Администрирование локальных сетей
Информация - Компьютеры, программирование
Другие материалы по предмету Компьютеры, программирование
ператор немедленно предшествует режиму (например, + rw добавляет разрешения записи и чтение; -rw запрещает чтение и разрешения записи)
Вот еще примеры:
$ chacl carolyn.users=rw myfile
$ ll myfile
-rw-r-----+ 1 nora users 236 Mar 8 14:23 myfile
$ lsacl myfile
(carolyn.users,rw-) (nora.%,rwx) (%.users,r--)(%.%,---) myfile
Для установки разрешения по умалчанию переменую окружения umask. В нем передаються параметры защиты. Напримар umask=022 (2 w, 1 x, 4 r) означает что во всех открытых фыйлах по умолчаню не будет прав зяписи для групы и всех остальных пользователей.
Администратор должен установить
- начальные права для каталога пользователя и дальше пользователь должен следить за защитой своей информации.
- правыльные права на утсройства. (/dev)
Ниже привиден список команд для системы контроля доступа файловой системы
chacl(1) - change ACLs of files.
getaccess(1) - list access rights to files.
lsacl(1) - list access control lists of files.
getaccess(2) - get a users effective access rights to a file.
getacl, fgetacl(2) - get access control list information.
setacl, fsetacl(2) - set access control list information.
acltostr(3C) - convert ACL structure to string form.
chownacl(3C) - change owner/group represented in a files ACL.
cpacl(3C), fcpacl(3C) - copy ACL and mode bits from one file to another.
setaclentry(3C), fsetaclentry(3C) - add/modify/delete a files ACL entry.
strtoacl(3C) - parse and convert ACL structure to string form.
strtoaclpatt(3C) - parse and convert ACL pattern strings to arrays.
Контроль безопасности сети (networks)
Сетевые системы более узяввымие в палне защищености чем без нее (standalone). Сеть увеличивает системны доступ а так же добавляет большой риск в безопасности системы.
Если вы не можете управлять всей защитой сети то вам необходимо защищать каждую станцию отдельно.
Ниже приведены основые механизмы контроля доступом по сети
1. Перечинь экспортиртируемыз файловых систем /etc/exports.
/etc/exports содержит входы, которые состоят из имени пути файловой системы, сопровождаемой списком компьютеров или групп компьютеров, позволенных доступ к файловой системе. Любой вход, состоящий из только имя пути без того, чтобы следоваться компьютерным названием- файловая система, доступная каждому компьютеру на сети. /etc/exports входы могли бы содержать названия групп компьютеров. Вы можете выяснять то, какие индивидуальные машины включены в группу, проверяя /etc/netgroup.
2. Перечислить узлов, которые имеют эквивалентные базы паролей в /etc/hosts. equiv.
3. Проверить, что каждый узел в административном домене не расширяет привилегии на любых невключенных узлов.
Вы должны повторить шаги 1 и 2 для каждого узла в домене(области).
4. Конролируйте root и локальную защиту на каждом узле в вашем административном домене Пользователь с привилегиями суперпользователя на любой машине в домене может приобретать те привилегии на каждой машине в домене. !!!
5. Поддержать последовательность названий пользователей, uid, и gid среди файлов пароля в вашем административном домене.
6.Поддержать последовательность файлов группы на всех узлах в вашем административном домене.
Режимы, владельцы, и группы на всех системных файлах должы быть установлены тщательно. Все отклонения от этих значений должны быть отмечены и исправлены.
Обратите внимание на файлы которые находяться в /etc. Ниже приведен список наиболее употребляемых файлов
networks название сетей и их адреса
hosts название станций а также их адреса
hosts.equiv название и адреса станций в которые эквивалентны даной станции
servicesбаза данных сервисов
exportsсписок экспорта файловых систем, экспортируемых в NFS клиенту
protocols база данныз протоколов
inetd.conf файл конфигурации Internet
netgroup Список сетевых групп.
Использують indetd.sec для контроля внешнего доступа. Файл находиться в /var/adm/inetd.sec
По следующему формату :
Мониторинг системы
Имееться набор команд для мониторинга системы. Ниже приведены краткие возможности и характеристики наиболее часто используемых:
SAR показывает активные ресурсы сиситемы (system activity reporter)
Запуск команды возможен в 2х вариантах:
sar [-ubdycwaqvmAMS] [-o file] t [n]
и
sar [-ubdycwaqvmAMS] [-s time] [-e time] [-i sec] [-f file]
Первая форма показывает октивность комапьютера n раз с периодом t секунд. Если указана опция o то информацию скидывает в файл. По умолчанию n = 1.
Другая форма без осуществления выборки указанного интервала, sar извлекает данные от предварительно зарегистрированного файла, или тот, указанный -f опцией или, по умолчанию, стандартные действия операционной системы ежедневный файл данных /var/adm/sa/sadd в течение текущего дня dd. Начальные и конечные времена сообщения могут быть ограничены через -s и -e параметры времени формы hh [:mm [:ss]]. -i опция выбирает отчеты в секундных интервалах. Иначе, все интервалы, найденные в файле данных сообщены.
Расмотрим опции:
-u использование CPU.(значение по умолчанию); часть времени, выполняющегося в одном из нескольких режимов. На многопроцессорной системе, если -M опция используется вместе с -u опцией, для каждого -CPU использование также как среднее использование CPU всех процессоров. Если -M опция не используется,тогда показывает среднее использование CPU всех процессоров:
cpuномер CPU(только на многопроцессорной системе с -M опцией);
%usr использование пользователем (непgjrfривигильованый режим);
%sysсистемный режим;
%wioпростой с нек