Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание Группа по умолчанию ССЫЛКА Про атрибуты каталога подробнее рассказывается ССЫЛКА Главы 3 и 4 содержат более подробную информацию о владельцах файлов и их связи с правами на чтение и изменение файлов.

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Заключение

В этой главе рассказывалось о пользователях и процедуре входа в систему. Из данной главы вы узнали о том, каким образом система обрабатывает файл /etc/passwd, как этот файл использовался в прошлом и как он используется сейчас. Также вы узнали о назначении файла /etc/shadow, который является более защищенным аналогом файла /etc/passwd. Кроме того, речь шла и о файле /etc/group.

Затем мы рассмотрели файл /etc/login.defs и его связь со значениями по умолчанию, используемыми программой useradd при добавлении нового пользователя в систему.

Завершилась же глава рассказом о системе безопасности РАМ. Мы рассмотрели принципы ее работы, используемые ею файлы, такие как /etc/securetty, /etc/ shells, и файлы из /etc/security/, а также какие модули РАМ имеются в системе и как их можно использовать для управления доступом к службам.

В следующей главе тема групп будет рассмотрена более подробно, с позиций взаимодействия пользователей, групп и файлов. Из данной главы вы узнали, что в операционной системе Linux существуют группы, а вот для чего они нужны, объясняется в следующей главе.

2 Безопасность уровня
пользователей и групп

В данной главе рассматриваются следующие вопросы:

- что такое пользовательская группа по умолчанию и частные пользовательские группы;

- изменение пользователя/группы;

- как изменение пользователя/группы влияет на графический интерфейс;

- безопасность и пользователи;

- безопасность и пароли;

- защита паролей;

- выбор хорошего пароля;

- взлом паролей.

Управлять пользователями можно лишь одним единственным способом: каждому из них назначается уникальное имя. А вот механизм групп позволяет вам выбрать одну из двух различных схем. К выбору схемы следует подходить обдуманно, поскольку желательно единожды определиться с используемой схемой и более не менять ее (особенно если вы администрируете систему с большим количеством пользователей). Схемы эти таковы: группа по умолчанию и частные группы пользователей. Как можно предположить, у каждой из них имеются свои достоинства и недостатки.

Группа по умолчанию

Исторически, во всех разновидностях Unix, равно как и в других операционных системах, напоминающих Unix (включая Linux), использовалась схема, в рамках которой любые вновь создаваемые новые пользователи системы по умолчанию становились членами одной группы. При создании учетной записи администратор мог специально изменить членство в группе, однако так редко кто поступал. Причина была в том, что в старых системах пользователь не мог принадлежать к нескольким группам одновременно. Любой пользователь мог быть членом только одной группы. Поэтому все созданные пользователи попадали в группу по умолчанию, достаточно безопасную для того, чтобы ее членом мог быть кто угодно. Пользователям, которым надо было стать членом другой группы (например, если несколько пользователей работают над одним проектом и должны обладать доступом к одним и тем же данным), приходилось прибегать к команде newgrp. Эта команда позволяет пользователю покинуть свою старую группу и присоединиться к новой (разумеется при условии, что у этого пользователя есть право на присоединение к новой группе).

В настоящее время ограничения на одновременную принадлежность пользователя лишь к одной группе более не существует. Любой пользователь может принадлежать одновременно к нескольким группам. Вы можете сделать пользователя членом любого удобного для вас количества групп. Очевидно, теперь операционные системы устроены более гибко. В OpenLinux, независимо от того, используете ли вы группу по умолчанию или частные группы пользователей (о которых рассказывается далее), пользователи могут быть членами произвольного числа групп. По команде newgrp пользователь становится членом указанной в команде группы, при этом данная группа становится для данного пользователя группой входа в систему (login group). Имейте в виду, что при этом пользователь продолжает оставаться членом тех групп, в которые он входил до выполнения команды newgrp. Группа входа в систему является группой, которая (если атрибуты каталога не предписывают ничего другого) становится групповым владельцем файлов, создаваемых пользователем.


ССЫЛКА

Про атрибуты каталога подробнее рассказывается в главе 4,

Различие между группой по умолчанию и частными группами пользователей заключается в степени открытости этих двух схем. В случае схемы с группой по умолчанию любой пользователь может читать (а часто и изменять) файлы другого пользователя. С частными же группами чтение или запись файла, созданного другим пользователем, возможны лишь если его владелец явно предоставил права на эти операции остальным пользователям.

Если требуется, чтобы пользователи могли присоединяться и покидать группу без вмешательства системного администратора, то этой группе можно назначить пароль. Как говорилось ранее, пользователь может пользоваться привилегиями определенной группы только в случае, если он принадлежит к ней. Здесь есть два варианта: либо он принадлежит к группе с момента входа в систему, либо он становится членом группы впоследствии, уже после того, как он начал работу с системой. Чтобы пользователь мог присоединиться к группе, к которой он не принадлежит, этой группе должен быть назначен пароль (желательно теневой).

По умолчанию в OpenLinux групповые пароли не используются, поэтому файла gshadow в каталоге /etc нет. О том, как активизировать этот механизм, рассказывается в главе 1.

В случае с OpenLinux тип используемой схемы зависит от программы, которую вы используете для создания новых пользователей. Программы useradd и LISA используют схему с группой по умолчанию. Средство администрирования COAS работает с частными группами пользователей. Безусловно, поведение по умолчанию любой из этих программ можно изменить. Более того, если вы не сделаете этого и в дальнейшем для создания новых пользователей будете использовать все три программы, в вашей системе будет использоваться помесь из двух схем, а это плохая практика. Чтобы избежать этого, следует либо изменить файл /etc/ login.defs, либо перенастроить COAS. Если вы не хотите чего-либо перенастраивать, то для создания новых пользователей можно пользоваться исключительно одной из трех программ. Когда требуется изменить поведение этой программы по умолчанию, это можно сделать из командной строки, кроме того, вы можете сначала создать нового пользователя, а затем привести его параметры в соответствие с той или иной схемой. Однако чем меньше времени уходит у вас на тривиальные административные задачи, тем больше его остается на вопросы безопасности.


СОВЕТ -

Если для выполнения рутинных задач администрирования пользователей вы постоянно используете только одну из программ — useradd, LISA или COAS, — файлы настроек пользователей получаются более согласованными и более легкими в сопровождении.

Преимущество схемы с группой по умолчанию заключается в том, что она облегчает совместное использование файлов, так как при ее использовании не нужно заботиться о правах доступа к ним. Эта схема подразумевает открытый подход к системе по принципу «разрешено все, что не запрещено».


ССЫЛКА

Главы 3 и 4 содержат более подробную информацию о владельцах файлов и их связи с правами на чтение и изменение файлов.

Для пользователей понятней, а значит, в чем-то удобней, схема с группой по умолчанию, однако для больших систем, где нельзя одинаково доверять всем пользователям, предпочтительней использовать частные группы пользователей. Открытый подход упрощает не только совместное использование файлов, но и их порчу или удаление. Поэтому если пользователей много, имеет смысл оградить их от неосторожных действий друг друга. В OpenLinux группа по умолчанию называется users.


СОВЕТ

Настройка параметров пользователей по умолчанию — это высокоприоритетная задача, которую следует выполнить сразу же после того, как вы установите систему.