrp nebo jeho jménem spusťte jakýkoli program pomocí příkazu sg. Problém je v tom, že z pohledu X daný uživatel (což není nutně uživatel, který inicioval relaci X) nemá právo navázat spojení. Proto se pro skupiny, které nejsou chráněny heslem, výše uvedený skript změní takto:
xhosts + loslhost
sg - gify -c / usr / X11R6 / bin / xv &
Přidaný řádek umožňuje přístup na obrazovku nová skupina(gify). U většiny pracovních stanic by to nemělo vést k žádným významným problémům se zabezpečením, protože tento řádek umožňuje přístup na obrazovku pouze uživatelům místního hostitele (aby získali dodatečné informace pro X a xhost viz dobrá příručka správce systému Linux).
POZNÁMKA
Použití serveru X (zejména ve spojení s xdm nebo kdm) s sebou nese řadu jeho jemností, které se dále zhoršují grafické aplikace, protože mohou být spuštěny nejen prostřednictvím příkazový řádek, ale také pomocí ikony na grafické ploše.
Změna uživatele
POZNÁMKA
Běžný uživatel nemůže systému tolik uškodit jako neopatrný superuživatel. Důsledky vašeho překlepu jako superuživatele mohou být velmi fatální, až se můžete rozloučit se všemi svými systémovými soubory (nebo dokonce se všemi soubory uloženými v systému). Některé společnosti se pak mohou rozloučit i s vámi.
Příkaz su je zodpovědný za transformaci jednoho uživatele na jiného. Tým dostal své jméno od « náhradní uživatel » (nahrazení uživatele), ale protože se nejčastěji používá k tomu, aby se stal superuživatelem ..
Příkaz su, vyvolaný bez argumentů, požádá uživatele o heslo a poté (po obdržení správného hesla v odpovědi) z vás udělá uživatele root. Tento příkaz je omezenou službou, takže všechny aspekty jeho zabezpečení lze konfigurovat pomocí souboru /etc/pam.d/su.
POZNÁMKA -
Použití su bez zadání uživatelského jména (s nebo bez pomlčky) je interpretováno jako instrukce, která vás přiměje rootovat.
Tento příkaz sudo umožňuje vybraných uživatelů spusťte některé programy jako superuživatel a uživatel požadující tento příkaz není vyzván k zadání hesla superuživatele, ale ke svému vlastnímu heslu. Používá ho sudo podobně jako příkaz sg. Uživatel zadá sudo command_to_execute, poté své heslo, a pokud je to povoleno, zadaný příkaz se provede v kontextu oprávnění superuživatele.
Zabezpečení a uživatelé
Uživatelé se obvykle zajímají pouze o to, jak se přihlásit a spustit programy, které potřebují. O bezpečnost se začnou zajímat až po ztrátě důležitých souborů. Netrvá to ale dlouho. Jakmile se uživatelé dozvědí, že byla provedena nějaká akce, rychle zapomenou na jakákoli preventivní opatření.
Obecně řečeno, není to jejich starost - bezpečnost. Sysadmin musí navrhnout, implementovat a udržovat zásady zabezpečení, které uživatelům umožní dělat svou práci, aniž by byli rušeni bezpečnostními problémy.
Hlavní nebezpečí pro systém obvykle přichází zevnitř, nikoli zvenčí. Jeho zdrojem (zejména ve velkých systémech) může být například rozzlobený uživatel. Je však třeba se vyvarovat nadměrného podezření, pokud je škoda způsobená nevědomostí zaměněna za zlomyslný úmysl. Jak chránit uživatele před neúmyslným poškozením jejich vlastních a cizích souborů, je popsáno v první části knihy. Jak ukazuje praxe, průměrný uživatel není schopen poškodit systém. Musíte si dělat starosti jen s těmi uživateli, kteří dokážou najít mezeru v ochranných mechanismech a jsou skutečně schopni cíleně poškodit systém. Takových uživatelů je ale obvykle málo a postupem času se stanou známými, zvláště pokud víte, co hledat. Riziková skupina zahrnuje uživatele, kteří na základě své pozice nebo díky svému připojení mohou získat přístup na úrovni oprávnění root. Když zvládnete materiál v této knize, dozvíte se, co přesně by mělo být považováno za známky blížící se katastrofy.
Ve výchozím nastavení mají uživatelé plnou kontrolu nad svými domovskými adresáři. Pokud používáte výchozí skupinu, všichni uživatelé v systému patří do stejné skupiny. Každý uživatel má právo přístupu k domovským adresářům ostatních uživatelů a k souborům v nich umístěných. Při použití schématu se soukromými skupinami uživatelů má jakýkoli uživatel v systému přístup pouze ke svému vlastnímu domovskému adresáři a domovské adresáře ostatních uživatelů pro něj nejsou k dispozici.
Pokud je pro všechny uživatele systému vyžadováno poskytnutí obecný přístup do nějaké sady společné soubory, doporučujeme, abyste někde vytvořili sdílený adresář konkrétně pro tento účel, vytvořili skupinu se všemi uživateli jako členy (může to být skupina uživatelů nebo jakákoli jiná skupina, kterou jste vytvořili) a této skupině udělili příslušná přístupová práva sdílený adresář. Pokud si uživatel přeje zpřístupnit některé své soubory ostatním uživatelům, může je jednoduše zkopírovat do tohoto adresáře a zajistit, aby tyto soubory patřily do stejné skupiny, do které jsou všichni uživatelé členy.
Někteří uživatelé potřebují použít nebo se jednoduše neobejdou bez programů, které nejsou součástí sady MSVS. Většina uživatelů nakonec získá mnoho vlastních souborů: dokumenty, konfigurační soubory, skripty atd. Systém OpenLinux neposkytuje uživatelům velkou pomoc při organizaci jejich souborů, přičemž tento úkol přenechává správci systému.
Struktura adresářů vytvořená v domovském adresáři každého nového uživatele je určena obsahem adresáře / etc / skel. Typický soubor / etc / skel obvykle obsahuje následující adresáře:
Tyto adresáře se používají k ukládání (resp.) binárních souborů, zdrojové soubory, soubory dokumentů a další různé soubory. Mnoho programů ve výchozím nastavení nabízí ukládání souborů jednoho nebo druhého typu do jednoho z těchto podadresářů. Poté, co uživatelé obdrželi vysvětlení účelu katalogů, které mají k dispozici, je obvykle ochotně začnou používat, protože jim to ušetří potřebu vymyslet něco vlastního. Nezapomeňte vytvořit ~ / bin jako jeden z posledních adresářů uvedených v PATH vašich uživatelů.
Zabezpečení a hesla
Říká se, že kde je tenký, tam se láme - toto rčení se často pamatuje, když jde o důležitost hesel v bezpečnostním systému. Obecně lze říci, že spolehlivost bezpečnostního systému je dána mnoha faktory, zejména tím, jaké služby systém MSWS poskytuje externím uživatelům (ať už je používán jako webový server, lze se přihlásit pomocí telnetu atd.). Uživatelská hesla jsou dalším určujícím faktorem, který nás přivádí k dalšímu faktoru - dodržování zásad zabezpečení ze strany uživatelů. Jednoduchý uživatel nechce vědět nic o zabezpečení. Pokud uživatele respektujeme a nechceme změnit jeho postoj k zabezpečení pomocí donucovacích metod, měli bychom zajistit, aby byl bezpečnostní systém pro něj pohodlný a srozumitelný. Pohodlí je nejtěžší. Všechno, co je bezpečné, obvykle není příliš pohodlné (protože předvídatelnost a elementarita, které nejsou kombinovány s bezpečností, stojí za pohodlím), a proto se dostává do konfliktu s obvyklým chováním lidí, kteří dávají přednost tomu nejpohodlnějšímu před všemi možnými metodami. Koneckonců, uživatelé pracují se systémem, aby mohli práci dokončit, nikoli přidávat novou. Aby uživatelé při práci s hesly vědomě nekráčeli cestou nejmenšího odporu, obvykle se jim snažím vysvětlit, k čemu hesla obecně jsou a proč je tak důležité je zabezpečit. Není to důležité z obecného hlediska, jako „systém s nízkým zabezpečením může být hacknut a odcizen nebo poškozen důležité soubory“, ale z hlediska osobních zájmů uživatele.
Většina uživatelů chápe důležitost e -mailu pro jejich práci. Neuvědomují si však, že kdokoli, kdo se přihlásí pod svým jménem, může použít jejich e -mail jejich jménem proti nim. Zeptejte se uživatele, zda používá e -mail pro osobní použití. S největší pravděpodobností odpoví ano. Pak se ho zeptej, jestli se musí rozhodnout e-mailem důležité obchodní záležitosti. Těch, kteří každý den odpoví „ne“, je stále méně. I když odpověď zní ne, některým obchodním partnerům může připadat e -mailová transakce stejně závazná jako telefonní transakce.
Poté uživateli vysvětlete, že jeho e -maily jsou někdy stejně důležité jako jeho osobní podpis. I když lze změnit záhlaví e -mailu, ve většině případů je takové falšování stejně nezákonné jako padělání podpisu. Pokud ale někdo tak či onak, když se naučil heslo jiného uživatele, vstoupí do systému pod svým jménem, pak se obrazně řečeno bude moci podepsat podpisem jiné osoby. Jakákoli pošta, kterou zasílají, bude technicky nerozeznatelná od pošty zaslané samotným uživatelem. Praxe dávat někomu možnost přihlásit se pod jiným jménem je nežádoucí a mělo by se jí vyhnout (kromě správců systému, kteří tuto funkci používají k testování přihlašovacích skriptů a uživatelských nastavení, ale k tomu nepotřebují znát heslo uživatele ). Přihlášení do systému pod falešným jménem (i se svolením jiného uživatele) by mělo být také přičítáno nežádoucím jevům. Jak nežádoucí je to? Odpověď na tuto otázku je dána přísností zásad zabezpečení podniku.
Uživatelé by však měli pochopit, že existují i další stejně nebezpečné způsoby, jak získat neoprávněný přístup ke svému účtu. Nejčastějším případem je, když se uživatel ve strachu zapomenout heslo snadno zapamatuje, a proto uhodne, nebo napíše heslo na list papíru, který je často jednoduše připevněn k monitoru. Systém zabezpečení heslem je založen na dvou věcech: trvalé uživatelské jméno a pravidelně se měnící heslo. Většina lidí nikomu neřekne PIN pro přístup k jejich bankovnímu účtu, ale své uživatelské heslo chrání méně. Přestože na rozdíl od situace s bankovním účtem, kde je trvalá část, tj. Kreditní karta, fyzický předmět, ke kterému je stále potřeba získat přístup, je známá trvalá část systému zabezpečení heslem, tj. Uživatelské jméno, všichni (alespoň všichni v rámci společnosti a ti, s nimiž si tento uživatel dopisoval e-mailem). Pokud je tedy variabilní část někde zaznamenána nebo ji lze snadno uhodnout nebo zachytit programem, který iteruje slova ze slovníku, nelze takový účet považovat za dobře chráněný.
Nakonec by si uživatelé měli být vědomi existence takové metody získávání hesla jako „sociální inženýrství“ (socialengineering). Většina z nás se v životě setkala alespoň s jednou osobou, o které můžeme říci „klouže to tak, jak to je“. Tito lidé mají schopnost přesvědčit ostatní, aby se uchýlili k logicky konstruované argumentaci, aby poskytli potřebné informace. Ale to není jediné možný způsob zjistit heslo někoho jiného. Někdy stačí jen nakouknout.
Jednou z možností, jak těmto incidentům zabránit, je pravidelná změna hesla. Heslo můžete samozřejmě měnit každých deset let, ale je lepší nedělat intervaly mezi změnami příliš dlouhé, stejně tak je lepší je nezkrátit třeba jednou za hodinu. Příliš dlouhá změna hesla znamená, že se vystavíte riziku hacknutí.
POZNÁMKA-
Penetrace outsidera do systému pod rouškou běžného uživatele může mít hrozné důsledky nejen pro soubory tohoto uživatele, ale pro celý systém jako celek, protože čím více tento outsider o vašem systému ví, tím snazší bude aby našel mezery v jeho ochraně.
Všimněte si, že skript před spuštěním provede některé kontroly: zda běží na kořenové úrovni, zda je počáteční UID zaneprázdněno atd. Nelze však říci, že kontroluje vše.
Prolomení hesel
Jedním ze způsobů, jak ověřit zabezpečení systému, je vžít se do kůže útočníka a pokusit se myslet a jednat tak, jak by jednal člověk, který se pokouší o kompromis. To znamená, že je nutné chodit mezi uživateli, špehovat, zda je k nějakému monitoru připojeno nahrané heslo, zda někdo nechal na stole papír nebo na něm napsané identifikační údaje, nebo „prošel“ právě v to ráno čas, kdy se uživatelé přihlašují (možná je vidíte, jak někteří zadávají heslo na klávesnici).
To také znamená, že je třeba věnovat pozornost orientaci monitoru uživatele, který má přístup k citlivým informacím, aby zjistil, zda je viditelný pro kohokoli jiného. Dále, když tito uživatelé opustí své pracoviště, spustí spořič obrazovky uzamčený heslem, nebo se odhlásí, nebo nic nedělají?
Nejlepší způsob, jak vyzkoušet sílu zabezpečení heslem a postoje uživatelů, je však pokusit se prolomit hesla uživatelů. Pravidelné spouštění programu prolomení hesla může poskytnout celkem dobrý odhad síly vašeho systému ochrany heslem.
WSWS 3.0 je bezpečný víceúčelový víceúlohový operační systém pro sdílení času vyvinutý na bázi Linuxu. Operační systém poskytuje preemptivní multitasking priority, organizaci virtuální paměti a plnou podpora sítě; pracuje s víceprocesorovými (SMP - symetrické multiprocesing) a clusterovými konfiguracemi na Platformy Intel MIPS a SPARC. Rysem MSVS 3.0 je integrovaná ochrana proti neoprávněnému přístupu, která splňuje požadavky Pokynů Státní technické komise pod prezidentem Ruské federace pro prostředky třídy 2 výpočetní technologie... Mezi ochrany patří povinné řízení přístupu, seznamy řízení přístupu, model rolí a pokročilé auditování (protokolování událostí).
Systém souborů MSVS 3.0 podporuje názvy souborů až 256 znaků s možností vytvářet názvy souborů a adresářů v ruském jazyce, symbolické odkazy, systém kvót a seznamy přístupových práv. Je možné připojit souborové systémy FAT a NTFS a také ISO-9660 (CD). Mechanismus kvót vám umožňuje řídit využití místa na disku uživateli, počet spuštěných procesů a množství paměti přidělené každému procesu. Systém lze nakonfigurovat tak, aby vydával varování, když se prostředky požadované uživatelem blíží zadané kvótě.
MSVS 3.0 obsahuje grafický systém založený na X Window. Zapracovat grafické prostředí Dodávají se dva správci oken: IceWM a KDE. Většina programů ve WSWS je zaměřena na práci v grafickém prostředí, které vytváří příznivé podmínky nejen pro práci uživatelů, ale také pro jejich přechod z Windows na WSWS.
MSVS 3.0 je dodáván v konfiguraci, která kromě jádra obsahuje sadu dalších softwarových produktů. Samotný operační systém se používá jako základní prvek organizace automatizovaných pracovních stanic (AWP) a konstrukce automatizovaných systémů. Podle potřeby lze nainstalovat další software, který se zaměřuje na maximální automatizaci správy a správy domény, což vám umožňuje snížit náklady na servis pracovních stanic a soustředit se na uživatele, kteří provádějí své cílové úkoly. Instalační program vám umožňuje nainstalovat OS ze zaváděcího disku CD nebo přes síť pomocí FTP. Obvykle se nejprve instaluje a konfiguruje instalační server z disků a poté se ostatní počítače instalují přes síť. Instalační server v běžící doméně provádí úlohu aktualizace a obnovy softwaru na pracovních stanicích. Nová verze je rozložen pouze na server a poté je software automaticky aktualizován na pracovištích. Pokud je software na pracovištích poškozen (například když je odstraněn soubor programu nebo se kontrolní součty spustitelných nebo konfiguračních souborů neshodují), příslušný software se automaticky přeinstaluje.
Během instalace je správce vyzván, aby vybral buď jeden ze standardních typů instalace, nebo vlastní instalaci. Při instalaci na standardní pracoviště se používají standardní typy a pokrývají hlavní typické možnosti organizace pracovišť na základě OS MSVS 3.0 (obr. 1). Každý standardní typ definuje sadu softwarových produktů, které mají být nainstalovány, konfiguraci disku, sadu souborových systémů a řadu systémových nastavení. Vlastní instalace vám umožňuje explicitně nastavit vše specifikované vlastnosti koncový systém až po výběr jednotlivých softwarových balíků. Pokud zvolíte vlastní instalaci, můžete nainstalovat MSVS 3.0 do počítače s již nainstalovaným jiným operačním systémem (například Windows NT).
WSWS 3.0 obsahuje jednotný dokumentační systém (ESD) s informacemi o různých aspektech fungování systému. EDS se skládá z dokumentačního serveru a databáze obsahující popisné texty, ke kterým lze přistupovat prostřednictvím prohlížečů. Při instalaci dalšího softwaru jsou do databáze EDS nainstalovány odpovídající referenční části. ESD může být umístěno lokálně na každém pracovišti, nebo může být v doméně MSVS přidělen speciální dokumentační server. Druhá možnost je užitečná ve velkých doménách MSWS, aby se ušetřilo celkové místo na disku, zjednodušil proces správy a aktualizovala dokumentace. Přístup k dokumentaci z jiných pracovních stanic je možný prostřednictvím webového prohlížeče dodávaného s WSWS 3.0.
WSWS 3.0 je rusifikován jak v alfanumerických, tak v grafické režimy... Podporuje virtuální terminály, mezi nimiž se přepíná pomocí kombinace kláves.
Klíčovým bodem z hlediska integrity systému je operace registrace nových uživatelů WSWS, kde jsou definovány uživatelské atributy, včetně atributů zabezpečení, podle nichž bude systém řízení přístupu dále řídit uživatelské zkušenosti. Základem pro povinný model jsou informace zadané při registraci nového uživatele.
K implementaci diskrétního řízení přístupu se používají tradiční unixové mechanismy bitů řízení přístupu a seznamů řízení přístupu (ACL). Oba mechanismy jsou implementovány na úrovni systému souborů MSVS 3.0 a slouží k nastavení přístupových práv k objektům v systému souborů. Bity vám umožňují definovat práva pro tři kategorie uživatelů (vlastník, skupina, ostatní), nicméně toto není dostatečně flexibilní mechanismus a používá se při nastavování práv pro většinu souborů OS, které jsou používány stejným způsobem hlavní částí uživatelé. S ACL můžete nastavit práva na úrovni jednotlivých uživatelů a / nebo skupin uživatelů, a dosáhnout tak výrazné granularity při nastavování práv. Seznamy se používají při práci se soubory, pro které potřebujete například nastavit různá přístupová práva pro několik konkrétních uživatelů.
Jednou z významných bezpečnostních chyb tradičních unixových systémů je přítomnost nejvýkonnějšího superuživatele. Funkce WSWS 3.0 je decentralizace funkcí superuživatele. Úloha správy systému je rozdělena do několika částí, pro které existují správci konfigurace, zabezpečení a auditu. Z pohledu operačního systému jsou tito administrátoři běžnými uživateli, kteří dostávají možnost spouštět speciální administrativní programy a přistupovat k odpovídajícím konfiguračním souborům. Účty správce systému jsou vytvořeny během instalace WSWS 3.0.
Každý ze správců je zodpovědný za provádění pouze svých vlastních úkolů, například správce konfigurace spravuje systémy souborů, síťová rozhraní, nastavení systémových služeb atd. Správce zabezpečení odpovídá za zásady zabezpečení a kontroluje nastavení systému související se zabezpečením: minimální délka hesla, počet neúspěšných pokusů o přihlášení uživatele atd. V tomto případě jsou protokolovány všechny události související se zabezpečením, včetně akcí správců. Za správu auditu odpovídá správce auditu, který může například „vyčistit“ protokoly auditu.
Decentralizace funkcí superuživatele umožňuje implementaci principu „čtyř očí“. Například registrace nového uživatele MSVS 3.0 se provádí ve dvou fázích. Správce konfigurace nejprve vytvoří účet pro nového uživatele a poté správce zabezpečení zaregistruje nového uživatele do databáze zabezpečení. Teprve poté může nový uživatel vstoupit do systému.
Distribuční sada pro provádění administrativních úkolů obsahuje balíček Administration Tools, který obsahuje programy pro správu uživatelů, souborů, zabezpečení, auditování, nastavení celého systému a sítě.
Prvním úkolem, který je třeba provést po instalaci WSWS 3.0, je vytvoření zásad zabezpečení implementovaných v této organizaci správcem. Jednou ze součástí tohoto úkolu je konfigurace mechanismu povinného řízení přístupu. Na obr. Obrázek 2 ukazuje pohled na program správy mechanismu pověření, který umožňuje konfigurovat sadu povinných atributů subjektů a objektů WSWS 3.0. V horní části okna programu jsou konfigurovány úrovně zabezpečení, jejichž možné hodnoty mohou být například „nedůvěrné“ a „důvěrné“. V dolní části je vytvořena sada kategorií, které popisují předmětnou oblast, do níž informace patří: „zaměstnanci“ „technické prostředky“ atd. Je možné vytvořit nadmnožiny kategorií (například „Kategorie_1_2“), včetně několika samostatných kategorií a dalších nadmnožin. Práce s úrovněmi je nejpohodlnější, pokud jsou reprezentovány v desítkové formě, protože jsou úrovně hierarchicky organizované. Na druhé straně, při práci s kategoriemi je vhodné je reprezentovat binární protože kategorie nejsou hierarchickou sadou.
Na obr. 3 ukazuje pohled na jedno z oken programu pro správu uživatelů. Tento program mohou spustit pouze správci konfigurace a zabezpečení. Navíc každý z nich může nastavit nebo změnit pouze ty atributy uživatele, jejichž správa je v jeho kompetenci.
Na obr. 4 ukazuje příklad okna správce souborů, které vám umožňuje prohlížet a měnit hodnoty atributů souborů. Vizualizace stromové struktury systému souborů v levé části okna usnadňuje procházení a výběr požadovaného souboru. Na pravé straně jsou zobrazeny atributy vybraného souboru seskupené podle jejich funkčnosti. Pro každou skupinu je označena samostatná karta. Karta Obecné zobrazuje tradiční atributy souboru Unix jako typ, velikost, počet pevných odkazů, libovolné atributy a časová razítka. Funkce souborů MSVS 3.0 je přítomnost povinných atributů a rozšíření diskrečních atributů o seznam přístupových práv. Povinné atributy jsou uvedeny na kartě „Povinný štítek“. Ke správě souboru ACL je vybrána karta "Přístupová práva". Navíc při výběru adresářů, pro které je možné ve výchozím nastavení vytvořit ACL, je aktivována karta „Přístupová práva ve výchozím nastavení“. Na obr. 5 ukazuje pohled na okno pro práci se souborem ACL. Je možné přidat jak jeden záznam pro uživatele nebo skupinu, tak mnoho záznamů se stejnými přístupovými právy. Stejně jako u předchozího programu mohou správce souborů spustit pouze správci konfigurace a zabezpečení. Každý z nich může změnit pouze ty atributy souborů, které jsou v jeho kompetenci spravovat.
Služby WSWS 3.0
MSWS, jako každý jiný operační systém, slouží k vytváření optimálních podmínek pro provádění služeb a aplikací, které poskytují automatizaci a zvyšují efektivitu uživatelů.
Jednou z hlavních služeb jakéhokoli operačního systému je tisková služba. MSVS 3.0 obsahuje tiskový systém, který vám umožňuje tisknout dokumenty v souladu s požadavky na zabezpečené systémy. Mezi vlastnosti tiskového systému MSVS 3.0, který jej odlišuje od podobných systémů, patří podpora mechanismu povinného řízení přístupu, který umožňuje ve fázi generování tiskové úlohy určit úroveň důvěrnosti dokumentu a automaticky odeslat úlohu na konkrétní tiskárnu v souladu s tiskovými pravidly přijatými v této organizaci. Každý vytištěný list je automaticky označen atributy účtování dokumentů, včetně jména uživatele, který dokument vytiskl, a názvu počítače, ze kterého byla tisková úloha odeslána. Jednou z výhod tiskového systému je jeho neměnnost vůči aplikacím, které přistupují k tiskové službě. To znamená, že k ní není připoutaná stávající aplikace a nemění se, když se objeví nové aplikace. V důsledku toho musí tiskové aplikace brát v úvahu označování listů a ponechat tomu prostor. Skutečnost tisku je zapsána ve speciálním chovatelském rejstříku tištěné dokumenty... Pro práci s tímto deníkem je použit speciální program, který umožňuje prohlížet, upravovat některá pole záznamů a tisknout je (obr. 6).
Důležitým prvkem bezpečnostního systému SSVS 3.0 je systém identifikace / autentizace. Pro úspěšné ověření musí uživatel zadat správné heslo. Odolnost systému proti vniknutí narušitelů evidentně určuje kvalita zvoleného hesla. Pro generování uživatelských hesel obsahuje MSVS 3.0 speciální program (obr. 7).
K monitorování doménových počítačů slouží fungující řídicí systém (CF), který se skládá ze serveru a speciálních agentů. Agenti jsou nainstalováni na doménových počítačích a hlásí svůj stav na server. Systém KF vám umožňuje přijímat informace o různých aspektech fungování počítačů (stav procesů, diskový subsystém, subsystémy jádra) a sledovat výkon síťové služby(ftp, ssh atd.). Informace přicházející na server jsou shromažďovány ve speciálních protokolech, což vám umožňuje sledovat nejen aktuální stav domény, ale také studovat její stav po celou dobu provozu systému.
Doména WSWS
WSWS 3.0 slouží k vytváření domén, na jejichž základě jsou vytvářeny zabezpečené automatizované systémy. Fyzicky je doména implementována jako místní síť počítačů, z nichž většina slouží k organizaci uživatelských pracovních stanic. Některé z nich jsou nezbytné pro organizaci sdílených prostředků, jako je souborový server, databázový server, tiskový server, poštovní server... Logicky je doména MSWS sada počítačů, které implementují jednu zásadu zabezpečení a tvoří jeden administrativní prostor. Jednotná zásada zabezpečení znamená, že na všechny počítače v doméně platí jednotná sada subjektů a objektů přístupu, atributů zabezpečení a jednotná pravidla pro diskreční a povinné řízení přístupu. V tomto smyslu je doména MSBC také doménou zabezpečení.
Sjednocený administrativní prostor znamená jednotnou správu informačních zdrojů (počítačů) domény MSVS. Je založen na jednom uživatelském prostoru pro doménu MSWS.
- Pro každého uživatele domény na jeho pracovišti je veden účet, který zahrnuje nezbytné informace o uživateli (logické jméno, heslo, jméno a bezpečnostní atributy uživatele). Tyto informace se používají k provádění identifikačních / autentizačních procedur pro uživatele, když se přihlásí do domény MSVS.
- Na každém počítači v doméně se sdílenými prostředky (server), na kterém může tento uživatel pracovat, pro něj existuje přesně stejný účet jako pro jeho pracovní místo.
- Pracoviště správce zabezpečení spravuje databázi s informacemi o všech uživatelích domény, včetně jejich účtu, rozšířených informací (například pozice, název / číslo oddělení) a názvu jeho počítače a všech serverů, ke kterým má přístup.
Účet je tedy pro daného uživatele v rámci domény MSWS jednotný a jeho prostřednictvím k němu má uživatel přístup informační zdroje doména.
Heterogenní domény
Na tento moment při vývoji zabezpečeného automatizovaného systému, existujícího místní sítě na kterých obvykle převládají servery a pracovní stanice Windows NT. Nemožnost okamžitého přechodu organizace na platformu WSWS vytváří problém její integrace s Windows. Zde lze rozlišit dva aspekty: výběr optimální strategie pro přechod na WSWS a technické potíže, které tento přechod doprovázejí.
Díky analýze informačních toků v zabezpečeném automatizovaném systému je možné identifikovat oblasti, které jsou z bezpečnostního hlediska nejdůležitější. Za prvé, takové oblasti zahrnují toky importu / exportu informací, protože prostřednictvím těchto toků vstupují do vnějšího světa důvěrné informace (přijímané zvenčí i generované uvnitř): tiskové servery a export informací na disky a pásky. Druhou nejdůležitější oblastí jsou oblasti pro ukládání informací: souborové servery a uživatelské pracovní stanice.
Při přeměně sítě Windows na zabezpečený automatizovaný systém je třeba nejprve upravit ty části sítě, které jsou z hlediska zabezpečení nejkritičtější. Prvním krokem je minimalizovat a řídit toky výstupních informací. Jak bylo řečeno, MSVS 3.0 má rozvinutý systém účetnictví a kontroly tisku dokumentů a umožňuje v síti vybudované samostatně implementovat požadavky na vydávání tištěných dokumentů na papír.
Druhým krokem je migrace souborových serverů z platformy Windows. MSVS 3.0 poskytuje vyvinutý systém pro správu přístupu uživatelů k informačním zdrojům operačního systému, který umožňuje organizovat ochranu uživatelských dat na správné úrovni.
Při integraci MSVS a Windows vzniká řada technických problémů, z nichž nejdůležitější jsou problémy kompatibility schémat identifikace / autentizace uživatelů, principy řízení přístupu uživatelů používané v těchto systémech cyrilských kódování.
První dva problémy spočívají v tom, že prostředí Windows NT podporuje schéma přihlášení uživatele do domény NT na základě jediné databáze uložené na speciálním serveru pro správu - řadiči domény. Toto schéma se zásadně liší od schématu používaného v MSVS. Architektura systému Windows NT navíc postrádá podporu pro povinné řízení přístupu a nelze ji namapovat na mnoho atributů zabezpečení operačního systému MSWS. Systémy Windows používají kódování CP1251, zatímco MSVS 3.0 (jako starší verze systému Linux) používá KOI8-R, nicméně nahromaděná data (což vyžaduje Prostředí Windows) jsou obvykle uloženy v CP1251. Současně prezentace dat uživatelům, jejich zadávání a úpravy probíhají v prostředí WSWS, proto je nutné provádět transkódování „za běhu“. Navíc pro řešení úkolů správy dat (například úkol třídění dat) je kódování CP1251 přijatelnější než KOI8-R.
Pro vybudování bezpečného automatizovaného systému založeného na MSVS 3.0 s možností dočasné kompatibility s NT byl vyvinut terminálový přístupový systém (obr. 8). Tento systém vám umožňuje organizovat práci s aplikacemi Windows v MSVS následovně: souborové a tiskové servery a také klientská místa jsou postavena na základě MSVS 3.0 a pro práci s aplikacemi Windows je aplikační server založený na NT Terminal Server Edition je přiděleno, ke kterému se přistupuje zvláštním způsobem. Jednou z výhod této možnosti je flexibilita v organizaci práce uživatelů, kteří ve skutečnosti dostanou příležitost pracovat současně ve dvou operačních prostředích a využívat aplikace každého z nich. Nevýhodou je nutnost vytvořit aplikační server se zvláštním přístupem, což vede k výskytu omezení v zásadách zabezpečení. Výsledkem je, že úkol integrace MSWS a Windows NT je vyřešen vytvořením domény MSWS s aplikačním serverem založeným na NT a pomocí systému přístupu k terminálu.
Podívejme se nyní na to, jak uživatel pracuje v heterogenní doméně MSWS. Uživatel zadá doménu prostřednictvím své pracovní stanice. Pro přístup k aplikačnímu serveru se systémem Windows NT používá uživatel klienta Terminal Access. Ve speciální databázi uložené na aplikačním serveru existuje korespondence mezi uživatelským jménem a názvem jeho počítače, který se používá při připojení síťové disky pro daného uživatele. Výsledkem je, že při práci v relaci NT uživatel jako síťový disk na svém pracovišti vidí pouze obsah svého domovského adresáře a také sdílené prostředky domény (souborové servery a tiskárny). Může spouštět aplikace Windows, ale bude fungovat pouze s omezenou sadou souborů (vlastních nebo sdílených) uložených v počítačích s MSWS 3.0.
K organizaci tisku důvěrných dokumentů v doméně je přidělen tiskový server založený na MSVS, který je zodpovědný za implementaci a účtování tisku, což zabraňuje neúčtované reprodukci výstupních důvěrných dokumentů. Chcete-li tisknout nedůvěrné informace, je možné k AWS připojit místní tiskárny. Uživatel pracující s Windows aplikace nebo WSWS, odešle dokument k tisku a nezáleží na tom, kde se dokument nachází - na místním počítači nebo na souborovém serveru. Prostřednictvím WSWS je analyzována úroveň důvěrnosti dokumentu. Pokud je dokument důvěrný, je úloha přesměrována na tiskový server; pokud ne, je dokument vytištěn lokálně.
Navrhované možnosti umožňují organizovat postupný přechod z informační infrastruktury založené na Windows NT na zabezpečené automatizované systémy zpracování informací založené na WSWS 3.0.
Literatura
1. Státní technická komise Ruska. Pokyny. Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím. Ukazatele zabezpečení proti neoprávněnému přístupu k informacím. Moskva, 1992
2. D.V. Efanov. Účetní systém pro tisk dokumentů // ACS a řadiče. 2001, č. 1
Andrej Tyulin- zaměstnanec ministerstva obrany Ruské federace. Igor Žukov, Dmitrij Efanov ([chráněno emailem])-zaměstnanci All-Russian Research Institute of Control Automation in the Non-Industrial Sphere (Moskva).
Určitě se alespoň někteří z našich čtenářů zamysleli nad tím, jaký operační systém se v našich ozbrojených silách používá. Nakonec všichni chápeme, že Windows nemůže stát na nějakém raketovém systému v pohotovosti. Dnes mírně otevřeme roušku tajemství a povíme vám o WSWS OS. Jedná se o takzvaný mobilní systém. Jeho název hovoří o rozsahu jeho aplikace, ale řekneme vám, jak je uspořádán obecně.
Předpoklady pro tvorbu
Poprvé byla bezpečnostní kritéria pro počítačové systémy formulována na konci 60. let minulého století. V polovině 80. let ve Spojených státech byly všechny tyto události shromážděny v jednom dokumentu. Tak se zrodila „oranžová kniha“ ministerstva obrany - první standard zabezpečení počítačových systémů. Následně se podobné dokumenty objevily v evropských zemích a Kanadě. V roce 2005 na jejich základě mezinárodní standard zabezpečení ISO / IEC 15408 „Obecná bezpečnostní kritéria“.
V Rusku byly podobné studie provedeny na 22. ústředním výzkumném ústavu ministerstva obrany. Konečným výsledkem vývoje bylo přijetí OS WSWS v ozbrojených silách Ruské federace v roce 2002. V roce 2008 byla přijata verze státní normy na základě požadavků ISO / IEC.
Proč armáda potřebuje vlastní OS
Operační systémy, které denně používáme, nejsou z hlediska bezpečnostních parametrů vhodné pro použití ve vládních agenturách. Státní technická komise pod prezidentem Ruské federace je formulovala takto:
- Informace musí být chráněny před neoprávněným přístupem, a to zevnitř i zvenčí.
- Systém by neměl obsahovat nezdokumentované funkce, jinými slovy v kódu OS by neměla být žádná „velikonoční vajíčka“.
Kromě toho musí mít chráněný operační systém víceúrovňovou hierarchickou přístupovou strukturu a samostatné funkce pro správu.
Úkol vytvořit specializovaný uzavřený operační systém tedy není tak jednoduchý, jak se na první pohled zdá. Nedostatek nezdokumentovaných funkcí naznačuje, že zdrojový kód a technický popis všechny pracovní postupy budou důkladně prostudovány v certifikačním centru. A to je oblast obchodního tajemství korporací vlastníků nebo duševního vlastnictví vývojářů. Takový paradox nás nutí dívat se směrem k open source operačním systémům, protože získat technickou dokumentaci k proprietárnímu softwaru je téměř nemožné.
Požadavky GOST R.
FSTEC, jako služba zodpovědná za informační bezpečnost v celé zemi je OS rozdělen podle stupně ochrany zpracovávaných informací. Pro usnadnění jsou všechna data shrnuta v jedné tabulce.
Tabulka ukazuje, že podle řady požadavků byly zřízeny tři skupiny a devět tříd zabezpečení proti neoprávněnému přístupu a již podle nich se dále dělí přístup k různým druhům důvěrných informací.
V srdci Linuxu
Proč je Linux tak pohodlný, že je dychtivě najat, aby sloužil ve státním aparátu? Skutečně se ho běžní uživatelé většinou bojí jako čert kadidla. Pojďme na to. Nejprve věnujme pozornost licenci, pod kterou je distribuován Linux. Jedná se o takzvaný GPL2 - široká veřejnost, neboli bezplatná licence. Každý může získat zdrojový kód a na jeho základě si vytvořit vlastní produkt. Jinými slovy, nikdo se neobtěžuje vzít nejlepší distribuce Linux a použijte je při vývoji vlastního zabezpečeného OS.
Globální zkušenosti vládních agentur ukazují, že přechod na svobodný software se děje všude, myšlenka je žádaná a plně oprávněná. Přední země světa, jako jsou USA, Německo, Japonsko a Čína a Indie, které se k nim rychle blíží, aktivně používají Linux ve veřejném sektoru a vzdělávání.
WSWS a jeho obsah
Mobilní systém verze 3.0 funguje v armádě deset a půl roku, nyní jej nahrazuje dokonalejší produkt a my se můžeme v klidu podívat „pod pokličku“ veterána. Jedná se tedy o síťový operační systém běžící ve víceuživatelském režimu pomocí grafické rozhraní uživatel. Podporuje hardwarové platformy:
- Intel.
- IBM System / 390.
SPAPC / Elbrus.
Vychází z nejlepších Distribuce Linuxu v té době k dispozici. Mnoho modulů systému bylo vypůjčeno z RedHat Linux a překompilováno tak, aby splňovalo požadavky ministerstva obrany. Jinými slovy, mobilní systém The Armed Forces je distribuce RPM Linux se všemi doprovodnými aplikacemi a vývojovými nástroji.
Podpora souborových systémů je na úrovni počátku století, ale protože ten nejběžnější z nich již tehdy existoval, není toto číslo kritické.
Verze MSVS
Navzdory skutečnosti, že se jedná o síťový operační systém, nemá softwarová úložiště známá žádnému uživateli Linuxu. Veškerý software je dodáván v sadě na instalačních CD. Jakýkoli program, který je použit v tomto systému, je předem certifikován ministerstvem obrany. A protože postup není ani zdaleka rychlý, byl za celých patnáct let práce vydán omezený počet verzí a jejich změn.
Vývojář MSVS je All-Russian Research Institute of Control Automation in the Non-Industrial Sphere. Na jeho oficiální stránka můžete najít data o verzích WSWS, které jsou aktuálně podporovány a mají požadované bezpečnostní certifikace od ministerstva obrany.
Mobilní systém ozbrojených sil pro rok 2017 představují dvě podporovaná shromáždění:
- OS MSVS 3.0 FLIR 80001-12 (změna č. 6).
OS MSVS 3.0 FLIR 80001-12 (změna č. 4).
Verze 5.0, umístěná na webových stránkách VNIINS, má bezpečnostní osvědčení ministerstva obrany, ale nebyla oficiálně přijata k dodávkám vojskům.
Nástupce WSWS
Dalším chráněným OS, který byl představen jako náhrada za MSWS, který sloužil deset let a půl, byl Astra Linux OS. Na rozdíl od svého předchůdce, který obdržel bezpečnostní certifikát pouze od ministerstva obrany, Astra obdržela všechny možné certifikáty v Rusku, a to jsou dokumenty ministerstva obrany, FSB a FSTEC. Díky tomu může být použit v jakékoli vládní agentuře a dostupnost několika verzí přizpůsobených pro různé hardwarové platformy dále rozšiřuje rozsah jeho aplikace. Díky tomu dokáže pod svou kontrolou sjednotit všechna zařízení - od mobilních až po stacionární serverová zařízení.
Astra Linux je moderní linuxová distribuce založená na balíčcích deb, která používá nejnovější verzi jádra a aktuální software. Seznam podporovaných procesorů a jejich architektur byl také rozšířen o moderní ukázky. Seznam oficiálně vydaných verzí nám umožňuje doufat v úspěch tohoto softwarového produktu, alespoň ve státním sektoru a obranném průmyslu.
Konečně
V tomto článku jsme hovořili o OS WSWS - hlavním operačním systému ozbrojených sil Ruské federace, který věrně slouží „v řadách“ 15 let a stále je na „bojovém stanovišti“. Navíc stručně popsali jejího nástupce. Možná budou někteří naši čtenáři vyzváni, aby zjistili, co je Linux, a vytvořili si na produkt nezaujatý názor.
V této recenzi se pokusím nainstalovat kopii RedHat Enterprice Linux pro potřeby ministerstva obrany RF, abych viděl, jak funguje na moderním hardwaru. Poslední vydání WSWS bylo již v roce 2011, ale stále je v ruské armádě „užitečné“:
Začínáme s instalací
Nainstalujeme jej na notebook FUJITSU LIFEBOOK N532, který mi stabilně funguje v Linuxu i Windows. Tento notebook byl vydán v roce 2012, jen o rok později než WSWS 5.0.
Zaváděcí okno je svlečenou kopií RedHat Enterprice Linux:
Byli dokonce příliš líní na to, aby vytvořili normální zaváděcí okno, změnili pozadí / logo, odstranili nepotřebná tlačítka a je to.
Chcete -li pokračovat v instalaci, stiskněte klávesu Enter:
Instalační program byl spuštěn v retro stylu MS-DOS, ale před vydáním MCVS 5 měly téměř všechny distribuce grafický instalační program. Debian má také textový instalátor, ale je mnohem jednodušší a srozumitelnější než tento. Jsme dotázáni, zda zkontrolovat instalační DVD nebo ne. Pojďme zkontrolovat jen pro případ:
Disk byl napsán normálně, nejsou tam žádné chyby. Dále jsme požádáni o kontrolu dalších médií, ale nemám je.
Nástroj pro dělení disku byl spuštěn s možností odstranit všechny vybrané oddíly. Co když důstojník spoléhající na inteligenci domácího IT průmyslu jednoduše stiskne Enter?
Nyní začneme rozdělovat disk. Tento počítač má nainstalovány další dva operační systémy a já jsem vybral „Vytvořit vlastní oddíl“
Máme 30 GB nepoužitého neformátovaného místa, vyberte „Použít volné místo a vytvořit výchozí rozdělení“ a zobrazí se chyba oddílu: nelze distribuovat požadované oddíly
Klikněte na „Ano“ a zobrazí se chyba automatického rozdělení:
Klikněte na „Ano“ a vyberte „Vytvořit vlastní oddíl“
Protože tento „dosovsky fdisk“ neukazuje, jak moc je zaneprázdněn a zdarma, abych nic omylem nemazal, rozhodl jsem se zobrazit oddíly v jiném OS a stisknout restart (alt + ctrl + del si pamatuji z msdos).
Počítač na těchto slovech jen zamrzl, ale reaguje na CapsLock. Čekáme dalších 15 minut a stiskneme reset. Načteme jiný OS, ujistíme se, že volný oddíl je vybrán správně, pokračujeme v instalaci a dojdeme do fáze rozdělení disků. Výběr souborových systémů zde není bohatý, pouze ext2, ext3 a vfat (které se nevešly na obrazovku).
Ponechme vše jako výchozí, to znamená, že použijeme grub:
Stačí stisknout Enter
Dále jsme požádáni o vytvoření hesla pro změnu parametrů zavádění grub
musel zadat dlouhé heslo
Nyní začneme instalovat bootloader. Notebook má nejnovější verze Debian a Ubuntu, ale instalační program je nenašel. V důsledku toho po instalaci MSVS nabídka výběru zmizí. operační systémy a budete muset obnovit grub přes LiveCD.
Posuvník seznamu operačních systémů je úplně dole, jako by říkal, že je tu něco jiného. Zkusil jsem to přesunout stisknutím TAB, Ctrl, Ctrl + tab a dalšími klávesovými zkratkami. Ale jezdec, ve které poloze to bylo, zůstal v této poloze:
Klikněte na Ano a pokračujte v instalaci:
Vyberte, kam nainstalovat zavaděč. Do všech Linuxů instaluji bootloader do hlavního spouštěcího záznamu MBR, tedy na / dev / sda, ale pro nedávné uživatele Windows je to obtížná otázka. Nebo celá ruská armáda zná Unix?
Následuje nastavení sítě.
Ne připojení k síti nemáme, vyberte „Ne“ a stiskněte Enter
otevřelo se okno s požadavkem na vstup Extra možnosti nastavení sítě:
Jak vidíte, neexistují žádná tlačítka „zrušit“ a „ne“. Existuje pouze ano a zpět. Bylo by logické, kdybychom systém instalovali přes síť, ale máme DVD s kompletní sadou programů. Stiskněte Enter.
Nechali jste pole brány prázdné. V závislosti na vašem síťovém prostředí mohou být v budoucnu problémy.
stiskněte pokračovat a my jsme znovu požádáni o zadání dalších parametrů sítě. Obecně se vrátíme do prvního okna nastavení sítě a naznačíme, že musíme nakonfigurovat síťové rozhraní, i když ho nemáme.
Budete požádáni o zadání názvu sítě. Vyberte „Ručně“ a vymyslete název sítě
Výběr časového pásma:
Vyberte heslo uživatele root (alespoň šest znaků):
Vybereme seznam balíků k instalaci. Vybral jsem všechno
Následuje kontrola závislostí, po které se otevře okno s adresou instalačního protokolu:
Proces instalace:
Nechápu, jestli se jedná o problémy s písmem nebo kódováním?
Instalace dosáhne 100% a instalační program nás s radostí pozdraví o dokončení instalace, požádá o deaktivaci vyměnitelná média a restartujte stisknutím klávesy Enter. Stiskněte Enter a počítač zamrzne jako minule.
Tam Tlačítko napájení, čekáme několik minut a oh, hrůza, vše je v angličtině. Nebo je to v ruské armádě takový ruský jazyk?
Kde jsou naše Debian a Ubuntu? Existuje pouze jeden WSWS. Ale to je v pořádku, to lze opravit přeinstalováním zavaděče Grub prostřednictvím LiveCD.
Pro spuštění stačí stisknout Enter
Systém se zastaví na 15 sekund a zobrazí chyby: Paměť pro havarijní jádro (0x0 až 0x0) není povolena; nelze dotazovat na hardware Synaptics
a pokračuje v načítání, během procesu načítání se otevře nabídka nastavení
Stačí vybrat „Konec“ a stisknout Enter. Po 10 sekundách se otevře tato obrazovka, kde není ani náznak grafiky. Zadáme uživatelské jméno a heslo a systém je připraven k práci:
Mimochodem, všimněte si, že je zde nainstalováno jádro 2.6.18. Toto jádro vyšlo o pět let dříve než WSWS 5.0. Ano, za pět let bylo možné vybudovat celá průmyslová odvětví, jako ve stalinských pětiletých plánech, ale uplynulo téměř 10 let! V té vzdálené době jsem se právě začínal zajímat o Linux. I když možná pět let provádějí audit zabezpečení kódu.
Dobře, zkusme použít to, co máme.
Snažíme se spustit grafiku. V nixech ke spuštění grafiky obvykle potřebujete zadat startx, zadat startx:
#startx
a dostáváme chyby:
Zde jsem záměrně otevřel chybový protokol /var/log/Xorg.0.log, aby bylo jasné, co se děje: systém nemohl načíst standardní ovladače fbdev a vesa.
Musíme pouze restartovat systém a vrátit se do fungujícího OS, zadat restart a znovu dostaneme zmrazení při restartu:
Pokus o instalaci přes VirtualBox:
Také zadáme přihlašovací jméno uživatele root, heslo a startx
VNIINS samozřejmě z bezpečnostních důvodů nedoporučuje spouštět X od správce. A proč tedy po prvním spuštění nebo v samotném instalátoru nebylo z bezpečnostních důvodů navrženo vytvořit jednoduché uživatele, jako v mnoha jiných distribucích?
O_o, ukazuje se, že to funguje.
Desktop MSWS 5.0
Co tedy vidíme, je krásný lehký desktop, který simuluje stará okna a KDE. Ale toto je jen ozdobený open source desktop
Správce souborů vydáno před 11 lety vypadá hodně jako svlečený konquerror
V systémové liště je ukazatel času s kalendářem, přepínač rozložení klávesnice a indikátor úrovní přístupnosti (ale to je pravděpodobnější od vývojářů MSVS).
Nastavení MSVS 5.0
V Linuxu některé programy (například Chromium) z bezpečnostních důvodů neběží jako root, takže první věcí, kterou uděláme, je vytvoření nového uživatele a přihlášení přes něj:Start - Nastavení - Ovládací panely ELK, Správa uživatelů - Přidat nového uživatele:
Heslo musí mít nejméně 8 znaků!
Atributy zabezpečení jsou působivé, ale nedotkneme se jich:
Uživatel byl úspěšně vytvořen. Ukončíme relaci a přejdeme přímo k účtu kořenové konzoly, kde nás přivítá spousta chyb:
Tento účet ukončíme stisknutím Ctrl + D, přihlásíme se jako nový uživatel a spustíme startx. X začalo, ale nereagovalo na pohyb myši a klávesové zkratky. Restartujte virtuální stroj nepomohlo, Xs v tomto účtu také nefungují. Dobře, budete muset běžet jako root, což je porušení zabezpečení.
Naše rozlišení obrazovky je 800x600, snažíme se to změnit. Přejděte na „Ovládací panely“ a vyberte ikonu „Monitor“. Otevře se okno se zprávou, že nemáme soubor xorg.conf a že během jeho vytváření bude obrazovka tmavá. Vytvořit nebo ne?
Klikněte na „Ano“
Chyba inicializace konfigurace:
Poté se otevře okno s nastavením monitoru. Pokouším se něco změnit, ale žádná reakce. Je pozoruhodné, že toto okno ukazuje příklad Obrazovka Windows 95. A když kliknete na tlačítka „Ano“ a „Zrušit“, okno se nezavře a nic se nestane. Okno můžete zavřít pouze kliknutím na kříž.
V nabídce "Systém" je položka "Přepínání rozlišení obrazovky". Vybereme to a v zásobníku otevřeme program pouze se dvěma položkami: 800x600 a 640x480 a frekvencí 60Hz. Ale ve FreeDOS OS se mi to podařilo nastavit výše a dokonce změnit frekvenci. Z toho plyne závěr, že v OS MSVS je grafika horší než v DOSu!
Podíváme se na informace o zařízení:
Po kliknutí na „OK“ se otevře následující okno:
Programy WSWS 5.0
Je zajímavé, že když přesuneme ukazatel myši z programů EDE do KDE, změní se barva ukazatele myši.Důvodem je, že plocha MSWS je směsicí desktopů EDE a KDE.
Síť. V této kategorii je deset programů, včetně ELK Browser, IRC, Wireshark, GFTP, Mail Monitor, Network Monitor a PPP Configuration a Network Device Management.
Správa síťových zařízení
Poštovní klient se nespustí:
Prohlížeč ELK Browser je přesnou kopií prohlížeče Aurora. Podívejte se, přejmenovali to na ELK, ale zapomněli změnit logo:
Prohlížeč ELK:
Utility
V obslužných programech jsou až 4 terminály: ELK-terminál, X-terminál, konzola a terminál v režimu superuživatele. Víte, proč je jich tolik? Protože pracovní plocha MSWS je kombinací EDE s KDE. Ani je nenapadlo odstranit zbytečné nástroje, vše bylo nastaveno jako výchozí, takže toho nechali.
Z tohoto důvodu existuje mnoho programů ze dvou různých desktopů, ale se stejnými schopnostmi. To platí zejména pro prohlížení obrázků, dokumentů (PDF, DJVU atd.) A textových editorů.
Textový editor Emacs ve WSWS:
Vědecký... Pouze vědecká kalkulačka KDE, která vyšla v roce 2005:
Grafika. Tato část obsahuje všechny programy z roku 2007 KDE + Xsane.
Hry. Tyto hry obsahují sadu her z KDE, včetně válečných her Hledání min a Padáky:
Multimédia... Jednoduchý přehrávač médií, přehrávač zvukových disků, K3b (vypalovačka disků CD / DVD), software pro ovládání hlasitosti a nahrávání zvuku.
Chcete -li zkontrolovat zvuk, musíte do virtuálního systému načíst nějaký film .. Zvuk a video zde vůbec nefungují. Dal jsem Alsa, Oss, SoundBlaster16 do nastavení VirtualBOX - nic nefunguje. Zkoušel jsem ogv, ogg, mp4 - v některých případech to vyžaduje instalaci kodeků, v jiných to ukazuje chybu:
Zkusme nainstalovat ffmpeg:
Otevřete Start - Ovládací panely ELK - Správce programů
seznamy balíků jsou před spuštěním několik sekund zkontrolovány
zkusme najít ffmpeg
To je takový ruský jazyk v ruské armádě!
ffmpeg skončil v seznamu nainstalovaných balíčků. A vyhledejte dotazy oss a alsa ( zvukové systémy) nedal vůbec žádné výsledky. Dotazy Office a Firefox také nepřinesly žádné výsledky.
k3b při spuštění dává chybu, že nemůže najít typ Mime. Musíte 10krát kliknout na OK a poté se spustí:
Vypnutí systému:
Proveďte ...
1. MSVS nefunguje na moderním zařízení
2. Jádro systému, stejně jako veškerý software, bylo vydáno před 11 lety, proto moderní zařízení není podporováno
3. Rozlišení obrazovky je nastaveno na 800x600 a nemění se
4. Videosystém funguje pouze v emulátoru, ale po vypnutí zobrazuje chyby.
5. Zvuk vůbec nefunguje
6. Grafika funguje pouze pro uživatele root, což je narušení zabezpečení
7. Výchozí příkazy k vypnutí a restartu jsou k dispozici pouze prostřednictvím konzoly a fungují pouze v emulátoru.
Obecné závěry.
MSVS5.0 - zkopírován v roce 2011 RedHat Enterprice Linux5.0 (2007), již nefunguje správně na počítačích vydaných v roce 2011. Ano, v ruské armádě je obecně patrná touha po starověku, například letadlový křižník „Admirál Kuzněcov“ s odrazovým můstkem místo katapultu, kvůli kterému jsou letadla nucena létat s neúplnou municí a někdy spadnout do vody při vzletu letadel a s elektrárnou na topný olej, potřebuje tankování při turistice ...