Политика безопасности в ОС Linux
Основные понятия компьютерной безопасности. Локальная и сетевая безопасность Linux: пользователи и пароли, особенности данной файловой системы (права доступа, атрибуты файлов и механизм квот). Библиотека PAM, оценка ее преимуществ и недостатков.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 06.06.2012 |
| Размер файла | 245,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
required - этот флаг определяет, что для удачной аутентификации в целом необходимо успешное прохождение соответствующего модуля. Если при прохождении этого модуля система получила отказ, процесс аутентификации продолжается до тех пор, пока все модули не будут обработаны, и только потом выдается сообщение об ошибке.
requisite - эффект действия этого флага тот же, что и флага required, с одним различием: при получении отказа управление сразу возвращается приложению, прохождение остальных модулей не производится.
sufficient - весь процесс аутентификации считается успешным, если работа модуля с этим флагом была успешной и проверка на предшествующих модулях с флагом required не провалилась. Если работа модуля с этим флагом была неудачной, это не считается фатальной ошибкой.
optional - успешность модуля с этим флагом является необязательной и его использование не критично для аутентификации.
Путь к модулю содержит строку полного пути к модулю в файловой системе. Все модули хранятся в каталоге /lib/security, поэтому, например, путь к модулю pam_limits будет выглядеть как /lib/security/pam_limits.so.
Параметры модуля являются индивидуальным для каждого модуля и описываются в документации модуля.
Помимо основных конфигурационных файлов некоторые модули используют дополнительные файлы конфигурации, находящиеся в каталоге /etc/security. Каждый файл в этом каталоге предназначен для конкретной группы настроек:
time.conf - в этом файле можно ограничить время доступа пользователей с различных терминалов к различным сервисам. Эти настройки использует модуль pam_time, поэтому для вступления в силу временных ограничений необходимо добавить модуль pam_time в конфигурационный файл приложения, на которое должны распространяться эти ограничения.
pam_env.conf - с помощью этого файла можно ограничить возможность изменения некоторых переменных среды пользователями. Этот файл используется модулем pam_env.
limits.conf - этот файл дает возможность ограничить размер core-файла, максимально допустимый размер файла, максимальное количество одновременно открытых файлов, запущенных процессов, количество одновременно открытых пользовательских сессий и так далее. Используется модулем pam_limits.
access.conf - с помощью этого файла можно определить различные параметры входа пользователя в систему, например, с каких компьютеров пользователь имеет доступ в систему. Этот конфигурационный файл используется модулем pam_access.
group.conf - в этом файле можно указать, к какой группе будет принадлежать процесс, запущенный пользователем в определенное время с определенного терминала. Файл читается модулями pam_time и pam_group.
console.perms - в этом файле имеется возможность указать права, назначаемые привилегированным пользователям при входе в систему и возвращаемые консоли при его выходе. Файл используется модулем pam_console.
Как уже неоднократно упоминалось, все модули располагаются в каталоге /lib/security. Кратко рассмотрим, какие модули входят в стандартный пакет PAM, и какие функции выполняет каждый из них:
|
Название модуля |
Тип модуля |
Описание |
|
|
pam_cracklib |
password |
Позволяет проверять пароль на стойкость, не является ли он, например, словом из словаря и т.д. В основном используется программами, задающими пароли. К полезным параметрам относятся: retry=N - задает количество попыток на исправление ошибки; diffok=N - определяет минимальное количество символов, которое должно быть изменено при смене пароля; minlen=N - задает минимальный размер пароля в символах; dcredit=N ucredit=N lcredit=N ocredit=N - задает минимальное количество цифр, строчных, прописных букв и других символов, которые должны присутствовать в пароле. |
|
|
pam_deny |
любой |
Основное назначение этого модуля - запрет доступа при любых условиях. |
|
|
pam_env |
auth |
Контролирует сохранность переменных среды. С помощью параметра conffile=S можно указать файл конфигурации, отличный от стандартного. |
|
|
pam_ftp |
auth |
Предназначен для организации анонимного доступа. Получив в качестве имени пользователя последовательность `anonymous', модуль в качестве пароля требует строку, похожую на почтовый адрес. К полезным параметрам относятся: users=XXX, XXX, … - разрешает анонимный вход для пользователей из этого списка; ignore - позволяет не обращать внимания, похож ли пароль на почтовый адрес. |
|
|
pam_group |
auth |
Определяет группу-владельца процесса, запущенного аутентифицированным пользователем. |
|
|
pam_lastlog |
auth |
Сообщает о месте и времени входа в систему. Для протоколирования используется файл wtmp, находящийся в каталоге /var/log. К полезным параметрам можно отнести: nodate noterm nohost silent - позволяют не выводить в сообщении дату, терминал, адрес машины или вообще ничего не записывать в файл; never - предоставляет возможность выдачи приветствия пользователя, впервые вошедшего в систему. |
|
|
pam_limits |
session |
Позволяет задавать ограничения для пользователя на размер файлов, число одновременно открытых дескрипторов и т.д. Имеет параметр conf=S для указания альтернативного конфигурационного файла. |
|
|
pam_listfile |
auth |
Предназначен для организации доступа на основе конфигурационных файлов наподобие /etc/ftpaccess. Возможные паарметры: onerr=succeed | fail - задает возвращаемое значение в случае неудачного поиска; sence=allow | deny - задает возвращаемое значение в случае удачного поиска; file=filename - позволяет указать имя файла со списком; item=user | tty | rhost | ruser | group | shell - определяет тип элементов в списке. Например, значение item=user означает, что в файле содержится список имен пользователей, имеющих возможность входа в систему. |
|
|
pam_mail |
auth |
Позволяет уведомлять пользователя о вновь пришедшей почте. Полезные параметры: dir=S - указывает путь к каталогу почтовых очередей; noenv - отменяет установку переменной среды MAIL; close - разрешает уведомлять о новых письмах в почтовых ящиках пользователей с аннулированными бюджетами; nopen - запрещает вывод какой-либо почтовой информации для вновь заведенного бюджета. |
|
|
pam_nologin |
auth |
Если файл /etc/nologin существует, в систему может войти только привилегированный пользователь root, остальным же при попытке входа выдается содержимое этого файла. |
|
|
pam_permit |
любой |
Этот модуль дает доступ при любых условиях. Необдуманное использование этого модуля весьма опасно! |
|
|
pam_pwdb |
любой |
Замещает модули серии pam_unix. Этот модуль использует интерфейс библиотеки libpwdb, предназначенный для работы с пользовательскими базами данных, что повышает независимость системы аутентификации от способа хранения пользовательских данных. Полезные параметры: nullok - разрешает использование пустых паролей; md5 shadow bigcrypt - указывает используемые алгоритмы шифрования паролей. |
|
|
pam_radius |
session |
Позволяет осуществлять аутентификацию через сервер RADIUS. |
|
|
pam_rhosts_auth |
auth |
Механизм работы этого модуля основывается на анализе содержимого файлов hosts.equiv и.rhosts, используемых для аутентификации такими службами, какrlogin и rsh. Полезные параметры: no_hosts_equiv - позволяет игнорировать содержимое файла hosts.equiv; no_rhosts - позволяет игнорировать содержимое файла.rhosts; suppress - позволяет избежать запись малозначительных сообщений в системный журнал, в частности, при использовании флага sufficient. |
|
|
pam_root_ok |
auth |
Позволяет организовать доступ привилегированного пользователя к сервису, минуя процедуру ввода пароля. Пользователь допускается к сервису, только если его системный идентификатор равен нулю (то есть привилегированный пользователь root). |
|
|
pam_securetty |
auth |
Позволяет учитывать файл /etc/securetty. В файле /etc/securetty указаны терминалы, с которых привилегированный пользователь имеет доступ в систему. |
|
|
pam_time |
account |
Накладывает временные ограничения на доступ в систему. |
|
|
pam_warn |
auth, password |
Производит записи в системных журналах при определенных действиях. |
|
|
pam_wheel |
auth |
Этот модуль позволяет получить права привилегированного пользователя только пользователям определенной группы. Полезные параметры: group=XXX - задает группу, пользователи которой имеют возможность получить права пользователя root; deny - этот параметр инвертирует действие модуля, другими словами, он запрещает изменение прав на права пользователя root для указанной группы; trust - избавляет пользователей указанной группы от необходимости ввода пароля при смене идентификатора на нулевой. |
Возможно также создание собственных PAM-модулей на основе готовых шаблонов, что позволяет быстро получить необходимый метод аутентификации без особых усилий. Более подробную информацию о модулях и библиотеке PAM можно найти в документации, поставляемой вместе с пакетом.
Размещено на Allbest.ru
Подобные документы
Обзор устройств защиты, теоретические основы и основные этапы проектирования локальных сетей. Подбор топологии и технологии компьютерной сети, оборудования, поддерживающего технологию, планирование сетевой адресации. Конфигурация сервера безопасности.
дипломная работа [499,4 K], добавлен 14.10.2010Изучение операционной системы Linux: элементов файлов, структуры каталогов и прав доступа к ним. Получение практических навыков по работе с некоторыми командами данной ОС. Теоретические сведения и практические навыки по работе с процессами Linux.
лабораторная работа [847,5 K], добавлен 16.06.2011Пример окна входа в систему Linux (графический режим). Простейшие команды Linux. Основные задачи при управлении пользователями. Сведения, которые нужно указать для вновь создаваемого пользователя. Содержимое файла/etc/shadow (в котором содержатся пароли).
лекция [603,7 K], добавлен 20.12.2013Этапы загрузки Linux-системы, регистрация. Управление учетными записями пользователей. Принцип именования устройств, назначение и применение специальных файлов. Управление файлами, доступом к файловой системе, заданиями. Базовая файловая структура Linux.
методичка [1,6 M], добавлен 15.11.2014Особенности операционных систем Linux. Аппаратно-программные требования для работы с лабораторным практикумом. Настройка виртуальной машины. Аналоги программ WINDOWS в Mandriva. Разграничение прав доступа. Настройка безопасности и политика паролей.
курсовая работа [1,8 M], добавлен 06.11.2014Порядок, определяющий организацию, хранения и именования данных на носителях информации в компьютерах. Классификация файловых систем. Основные функции файловой системы Linux. Нарушения целостности файловой системы при некорректном завершении работы.
презентация [405,2 K], добавлен 10.10.2011Механизмы шифрования данных в ОС LINUX MINT. Реализация FDE в интерфейсе инсталлятора. Одно из главных достоинств утилиты CryptKeeper. Создание учётной записи через терминал. Графический интерфейс прав доступа. Резервное копирование данных программы.
курсовая работа [2,9 M], добавлен 11.12.2014Схемы графической аутентификации, их реализация и внедрение в операционных системах Linux. Оценка вероятности взлома графического пароля. Буквенно-цифровые пароли. Схемы треугольника и подвижной рамки. Исследование удобства и простоты использования.
дипломная работа [5,1 M], добавлен 25.01.2013Принцип действия чередующегося тома и его преимущества перед другими типами томов. Концепция логического тома, области действия файловой системы. Выполнение стандартных операций с файлами конфигурации ОС Linux, статические и динамические библиотеки.
контрольная работа [1,6 M], добавлен 04.08.2010Понятие операционной системы. Фундаментальные особенности Linux. Обзор основных качеств. Программное и аппаратное обеспечение, безопасность системы. Преимущества ОС - общественная доступность проекта, открытость, бесплатность, развитая оболочка.
реферат [63,2 K], добавлен 09.01.2011
