na oshibku vvoda-vyvoda, ona pytaetsya napra- vit' kontrol' v novyj katalog iz spiska. . - 5-45 - Fatal'nye sboi sistemy V bol'shinstve sistem rano ili pozdno proishodit fatal'nyj sboj, nevziraya na vse usiliya po obespecheniyu ustojchivosti. V takom sluchae sushchestvuet vozmozhnost' poteri dannyh v kontrol'nom zhurnale iz-za nesoglasovannosti buferizovannyh vyhodnyh zapisej i in- deksnyh deskriptov fajlov. Podsistema kontrolya delaet vse vozmozh- noe, chtoby vospol'zovat'sya sinhronnym vvodom-vyvodom dlya takih kritichnyh operacij, kak sbros buferov, indeksnyh deskriptorovfaj- lov i katalogov. Odnako net garantii, chto dannye vo vseh sluchayah popadut na disk. V osobennosti eto kasaetsya sluchaev, kogda sboj na diske vyzyvaet fatal'nyj sboj sistemy. Posle perezagruzki vy, chto vpolne veroyatno, mozhete obnaru- zhit' povrezhdenie fajlovoj sistemy na fajlah kontrol'nogo zhurna- la. U vas mozhet ne okazat'sya drugogo vybora, krome kak udalit' fajly kontrolya i snyat' problemu. |to nemnogo komprometiruet kontrol'nyj zhurnal, no zato ustranyaet vse problemy po vosstanov- leniyu fajlovoj sistemy posle lyubogo narusheniya. Soobshcheniya podsistemy Podsistema kontrolya obladaet ustojchivost'yu. Ona obrabatyva- et oshibki vvoda-vyvoda, pytayas' pereklyuchit' fajly sbora dannyh ili uplotnennye fajly v novyj katalog. To zhe samoe proishodit, kogda trebuetsya vosstanovlenie v sluchae, esli v fajlovoj sisteme ostaetsya slishkom malo svobodnogo prostranstva. Byvayut situacii, kogda podsistema ne v sostoyanii prodolzhit' rabotu. Esli zaporchen diskovyj nositel' ili v fajlovoj sisteme ne ostalos' mesta, pod- sistema prekrashchaet rabotu i vydaet soobshchenie ob etom na sistem- nuyu konsol'. Lyuboe uslovie avarijnogo prekrashcheniya privodit k vy- dache soobshcheniya na konsol', s pomoshch'yu kotorogo mozhno opredelit' problemu. Esli govorit' voobshche o sistemnyh problemah, to simpto- my obychno ne svodyatsya tol'ko k kontrolyu. Odna iz veroyatnyh prob- lem, kotoraya mozhet vozniknut' pri udalenii i posleduyushchem vossta- novlenii fajla parametrov kontrolya, svyazana s dublirovaniem soz- davaemyh sessij. Pri kazhdom vklyuchenii kontrolya sozdaetsya novaya sessiya. Sessiya opredelyaetsya zhurnal'nym fajlom i vsemi uplotnen- nymi fajlami, sgenerirovannymi za period kontrolya. Fajly snabzha- yutsya unikal'noj metkoj - nomerom sessii, chtoby ih mozhno bylo legko identificirovat' i ispol'zovat' utilitami podsistemy, ko- torym nuzhen dostup k fajlam; eti utility mogut rabotat' ne s imenami fajlov, a s nomerami sessij. Esli dopuskaetsya ostavlyat' sessii v mashine, a fajl parametrov modificiruetsya takim obrazom, chto nomer sessii podsistemy sbrasyvaetsya, to v rezul'tate mozhet byt' predprinyata popytka sozdat' fajl kontrolya s tem zhe imenem, chto i v predydushchej sessii. V takom sluchae staraya sessiya dolzhna byt' zanesena v arhiv i udalena s pomoshch'yu programmy interfejsa do vozobnovleniya kontrolya. Terminologiya kontrolya Fajl sbora dannyh kontrolya (audit collection file) - fajl, v kotoryj vedetsya zapis' drajverom ustrojstva podsistemy kontro- lya; on soderzhit neobrabotannye dannye kontrolya, poluchennye iz vsevozmozhnyh istochnikov kontrolya v sisteme - sistemnyh vyzovov, nadezhnyh prikladnyh programm, avtorizovannyh podsistem. . - 5-46 - Uplotnennyj fajl kontrolya (audit compaction file) - fajl, zapisyvaemyj demonom kontrolya; on soderzhit bufera dannyh, schi- tannyh s drajvera ustrojstva kontrolya. Dannye mogut byt' v up- lotnennom ili neuplotnennom formate, v zavisimosti ot opcij, vybrannyh pri zapuske sessii kontrolya. Demon kontrolya (audit daemon) - demon-process, startuyushchij pri perehode sistemy v mnogopol'zovatel'skoe sostoyanie. On chita- et kontrol'nye zapisi s ustrojstva podsistemy kontrolya, uplotnya- et eti zapisi i zapisyvaet ih v postoyannyj uplotnennyj fajl dlya posleduyushchej redukcii. Demon takzhe vystupaet v roli programmy in- terfejsa, kotoraya pozvolyaet nezashchishchennym podsistemam zanosit' kontrol'nye zapisi v ustrojstvo kontrolya. Sessiya kontrolya (audit session) - period vremeni ot vklyuche- niya kontrolya do ego vyklyucheniya. V techenie etogo vremeni dannye kontrolya sohranyayutsya v uplotnennyh fajlah, kuda vedet zapis' de- mon. Kazhdaya sessiya snabzhaetsya unikal'nym nomerom, i kazhdyj fajl, yavlyayushchijsya chast'yu sessii, soderzhit etot unikal'nyj identifikator v svoem imeni. V kazhdoj sessii imeetsya glavnyj fajl, sobirayushchij informaciyu o sessii i imena fajlov sessii dlya posleduyushchej reduk- cii. Podsistema kontrolya (audit subsystem) sostoit iz komponen- tov, obespechivayushchih nadezhnyj servis kontrolya. Syuda vhodit draj- ver ustrojstva kontrolya, mehanizm kontrolya yadra, demon kontrolya, interfejs Administratora kontrolya i programma redukcii kontrolya. Kontrol'nyj zhurnal (audit trail) - sovokupnost' kontrol'nyh zapisej dlya sessii kontrolya, kotorye mozhno reducirovat' v otchet o rabote sistemy. Redukciya kontrolya (audit reduction) - preobrazovanie neob- rabotannyh dannyh iz kontrol'nogo zhurnala v vyhodnye zapisi, so- derzhashchie daty, identifikatory pol'zovatelej, imena fajlov i tipy sobytij. Vyhodnaya zapis' opisyvaet kontroliruemoe sobytie v chi- tabel'nom tekstovom vide. configaudit - avtorizaciya yadra, kotoraya pozvolyaet ustanav- livat' parametry kontrolya dlya vseh pol'zovatelej sistemy. Maska upravleniya sobytiyami (event control mask) - maska, opredelyaemaya i podderzhivaemaya dlya kazhdogo pol'zovatelya v zashchi- shchennoj baze dannyh parolej. |ta maska ukazyvaet, imeet li pol'- zovatel'skaya maska sobytij prioritet po sravneniyu s sistemnoj maskoj sobytij, prinimaemoj po umolchaniyu, pri vklyuchenii kontro- lya. Kazhdyj ustanovlennyj bit maski upravleniya sobytiyami oprede- lyaet prioritet maski dispozicii sobytij. Maska dispozicii sobytij (event disposition mask) - oprede- lyaemaya pol'zovatelem maska, primenyaemaya v sochetanii s maskoj up- ravleniya sobytiyami dlya upravleniya pol'zovatel'skimi sobytiyami kontrolya. Esli v pol'zovatel'skoj maske upravleniya sobytiyami us- tanovlen kakoj-nibud' bit, to sootvetstvuyushchij bit maski dispozi- cii sobytij budet opredelyat', dolzhno li eto sobytie kontroliro- vat'sya vsegda ili ne kontrolirovat'sya voobshche. |to imeet silu nezavisimo ot znacheniya sistemnoj maski sobytij, prinimaemoj po umolchaniyu. . - 5-47 - Tip sobytiya (event type) - klassifikaciya dlya kazhdoj kont- rol'noj zapisi. Sobytiya v sisteme, svyazannye s sekretnost'yu, klassificiruyutsya po opredelennym tipam, kotorye mozhno ispol'zo- vat' dlya upravleniya generaciej kontrolya i redukciej. Kazhdoe sis- temnoe dejstvie, uspeshnoe ili neudachnoe, mozhno otnesti k neko- toromu tipu sobytiya. |tot tip sobytiya zatem budet opredelyat' dispoziciyu zapisi. Ob®ekt (object) - eto to, na chto vozdejstvuet sub®ekt (nap- rimer, fajly, razdelyaemye segmenty pamyati, semafory, kanaly svya- zi, ocheredi soobshchenij). Post-vyborka (post-selection) - vyborochnoe ispol'zovanie sobrannyh dannyh kontrolya. Post-vyborka vklyuchaet sbor dannyh kontrolya po vsem sobytiyam i pol'zovatelyam, tak chto informaciya v kontrol'nom zhurnale okazyvaetsya maksimal'no polnoj. Lyuboe soby- tie, svyazannoe s sekretnost'yu, v konce sessii popadet v uplot- nennye fajly kontrol'nogo zhurnala. Predvaritel'naya vyborka (pre-selection) ispol'zuetsya dlya upravleniya vyborochnoj generaciej kontrol'nyh zapisej. |to daet vozmozhnost' opredelennym pol'zovatelyam i sobytiyam generirovat' kontrol'nye zapisi, s otbrasyvaniem ostal'nyh zapisej. V rezul'- tate poluchaetsya bolee kompaktnyj kontrol'nyj zhurnal, s men'shimi podrobnostyami, chem pri polnom kontrole. Fajly vyborki (selection files) generiruyutsya cherez admi- nistrativnyj interfejs dlya upravleniya vyborochnoj redukciej sessij kontrolya. Kriterii vyborki opredelyayut otbor pol'zovate- lej, ob®ektov i sobytij dlya vyhodnyh zapisej. Sub®ekt (subject) - aktivnyj element, vypolnyayushchij dejstviya s ob®ektami, - naprimer, process v sisteme, osushchestvlyayushchij dos- tup k fajlam. suspendaudit - avtorizaciya yadra, priostanavlivayushchaya kont- rol'. Sistemnaya maska kontrolya (system audit mask) - sistemnaya maska sobytij, prinimaemaya po umolchaniyu; ispol'zuetsya dlya opre- deleniya, kakie sobytiya podlezhat kontrolyu v sluchae, kogda pol'zo- vatel'skaya maska ne imeet prioriteta. Pol'zovatel'skaya maska kontrolya (user audit mask) - obshchee nazvanie masok upravleniya sobytiyami i dispozicii sobytij, koto- rye vmeste s sistemnoj maskoj, prinyatoj po umolchaniyu, upravlyayut generaciej kontrol'nyh zapisej dlya kazhdogo processa. writeaudit - avtorizaciya yadra, pozvolyayushchaya zanosit' speci- al'nuyu informaciyu v kontrol'nyj zhurnal. . - 5-48 - SREDSTVA ZASHCHITY FAJLOVOJ SISTEMY V vashu sistemu vklyucheny vazhnye vozmozhnosti fajlovoj siste- my, kotorye rasshiryayut sredstva zashchity, imeyushchiesya v drugih siste- mah UNIX. |ti vozmozhnosti znachitel'no povyshayut bezopasnost' sis- temy. Odna iz takih vozmozhnostej - ochistka bitov SGID i SUID pri zapisi v fajl - yavlyaetsya passivnoj v tom smysle, chto dlya svoego vypolneniya ne trebuet nikakih dejstvij s vashej storony, t.e. so storony Administratora sistemy. Drugie vozmozhnosti yavlyayutsya ak- tivnymi, t.e. vy mozhete ispol'zovat' ih ili ne ispol'zovat' po svoemu usmotreniyu. K chislu takih aktivnyh vozmozhnostej, opisyva- emyh nizhe, otnositsya special'noe ispol'zovanie sticky-bita v ka- talogah i ispol'zovanie promenov. V nastoyashchem razdele takzhe opi- sano importirovanie fajlov iz drugih sistem. Ochistka bitov SUID/SGID i sticky-bita pri zapisi Operacionnaya sistema obespechivaet ochistku bitov SUID, SGID i sticky-bita dlya fajlov, v kotorye proizvoditsya zapis'. Ochistka vypolnyaetsya dlya togo, chtoby predotvratit' zameshchenie programmy SUID/SGID ili programmy, schitayushchejsya rezidentnoj v pamyati. V sleduyushchem primere dvazhdy demonstriruetsya ochistka bita: $ id uid=76(blf) gid=11(guru) $ ls -l myprogram -rwsrwsrwt 1 root bin 10240 Jan 11 22:45 myprogram $ cat sneakyprog > myprogram $ ls -l myprogram -rwxrwxrwx 1 root bin 10240 Mar 18 14:18 myprogram $ $ ls -l anotherprog -rws------ 1 blf guru 83706 Dec 15 1987 anotherprog $ strip anotherprog $ ls -l anotherprog -rwx------ 1 blf guru 17500 Mar 18 14:19 anotherprog $ Pervyj sluchaj demonstriruet, chto ochistka bita proishodit pri zapisi v fajly, prinadlezhashchie drugomu pol'zovatelyu. Vtoroj sluchaj pokazyvaet, chto ochistka bita delaetsya dazhe dlya fajlov, prinadlezhashchih tomu zhe pol'zovatelyu. Sleduet imet' v vidu, chto ochistka proishodit pri zameshchenii fajlov. Podprav'te scenarij us- tanovki, chtoby sbrosit' sootvetstvuyushchie rezhimy. Imeya dannuyu vozmozhnost', vy mozhete vvodit' sticky-bit v pol'zovatel'skie programmy, ne opasayas', chto pol'zovatel' mozhet pereklyuchit' programmy v odnom i tom zhe fajle. |to tot sluchaj, . - 5-49 - kogda dopolnitel'naya sekretnost' pozvolyaet vam vypolnit' funk- ciyu, kotoruyu sistema mozhet otslezhivat', vmesto togo, chtoby pros- to zapretit' etu vozmozhnost'. Bity SUID, SGID i sticky v katalogah ne ochishchayutsya. Bity SUID i SGID ne imeyut smyslovogo znacheniya dlya katalogov, a znache- nie sticky-bita dlya katalogov trebuet kak raz ego postoyanstva. |to opisyvaetsya nizhe. Sticky-bit i katalogi Eshche odno vazhnoe usovershenstvovanie kasaetsya ispol'zovaniya sticky-bita v katalogah. Katalog s ustanovlennym sticky-bitom oznachaet, chto udalit' fajl iz etogo kataloga mozhet tol'ko vlade- lec fajla ili super-pol'zovatel'. Drugie pol'zovateli lishayutsya prava udalyat' fajly. Ustanovit' sticky-bit v kataloge mozhet tol'ko super-pol'zovatel'. Sticky-bit kataloga, v otlichie ot sticky-bita fajla, ostaetsya v kataloge do teh por, poka vladelec kataloga ili super-pol'zovatel' ne udalit katalog yavno ili ne primenit k nemu chmod(C) ili chmod(S). Zamet'te, chto vladelec mozhet udalit' sticky-bit, no ne mozhet ego ustanovit'. Vy mozhete s pomoshch'yu etoj vozmozhnosti dobit'sya maksimal'noj sekretnosti, pomestiv sticky-bit vo vse obshchie katalogi. V eti katalogi mozhet pisat' lyuboj pol'zovatel', otlichnyj ot administ- ratora. Pol'zovatelyam nado ob®yasnit', chto sticky-bit, vmeste s maskoj umask, ravnoj 077 (znachenie, prinimaemoe po umolchaniyu), dayut reshenie mnogih problem v menee sekretnyh sistemah. Vmeste eti dve vozmozhnosti ne dayut pol'zovatelyam izmenyat' ili zameshchat' fajly obshchego kataloga. Edinstvennaya informaciya, kotoruyu oni mo- gut poluchit' iz fajla, - eto ego imya i atributy. V sleduyushchem primere demonstriruetsya effekt dannogo sredstva. $ id uid=76(blf) gid=11(guru) $ ls -al /tmp total 64 drwxrwxrwt 2 bin bin 1088 Mar 18 21:10 . dr-xr-xr-x 19 bin bin 608 Mar 18 11:50 .. -rw------- 1 blf guru 19456 Mar 18 21:18 Ex16566 -rw------- 1 blf guru 10240 Mar 18 21:18 Rx16566 -rwxr-xr-x 1 blf guru 19587 Mar 17 19:41 mine -rw------- 1 blf guru 279 Mar 17 19:41 mytemp -rw-rw-rw- 1 root sys 35 Mar 16 12:27 openfile -rw------- 1 root root 32 Mar 10 10:26 protfile $ rm /tmp/Ex16566 rm: /tmp/Ex16566 not removed. Permission denied (Fajl ... ne udalen. Razreshenie otvergnuto) $ rm /tmp/protfile rm: /tmp/protfile not removed. Permission denied $ cat /tmp/openfile Ha! Ha! You can't remove me. (Ha-ha! Vy ne mozhete menya udalit') $ rm /tmp/openfile . - 5-50 - rm: /tmp/openfile not removed. Permission denied $ rm -f /tmp/openfile $ rm /tmp/mine mytemp $ ls -l /tmp drwxrwxrwt 2 bin bin 1088 Mar 18 21:19 . dr-xr-xr-x 19 bin bin 608 Mar 18 11:50 .. -rw------- 1 blf guru 19456 Mar 18 21:18 Ex16566 -rw------- 1 blf guru 10240 Mar 18 21:18 Rx16566 -rw-rw-rw- 1 root sys 35 Mar 16 12:27 openfile -rw------- 1 root root 32 Mar 10 10:26 protfile $ cp /dev/null /tmp/openfile $ cat /tmp/openfile $ cp /dev/null /tmp/protfile cp: cannot create /tmp/protfile (cp ne mozhet sozdat' fajl) $ ls -l /tmp drwxrwxrwt 2 bin bin 1088 Mar 18 21:19 . dr-xr-xr-x 19 bin bin 608 Mar 18 11:50 .. -rw------- 1 blf guru 19456 Mar 18 21:18 Ex16566 -rw------- 1 blf guru 10240 Mar 18 21:18 Rx16566 -rw-rw-rw- 1 root sys 0 Mar 18 21:19 openfile -rw------- 1 root root 32 Mar 10 10:26 protfile $ Edinstvennye udalennye fajly - eto fajly, prinadlezhashchie pol'zovatelyu blf, tak kak udalenie provodil imenno etot pol'zo- vatel'. On ne smog udalit' nikakoj drugoj fajl, dazhe dostupnyj fajl /tmp/openfile. Odnako znachenie rezhima samogo fajla pozvolya- lo blf razrushit' ego soderzhimoe; imenno poetomu znachenie umask neobhodimo dlya zashchity dannyh. I naoborot, rezhim fajla /tmp/protfile vmeste so sticky-bitom kataloga /tmp delaet fajl /tmp/protfile nedostupnym. Vo vseh obshchih katalogah sleduet ustanovit' sticky-bit. |to otnositsya k sleduyushchim katalogam (no ne tol'ko k nim): * /tmp * /usr/tmp * /usr/spool/uucppublic Esli u vas est' somneniya, gorazdo luchshe ustanovit' sticky-bit v kataloge, chem ostavit' ego nulevym. Vy mozhete usta- novit' sticky-bit kataloga sleduyushchej komandoj (zdes' directory - imya kataloga): chmod u+t directory . - 5-51 - Promeny Promen - eto termin, oboznachayushchij zashchishchennyj domen (Protected Domain), gde aktivizator programmy SUID poluchaet ne- kotoruyu zashchitu iz programmy. Dlya programmy SUID pri ee rabote s chast'yu dereva fajlov, vybrannoj aktivizatorom, obespechivaetsya dejstvitel'nost' proverki na dostup, kak dlya vladel'ca programmy SUID, tak i dlya aktivizatora. Podrobnoe opisanie etoj modeli s primerami primeneniya privedeno v razdele promain(M) "Spravochnika pol'zovatelya" (User's Reference). Promeny takzhe obsuzhdayutsya v razdelah auths(C) i setauths(S). Promeny - eto instrument, prednaznachennyj dlya issledovaniya programm SUID4; oni ne imeyut obshcheznachimogo smysla. Vy dolzhny imet' o nih predstavlenie, chtoby pomoch' pol'zovatelyam otlazhi- vat'sya v ih srede. Importirovanie dannyh Fajly i fajlovye sistemy, perenesennye v sistemu izvne, predstavlyayut ugrozu sisteme pri nepravil'noj rabote s nimi. V ostal'noj chasti dannogo razdela opisyvayutsya sredstva, ispol'zue- mye pri importirovanii fajlov v vashu sistemu. Fajly Nel'zya prinimat' na veru razresheniya dlya chuzhogo fajla. V kazhdoj sisteme ne tol'ko fajly /etc/passwd i /etc/group otlichny ot analogichnyh fajlov drugih sistem, no i strategii v raznyh sistemah diktuyut ustanovku raznyh rezhimov. |ti soobrazheniya oso- benno vazhno uchityvat', kogda importiruemye fajly yavlyayutsya sis- temnymi fajlami. CHtoby svesti k minimumu svoe vmeshatel'stvo i podchistku pos- le importirovaniya fajlov, nuzhno priuchit' vseh pol'zovatelej sistemy pol'zovat'sya opciyami arhivnyh programm, kotorye ne otme- nyayut prinadlezhnost' fajlov. Nekotorye versii tar(C) podderzhivayut opciyu -o, kotoraya ne annuliruet prinadlezhnost' fajla vladel'cu i gruppe. Vladel'cem fajla yavlyaetsya importirovavshij ego pol'zova- tel'. Programma cpio(C) tol'ko menyaet vladel'ca fajla, esli ee vyzyvaet super-pol'zovatel'. V obshchem sluchae arhivnye programmy sbrasyvayut rezhimy fajlov, ustanavlivaya ih takimi, kak opisano na arhivnom nositele. Pomimo togo, chto fajl mozhet poluchit' rezhimy s bol'shimi razresheniyami, chem eto neobhodimo, dlya nego mogut oka- zat'sya ustanovlennymi bity SUID, SGID ili sticky. Vse eti situa- cii chrevaty problemami s sekretnost'yu. CHtoby svesti k minimumu effekt arhivnyh razreshenij, ispol'- zujte te arhivnye opcii, kotorye tol'ko proveryayut soderzhanie, nichego ne izvlekaya. Naprimer, opciya -tv funkcii tar i opciya -tv funkcii cpio pozvolyayut uvidet' rezhimy fajlov na lente i podgoto- vit'sya k neblagopriyatnym effektam pri izvlechenii fajlov. Pri postuplenii neznakomyh katalogov snachala sleduet importirovat' . - 5-52 - fajly v ierarhiyu, nedostupnuyu prochim pol'zovatelyam. Zatem vruch- nuyu perenesite fajly, predvaritel'no podpraviv imena vladel'cev i rezhimy v sootvetstvii so strategiej vashej sistemy. Fajlovye sistemy Pri montirovanii fajlovyh sistem, sozdannyh ili obrabaty- vavshihsya v drugom meste, mogut vozniknut' te zhe problemy, chto i ukazannye vyshe dlya importirovaniya fajlov. Dlya fajlovyh sistem imeyutsya i dve dopolnitel'nye problemy. Pervaya: fajlovaya sistema mozhet byt' zaporchena. Vtoraya: razresheniya dlya fajla v fajlovoj sisteme mogut byt' nepriemlemy dlya vashej sistemy. Fajlovaya sistema, perenesennaya iz drugogo mesta, mozhet oka- zat'sya zaporchennoj. Dannye mogut byt' nekorrektny ili prednazna- chat'sya dlya drugogo tipa sistemy. V oboih sluchayah montirovanie defektnoj fajlovoj sistemy mozhet vyzvat' v sisteme fatal'nyj sboj, dal'nejshuyu porchu dannyh importirovannoj fajlovoj sistemy ili povrezhdenie drugih fajlovyh sistem iz-za pobochnyh effektov. Imenno poetomu komanda mount(ADM) zarezervirovana dlya super- pol'zovatelya. Programmu fsck(ADM) sleduet vypolnyat' vo vseh faj- lovyh sistemah do ih montirovaniya. Esli fajlovaya sistema soder- zhit sistemnye dannye, sleduet takzhe vypolnit' programmu System-> Software->Permissions. Importirovannye fajlovye sistemy mogut soderzhat' fajly s razresheniyami, ne sootvetstvuyushchimi vashej sisteme. Mozhet okazat'- sya, chto super-pol'zovatel' importirovannoj fajlovoj sistemy us- tanovil imena vladel'cev, sticky-bity, special'nye fajly, bity SUID/SGID i kompozicii dereva fajlov, nesovmestimye so strategi- ej vashej sistemy. Special'nye fajly mogut imet' vladel'cev i re- zhimy, kotorye vy ne mozhete razreshit'. Programmy s bitami SUID, SGID ili sticky, ustanovlennymi v drugom meste, buduchi smontiro- vany, tak i rabotayut v vashej sisteme i mogut vyzvat' problemy s sekretnost'yu. Vy mozhete vospol'zovat'sya opciej -s komandy ncheck(ADM), chtoby vyyavit' nekotorye problemnye fajly do montirovaniya. Fajlo- vye sistemy, kak i fajly, pered montirovaniem sleduet prosmot- ret'. Kogda fajlovaya sistema vpervye montiruetsya pod vashim up- ravleniem, luchshe smontirovat' ee v lichnom kataloge, chtoby vy mogli vruchnuyu prosmotret' fajlovuyu sistemu pered ee montirovani- em v nadlezhashchem meste. Prover'te organizaciyu fajlov, vladel'cev i rezhimy fajlov i ozhidaemoe ispol'zovanie fajlovoj sistemy. . - 5-53 - SHifrovanie dannyh Predusmotrena dopolnitel'naya zashchita v vide programmnogo obespecheniya shifrovaniya dannyh - komandy crypt(C). |to sredstvo opisano v glave "Ispol'zovanie nadezhnoj sistemy" v "Rukovodstve pol'zovatelya" (User's Guide). Zamechanie Programmnoe obespechenie shifrovaniya dannyh ne vklyucheno v distribuciyu, no dostupno po zaprosu tol'ko v predelah SSHA. Vy mozhete zaprosit' eto programmnoe obespechenie u svoego agenta ili postavshchika. Ustanovka bita GID kataloga Po umolchaniyu identifikator gruppy (GID) tol'ko chto sozdan- nogo fajla ustanavlivaetsya ravnym GID sozdavshego processa/pol'- zovatelya. |to pravilo mozhno izmenit', ustanoviv bit GID v kata- loge. Ustanovka GID v kataloge privedet k tomu, chto novyj fajl budet imet' GID etogo kataloga. CHtoby ustanovit' bit GID v kata- loge, vvedite sleduyushchuyu komandu (zdes' directory - imya kataloga): chmod g+s directory . - 5-54 - PROVERKA CELOSTNOSTI SISTEMY Stoimost' privedeniya v poryadok nadezhnoj sistemy, kotoraya stala nenadezhnoj, gorazdo vyshe stoimosti soprovozhdeniya nadezhnoj sistemy. Imeya nadezhnuyu sistemu, vy mozhete ispol'zovat' neskol'ko procedur dlya kontrolya celostnosti vneshnej granicy sekretnosti. Programmy kontroliruyut celostnost' bazy dannyh autentifikacii, celostnost' sistemnoj oblasti fajlovoj sistemy i celostnost' fajlovoj sistemy v celom. /etc/fsck Fajlovye sistemy, soderzhashchie chuvstvitel'nye fajly, sami dolzhny rassmatrivat'sya kak chuvstvitel'nye ob®ekty. Tak, celost- nost' fajlovoj sistemy, obespechivaemaya programmoj fsck, povyshaet obshchuyu bezopasnost' sistemy. Programmu fsck sleduet vypolnyat' posle fatal'nogo sboya sis- temy ili avarijnogo prekrashcheniya. Kak obychno, pered vypolneniem fsck ubedites', chto fajlovaya sistema "zamorozhena" (quiescent). Pri fatal'nom sboe sistemy nekotorye pol'zovatel'skie, sistemnye ili kontrol'nye fajly mogli nahodit'sya v processe postroeniya. Hotya eti dannye mogut byt' uteryany, programma fsck mozhet vossta- novit' nekotorye iz etih fajlov v kataloge ¬1lost+found¬3 fajlovoj sistemy i, po krajnej mere, ustranit' osnovnye problemy s fajlo- voj sistemoj. Dlya vypolneniya fsck sdelajte sleduyushchij vybor v sysadmsh: Filesystems->Check i zadajte fajlovuyu sistemu, kotoruyu nuzhno proverit'. Kontrol'nyj zhurnal Ne zabud'te o kontrol'nom zhurnale. |to vazhnyj istochnik in- formacii pri otslezhivanii sistemnyh problem. Bol'shoe znachenie imeyut ne tol'ko zaregistrirovannye v nem sobytiya zashchishchennoj pod- sistemy, administratora sistemy i bazy dannyh autentifikacii, no i te osnovnye sistemnye sobytiya, kotorye mogut byt' otslezheny vplot' do posleduyushchih obshchesistemnyh problem. . - 5-55 - Poryadok proverok posle fatal'nogo sboya sistemy Osnovnoe pravilo sostoit v tom, chtoby vypolnyat' etu rabotu, nachinaya s samyh bazovyh komponentov fajlovoj sistemy. V protiv- nom sluchae ispravleniya, vnosimye na bolee vysokih urovnyah, mogut byt' unichtozheny programmami, ispravlyayushchimi nizhnie urovni. S uche- tom etogo sleduet ispol'zovat' programmy, opisannye v dannom razdele, posle fatal'nogo sboya sistemy ili kakoj-libo anomalii v sleduyushchem poryadke: 1. Vypolnenie proverki fajlovoj sistemy. 2. Sostavlenie kontrol'nogo otcheta. 3. Proverka sovmestimosti bazy dannyh autentifikacii. 4. Proverka razreshenij dlya sistemnyh fajlov. |ti programmy sleduet vypolnyat', kogda sistema "zamorozhe- na". Dlya etogo nuzhno rabotat' v odnopol'zovatel'skom urovne (uroven' vypolneniya Single-user, ili S), kak opisano v init(M). Zashchishchennye bazy dannyh Nekotorye bazy dannyh hranyat harakteristiki samoj sistemy, ee pol'zovatelej, administratorov i podsistem, tak chto vychisli- tel'naya ustanovka mozhet kontrolirovat' svoi parametry sekretnos- ti. |ti bazy dannyh razmeshcheny v sisteme i vedutsya administrato- rom. Format etih fajlov opisan v razdele authcap(F) "Spravochnika pol'zovatelya" (User's Reference). Zamechanie Zashchishchennye bazy dannyh nikogda ne sleduet redaktirovat' sa- momu. Nadezhnye sistemnye utility i vybory sysadmsh(ADM) sopro- vozhdayut i vyvodyat informaciyu, soderzhashchuyusya v bazah dannyh. Ne sleduet pytat'sya modificirovat' ih kakim-libo drugim sposobom. Baza dannyh kontrolya i baza dannyh raspredeleniya ustrojstv yavlyayutsya nezavisimymi bazami dannyh. Ostal'nye bazy dannyh, opi- sannye nizhe (baza dannyh zashchishchennyh parolej, baza dannyh uprav- leniya terminalami, baza dannyh podsistem i baza dannyh upravle- niya fajlami) imeyut obshchee nazvanie baza dannyh autentifikacii. Ona nahoditsya v vedenii Administratora autentifikacii, imeyushchego avtorizaciyu auth. Dalee sleduet kratkoe opisanie kazhdoj iz etih baz dannyh. . - 5-56 - Kontrol' Baza dannyh kontrolya upravlyaet rabotoj sistemy kontrolya. Syuda vhodyat tipy aktivnosti, registri- ruemye sistemoj v kontrol'nom zhurnale, atributy proizvoditel'nosti/nadezhnosti podsistemy kontro- lya, a takzhe ustrojstva fajlovyh sistem, v koto- ryh sobirayutsya dannye kontrolya. Izmenyaya paramet- ry, hranyashchiesya v baze dannyh kontrolya, Administ- rator kontrolya mozhet nastroit' podsistemu kont- rolya v sootvetstvii s trebovaniyami vychislitel'- noj ustanovki po proizvoditel'nosti i sekretnos- ti. Raspredelenie Baza dannyh raspredeleniya ustrojstv hranit imena ustrojstv putej, sootvetstvuyushchih odnim i tem zhe fizicheskim ustrojstvam. Naprimer, /dev/ttya i /dev/ttyA mo- gut oboznachat' odin i tot zhe serijnyj port, so- otvetstvenno s otklyuchennym i vklyuchennym upravle- niem modemami. |tu bazu dannyh ispol'zuyut init(M) i getty(M), chtoby vosprepyatstvovat' od- noj iz form obmana pri vhode v sistemu, kak opi- sano nizhe. Zashchishchennye Baza dannyh zashchishchennyh parolej hranit informaciyu paroli po sekretnosti o kazhdom pol'zovatele. V pol'zo- vatel'skoj stroke soderzhitsya zashifrovannyj pa- rol' (kotoryj bol'she ne figuriruet v regulyarnoj baze dannyh parolej /etc/passwd) i izmenenie pa- rolya, avtorizaciya pol'zovatelya i pol'zovatel'- skie parametry kontrolya. Pri pravil'nom formiro- vanii etoj bazy dannyh Administrator autentifi- kacii kontroliruet, kak pol'zovateli identifici- ruyutsya i autentificiruyutsya v sisteme, kakie do- pustimy tipy privilegirovannyh pol'zovatelej, i v kakom ob®eme pol'zovatel'skie dejstviya regist- riruyutsya v kontrol'nom zhurnale. Baza dannyh sis- temnyh parametrov, prinyatyh po umolchaniyu (ona soderzhit obshchesistemnye parametry sekretnosti, prinimaemye po umolchaniyu) rassmatrivaetsya kak chast' bazy dannyh zashchishchennyh parolej. Terminaly Dostup v sistemu cherez terminaly kontroliruetsya bazoj dannyh upravleniya terminalami. |ta baza dannyh registriruet vhody v sistemu cherez kazhdyj podsoedinennyj terminal (poslednij pol'zovatel', voshedshij v sistemu ili vyshedshij iz nee, vremen- nye otmetki i t.d.). Baza dannyh upravleniya ter- minalami pozvolyaet Administratoru autentifikacii ustanavlivat' raznuyu strategiyu dlya raznyh termi- nalov, v zavisimosti ot fizicheskih i administra- tivnyh potrebnostej vychislitel'noj ustanovki. Podsistemy Baza dannyh podsistem hranit spisok pol'zovate- lej, kotorym dany special'nye privilegii na vy- polnenie libo funkcij administratora podsistemy, . - 5-57 - libo special'nyh funkcij v zashchishchennoj podsiste- me. |ta baza dannyh - eshche odin element bazy dan- nyh autentifikacii. Ona uluchshaet uchityvaemost' administrativnyh dejstvij, pozvolyaya tol'ko opre- delennym pol'zovatelyam vypolnyat' programmy sop- rovozhdeniya vnutrennih podsistem. Bezopasnost' povyshaetsya za schet kontrolya, kto imeet razreshe- nie na vypolnenie programm soprovozhdeniya podsis- tem, i ucheta real'nyh pol'zovatelej, nadelennyh administrativnymi rolyami. Upravlenie Baza dannyh upravleniya fajlami pomogaet podder- fajlami zhivat' celostnost' Nadezhnoj vychislitel'noj bazy (TCB). Dlya etogo ona vedet zapis' o soderzhimom i atributah zashchity fajlov, vazhnyh dlya raboty TCB. |ta baza dannyh yavlyaetsya effektivnym sredstvom obnaruzheniya modifikacij aktivnoj kopii TCB. Programma administratora sistemy integrity(ADM) proveryaet razresheniya fajlov TCB otnositel'no etoj bazy dannyh. Proverka bazy dannyh autentifikacii Dlya proverki sovmestimosti bazy dannyh autentifikacii is- pol'zuetsya programma authck(ADM). Ona imeet neskol'ko opcij, og- ranichivayushchih diapazon proverki. Dlya polnoj proverki mozhno is- pol'zovat' flag -a - vozmozhno, pri vypolnenii programmy authck iz crontab ili at. Bolee polnaya informaciya privedena v opisanii authck(ADM). Proverka celostnosti sistemy Programma integrity(ADM) sravnivaet elementy bazy dannyh upravleniya fajlami s aktual'nymi razresheniyami fajlov v sisteme. (Dostup k etoj programme kontroliruetsya avtorizaciej podsistemy sysadmin, no proshche vsego vypolnyat' ee super-pol'zovatelyu.) Fik- siruyutsya fajly, imeyushchie bol'she razreshenij, chem ukazano v baze dannyh upravleniya fajlami. Pri obnaruzhenii oshibki prover'te fajl, chtoby opredelit': kakovy imya vladel'ca/gruppa/rezhimy aktual'nogo fajla? kakie opredeleny razresheniya dlya fajla? (Vospol'zujtes' op- ciej -e dlya integrity.) . - 5-58 - kogda byla proizvedena poslednyaya modifikaciya i poslednij dostup k fajlu? kto prisutstvoval v sisteme v eti momenty? chto soderzhitsya v kontrol'nom zhurnale po etim momentam? Najdya prichinu rashozhdeniya, ustanovite pravil'nye razresheniya dlya fajla kak chast' procedury ochistki. Sdelav eto dlya vseh faj- lov, upomyanutyh v otchete, snova vypolnite programmu integrity, chtoby ustanovit' dostovernost' razreshenij. Opciya -e programmy integrity daet tochnoe ob®yasnenie prichiny (prichin) oshibki. Opciya -m vklyuchaet v otchet tol'ko fajly, soder- zhashchiesya v baze dannyh, no ne v sisteme. Inogda pri fatal'nom sboe sistemy ili proniknovenii cherez zashchitu teryayutsya vazhnye sis- temnye fajly. Programma integrity sluzhit dlya ih opredeleniya. Za- metim, chto v nekotoryh distribuciyah otdel'nye fajly obychno ot- sutstvuyut. CHtoby ponyat', kakova vasha sistema, ispol'zujte koman- du integrity -m vskore posle togo, kak vasha sistema ustanovlena i rabotosposob- na. Posle etogo tol'ko dopolnitel'nye fajly, o kotoryh soobshchaet- sya pri normal'noj rabote, budut predstavlyat' interes. Opciya -v programmy integrity vyzyvaet raspechatku nekotoroj dopolnitel'noj informacii, vklyuchaya otchety o fajlah, proshedshih proverku celostnosti. |ta opciya daet ochen' bol'shoj vyvod. Vse oshibki, obnaruzhennye pri proverke celostnosti, oformlya- yutsya v vide kontrol'nyh zapisej, sootvetstvuyushchih sobytiyu bazy dannyh v kontrol'nom zhurnale. . - 5-59 - SOOBSHCHENIYA OB OSHIBKAH, SVYAZANNYH S SEKRETNOSTXYU V dannom razdele priveden perechen' problem i soobshchenij ob oshibkah, kotorye mogut imet' mesto. Kazhdaya problema obsuzhdaetsya v sootvetstvuyushchem kontekste, vklyuchayushchem prichinu vozniknoveniya situacii, put' resheniya problemy i sposoby predotvrashcheniya ee pov- tornogo vozniknoveniya. Soobshcheniya ob oshibkah registracii v sisteme S registraciej v sisteme svyazany neskol'ko soobshchenij, koto- rye privedeny nizhe, s ukazaniem mer, kotorye sleduet predprinyat'. Login incorrect. (Nekorrektnaya registraciya) Pol'zovatel' nepravil'no vvel svoe registracionnoe imya ili parol'. Esli eto soobshchenie povtoryaetsya, vam, vozmozhno, pri- detsya izmenit' parol', chtoby dat' pol'zovatelyu vozmozhnost' zaregistrirovat'sya snova. Account is disabled - see Authentification Administrator. (Byudzhet otklyuchen - obratites' k Administratoru autentifikacii) Byudzhet zablokirovan po odnoj iz sleduyushchih treh prichin. 1. Vy zablokirovali byudzhet v rezul'tate vybora Accounts-> User->Examine:Logins v sysadmsh. Esli vy hotite vossta- novit' byudzhet, ispol'zujte tot zhe vybor, chtoby razbloki- rovat' byudzhet. 2. Zavershilsya zhiznennyj cikl parolya etogo byudzheta. Parol' byudzheta ne izmenyalsya do istecheniya ego zhiznennogo cikla. CHtoby vosstanovit' rabotosposobnost' byudzheta, naznach'te novyj parol' dlya sbrosa zhiznennogo cikla. Porekomendujte pol'zovatelyu izmenyat' parol' do zaversheniya zhiznennogo cikla. 3. Bylo predprinyato neskol'ko neudachnyh popytok dostupa k byudzhetu, chislo kotoryh prevysilo porogovoe znachenie, us- tanovlennoe vami dlya blokirovki. |ti popytki mogut de- lat'sya s raznyh terminalov. Pered vosstanovleniem byudzhe- ta rekomenduetsya opredelit' prichinu blokirovki. Ona mozhet zaklyuchat'sya v tom, chto pol'zovatel' neumelo rabo- taet s klaviaturoj, ili kto-to hotel takim sposobom zab- lokirovat' byudzhet, ili eto dejstvitel'no byla popytka proniknoveniya v byudzhet. Vy, vozmozhno, pozhelaete umen'- shit' ili uvelichit' porogovoe znachenie, v zavisimosti ot samih pol'zovatelej sistemy, ot cennosti dannyh i ot dostupnosti sistemy dlya postoronnih. . - 5-60 - Terminal is disabled - see Authentification Administrator. (Terminal otklyuchen - obratites' k Administratoru autentifikacii) Terminal zablokirovan dlya vseh pol'zovatelej. Kak i pri blokirovke byudzheta, eto libo Administrator autentifikacii zablokiroval byudzhet s pomoshch'yu sysadmsh, libo chislo nekor- rektnyh popytok registracii (v odnom ili neskol'kih byudzhe- tah) prevysilo porogovoe znachenie, ustanovlennoe dlya danno- go terminala. V oboih sluchayah sleduet vyyasnit', chto sluchi- los', a zatem s pomoshch'yu sysadmsh snyat' blokirovku. Account is disabled but console login is allowed. ili Terminal is disabled but root login is allowed. (Byudzhet otklyuchen, no razreshena registraciya v konsoli; ili Terminal otklyuchen, no razreshena registraciya v root) |ti soobshcheniya svyazany s popytkami super-pol'zovatelya zare- gistrirovat'sya v konsoli. Predpolagaya, chto ustrojstvo kon- soli (v tom chisle serijnoj konsoli) yavlyaetsya special'nym ustrojstvom, i schitaya fizicheskij resurs zasluzhivayushchim zashchi- ty, predusmotreno, chto blokirovka byudzheta super-pol'zovate- lya ne meshaet emu zaregistrirovat'sya v konsoli. V etom sos- toit sposob vhoda v sistemu, kogda vse ostal'nye byudzhety ili terminaly zablokirovany. Pered tem, kak prodolzhit' ra- botu, najdite prichinu blokirovki, ispol'zuya kontrol'nyj zhurnal. Blokirovka, vyzvannaya neudachnymi popytkami regist- racii v sistemnoj konsoli, snimaetsya avtomaticheski, no blo- kirovki, vyzvannye drugimi prichinami, dejstvuyut. V sushchnos- ti, konsol' nikogda ne blokiruetsya dlya super-pol'zovatelya. Usloviya oshibok kontrolya Problema: Sistema v dannyj moment osushchestvlyaet kontrol', a konsol'noe soobshchenie ukazyvaet, chto kontrol' prekrashchen iz-za ne- ispravlyaemoj oshibki vvoda-vyvoda. |to obychno oznachaet, chto zaporchena fajlovaya sistema, ili imela mesto popytka zapisi v fajl sbora dannyh kontrolya, kotoraya ne udalas' iz-za nehvatki mesta ili oshibki vvoda- -vyvoda. |ta situaciya ne dopuskaet vosstanovleniya i privodit k nemedlennomu prekrashcheniyu kontrolya. Audit: file system is getting full (Kontrol': fajlovaya sistema pochti zapolnena) Podsistema kontrolya mozhet inogda vydat' takoe preduprezhde- nie, kogda ob®em fajlovoj sistemy kontrolya dostigaet neko- torogo porogovogo znacheniya. Dannoe soobshchenie ukazyvaet, chto na ustrojstve ostalos' malo mesta. Esli dlya podsistemy byli opredeleny dopolnitel'nye katalogi, ona avtomaticheski pe- reklyuchaetsya na nih, kogda v fajlovoj sisteme dostignuto po- rogovoe znachenie dlya ostavshegosya svobodnogo prostranstva. V protivnom sluchae vy (administrator) dolzhny vmeshat'sya i uve- lichit' ob®em dostupnogo prostranstva. Inache kontrol' pri dostizhenii porogovogo znacheniya prekrashchaetsya. Po toj zhe pri- chine mozhet prekratit'sya programma demona kontrolya auditd. . - 5-61 - Ona prekrashchaetsya, esli ne mozhet zapisat' uplotnennyj fajl iz-za nehvatki mesta ili oshibki vvoda-vyvoda. S pomoshch'yu vy- bora System->Audit->Disable v sysadmsh prekratite kontrol', esli eto eshche ne sdelano. Proanalizirujte prichinu problemy i najdite reshenie, prezhde chem vozobnovlyat' kontrol'. Authentication database contains an inconsistency (Nesovmestimost' v baze dannyh autentifikacii) |to soobshchenie poyavlyaetsya pri vypolnenii odnoj iz programm, svyazannoj s TCB ili s zashchishchennoj podsistemoj. Pod voprosom okazyvaetsya celostnost' bazy dannyh autentifikacii. |ta ba- za dannyh sostoit iz bazy dannyh zashchishchennyh parolej, bazy dannyh upravleniya terminalami, bazy dannyh upravleniya faj- lami, bazy dannyh upravleniya komandami, bazy dannyh zashchi- shchennyh podsistem i fajla sistemnyh parametrov, prinimaemyh po umolchaniyu; soobshchenie otnositsya ko vsem etim komponentam. Zdes' libo otsutstvuet ozhidaemyj element dannyh, libo ne- korrektny ob®ekty v nekotorom elemente. Dannoe soobshchenie nosit neopredelennyj harakter, i sdelano eto namerenno. Vnimanie pol'zovatelya k probleme vozbuzhdeno, no dostatochnoj informacii o prichine oshibki emu ne daetsya, chtoby dat' pol'- zovatelyam vozmozhnost' issledovat' problemu celostnosti v granicah sekretnosti. Dejstvitel'naya prichina problemy mozhet byt' obnaruzhena v kontrol'nom zhurnale, esli dlya pol'zovate- lya, sgenerirovavshego soobshchenie, byla razreshena registraciya sobytij bazy dannyh. Problemy avtorizacii You do not have authorization to run ... . (U vas net avtorizacii na vypolnenie ...) Dannaya komanda yavlyaetsya chast'yu zashchishchennoj podsistemy. Dlya etoj podsistemy Administrator autentifikacii ne dal vam av- torizaciyu yadra, neobhodimuyu dlya vypolneniya etoj komandy i/ili svyazannyh s nej komand. Administrator autentifikacii, ispol'zuya vybor Accounts->User->Examine->Authorizations v sysadmsh, predostavlyaet takuyu avtorizaciyu ili otkazyvaet v nej. Problema: Vypolnyaemaya vami komanda ne daet nuzhnoj vam pol- noj informacii, ili vy ne mozhete vypolnit' kakie-libo dejstviya. Vy znaete, chto eshche sushchestvuyut dannye, kotorye mozhno poluchit' ili zaprosit'. Komanda mozhet byt' chast'yu zashchishchennoj podsistemy. Hotya vy ne lisheny dostupa k komande polnost'yu, vy ne mozhete ispol'zo- vat' vse ee opcii ili uvidet' vse dannye. Kak i v vysheupo- myanutom sluchae, Administrator autentifikacii dolzhen predos- tavit' dopolnitel'nye avtorizacii. . - 5-62 - FUNKCIONIROVANIE DEMONOV V NADEZHNOJ SISTEME Poskol'ku operacionnaya sistema dopolnena sredstvami nadezh- nosti dlya uluchsheniya uchityvaemosti, identifikacii i autentifika- cii i umen'sheniya privilegij, nemnogo izmenyaetsya sistema sozdaniya i soprovozhdeniya demonov, vypolnyayushchihsya v vide fonovyh processov. V dannom razdele otmecheny te sredstva, ko