Instalarea pas cu pas a MSVS 3.0 de pe disc. Sistemul mobil al forțelor armate (OS MSVS): Sistemul de operare protejat General
Sistem mobil Forțele armate (MSVS) - un sistem de operare multitasking multitasking sigură (OS) de scop general cu o diviziune dezvoltată pe baza sistemului de operare Red Hat Linux. OS oferă un sistem prioritar cu mai multe niveluri, cu deplasarea unei organizații virtuale de memorie virtuală și suport complet de rețea; Funcționează cu configurații multiprocesor (Multiprocessing SMP) și cluster intel platforme, IBM S390, MIPS (complexe ale producției de baghetă a companiei Corundum) și SPARC (Elbrus-90micro). Caracteristica ICA 3.0 este mijlocul de protecție împotriva accesului neautorizat care îndeplinesc cerințele Consiliului de Stat al Comisiei Tehnice de Stat sub președintele Federației Ruse pentru 2 fonduri de tehnologie de calcul. Instrumentele de protecție includ controlul obligatoriu de acces, listele de control al accesului, modelul de rol și instrumentele de audit dezvoltate (înregistrarea evenimentelor). MSVS OS este conceput pentru a construi sisteme automate protejate staționare. Dezvoltatorul ISMU este Institutul de Automatizare al Managementului Industrial All-Rusia. V. V. Solomatina (VNIII). Adoptat pentru furnizarea în forțele armate ale Federației Ruse în 2002.
Sistemul de fișiere ISWS 3.0 suportă numele de fișiere de până la 256 de caractere, cu capacitatea de a crea nume și directoare de fișiere vorbitoare de limbă rusă, linkuri simbolice, cote și liste de drepturi de acces. Există capacitatea de a monta sisteme de fișiere Fat și NTFS, precum și ISO-9660 (CDS). Mecanismul de cote vă permite să controlați utilizarea utilizatorilor de spațiu pe disc, numărul de procese de funcționare și cantitatea de memorie alocată fiecărui proces. Sistemul poate fi configurat să emită avertismente atunci când utilizatorul solicitat de utilizator este abordat unei contingente date.
MSVS 3.0 este un sistem grafic bazat pe fereastra x. Doi administratori de ferestre sunt furnizați la locul de muncă în mediul grafic: Icewm și KDE. Majoritatea programelor din OS ISA se concentrează pe lucrul într-un mediu grafic, ceea ce creează condiții favorabile nu numai pentru operațiunea utilizatorilor, ci și pentru tranziția către Windows OS pe sistemul de operare ISP.
MSA 3.0 OS este livrat într-o configurație care, pe lângă programul principal de control (kernel), include un set de produse software suplimentare. Sistemul de operare este folosit ca element de bază al organizării locurilor de muncă automate (arme) și a construcției de sisteme automate. Adiţional software. (Software) pot fi instalate la alegere și se concentrează pe automatizarea maximă a managementului și administrării domeniului, ceea ce reduce costul de întreținere a armelor și se concentrează asupra executării sarcinii țintă. Programul de instalare vă permite să instalați sistemul de operare de pe CD-ul de boot sau pe rețea prin protocolul FTP. De obicei, serverul de instalare este instalat și configurat din discuri, iar apoi instalarea altor computere este instalată în rețea. Serverul de instalare din domeniul de lucru efectuează sarcina de actualizare și restaurare a software-ului la locul de muncă. Noua versiune este stabilită numai pe server și apoi apare actualizare automata Pe locurile de muncă. Când sunt deteriorate de locurile de muncă (de exemplu, atunci când ștergeți un fișier de program sau o nepotrivire sumele de control Fișierele executabile sau de configurare), reinstalarea automată a software-ului corespunzător.
La instalarea administratorului, se propune alegerea uneia dintre tipurile standard de instalare, fie instalarea personalizată. Tipurile standard sunt utilizate atunci când sunt instalate pe lucrări standard și acoperă principalele opțiuni standard pentru organizarea de locuri de muncă pe baza ASS 3.0. Fiecare tip standard definește un set de produse software instalate, o configurație a discului, un set de sisteme de fișiere și un număr de setări de sistem. Instalarea personalizată ne permite să stabilim în mod explicit toate caracteristicile indicate ale sistemului final până la selectarea pachetelor software individuale. Când selectați o instalare personalizată, puteți instala OS ASS 3.0 la un computer cu un alt sistem de operare deja instalat (de exemplu, Windows NT).
MSVS 3.0 intră un sistem Documentație (ECD) cu informații despre cele mai diferite aspecte ale funcționării sistemului. ESD constă dintr-un server de documentație și o bază de date care conține descrieri ale descrierilor, accesul la care este posibil prin browsere. La instalarea unui software suplimentar, secțiunile de referință corespunzătoare sunt setate în baza de date EDD. ESD poate fi plasat local la fiecare loc de muncă sau un server de documentație special poate fi alocat în domeniul ISWS. Ultima opțiune este utilă pentru a utiliza dimensiunea mare în domeniile MSVS pentru a salva spațiul total de pe disc, simplifică procesul de actualizare și documentare. Accesul la documentația din alte lucrări este posibil printr-un browser web furnizat împreună cu MSVS 3.0.
MSA 3.0 este rusificată atât în \u200b\u200bmodurile alfanumerice, cât și în modurile grafice. Terminalele virtuale sunt acceptate, comutarea între care se efectuează utilizând combinația de taste.
Punctul cheie din punct de vedere al integrității sistemului este operațiunea de înregistrare a noilor utilizatori ai ISP, când sunt definite atributele utilizatorului, inclusiv atributele de securitate, în conformitate cu care sistemul de control al accesului va continua să controleze utilizatorul. Baza pentru modelul mandatului este informația introdusă la înregistrarea unui nou utilizator.
Pentru a implementa controlul discreționar al accesului, mecanismele tradiționale sunt utilizate pentru mecanismele UNIX ale listelor de drepturi de acces și de drepturi de acces (lista de control ACL - acces). Ambele mecanisme sunt implementate la nivelul sistemului de fișiere al Ass 3.0 și servesc la stabilirea drepturilor de acces la obiectele sistemului de fișiere. Bits vă permit să determinați drepturile pentru trei categorii de utilizatori (proprietar, grup, altele), acest lucru nu este un mecanism destul de flexibil și se aplică la specificarea drepturilor pentru majoritatea fișierelor de operare, cea mai utilizată parte a utilizatorilor este utilizată în mod egal. Folosind listele ACL, puteți stabili drepturi la nivel utilizatorii individuali și / sau grupuri de utilizatori și, prin urmare, realizează detalii semnificative în sarcina drepturilor. Listele sunt aplicate atunci când lucrați cu fișierele pentru care este necesar, de exemplu, stabilirea diferitelor drepturi de acces pentru mai mulți utilizatori specifici.
Specificații MSVS 3.0 OS:
| Parametru | Caracteristică |
| Sistemul de securitate a informațiilor | Incorporat |
| Modelul de protecție a informațiilor | Modelul discreționar, modelul mandatului, modelul rolului |
| Szi compatibilitatea cu alte sisteme de operare | "Omonym-390VS", "Olivia", ISWS 5.0 |
| Miez | 2.4.32 (2.4.37.9 De fapt) |
| Mandatul sistemului de fișiere | Ext2, ext3. |
| Suport pentru alte sisteme de fișiere | FAT16, FAT32, NTFS (RO), ISO9660 |
| Denumirea numelui fișierului | Până la 256 de caractere |
| Subsistem grafic. | X-fereastră. |
| Sistem grafic. | XORG-X11-7.3. |
| Un fel | Client server |
| Manager de ferestre | Elk, Twm, KDE, Icewm |
| Shell Graphic. | Elk-1.9.9. |
| Suport pentru sistemele multiprocesoare | Până la 32 de procesoare |
| Oz. | 64 GB. |
| Servicii încorporate | DNS, FTP, Telnet, NTP, FTP, TFTP, SFTP, DHCP, RIP, BGP, OSPF, PPP, PPTP |
| Anvelope acceptate | ISA, toate PCI, SCSI, IDE, SATA, SAS, AGP, USB 2.0 |
| Instrumente de dezvoltare în compoziție: | |
| Limbaje de programare | C / C ++, Perl, Python, Shell, Tcl |
| C compilator c / c ++ | 2.95.4, 3.3.6, 4.1.3 |
| Biblioteca de sistem | Glibc-2.3.6. |
| Qt. | 4.6.3 |
| Debugger. | GDB ver 6.8. |
| Opțiuni de instalare | CD-ROM, NGMD, rețea |
Instalare OS MSVS 3.0
Într-o lecție practică, procesul de instalare al sistemului de operare ISP de pe PC sau serverul de rețea de calculator va fi luat în considerare. Procesul de instalare al ICA 3.0 constă din următorii pași:
- Încărcarea unui PC sau a unui server de rețea de computer dintr-un mediu al informațiilor pe care se află distribuția cu un sistem de operare de 3,0. După ce procesul de încărcare este completat de la suport media, imaginea prezentată în figură va fi afișată pe ecran. 2.1. Pentru a continua, apăsați tasta<Ввод> (
).
Figura 2.1. Expert de instalare Wizard Wizard 3.0.
- Kernelul MSVS OS este inițializat și detectarea echipamentului, după care imaginea afișată este afișată în fig. 2.2. Pentru a continua, faceți clic pe butonul<Готово>.
Figura 2.2. Dispozitive detectate pe ecran.
- "Salut" este afișat pe ecran, prezentat în fig. 2.3. Pentru a continua, faceți clic pe butonul<Да>.
Figura 2.3. Ecranul "Salutări".
- Selectați un model de șoarece conectat la un computer (figura 2.4). Datorită faptului că manipulatorul "Mouse" nu va fi utilizat în alte lucrări, ar trebui să selectați elementul "fără mouse" și să faceți clic pe buton<Да>.
Figura 2.4. Selectați un model de șoarece conectat la un computer.
- Marcare hard disk - unul dintre momentele cele mai responsabile în timpul instalării sistemului de operare ISA. Nu pentru că marcajul hard disk este atât de complicat, dar deoarece eroarea permisă în timpul erorii sale poate fi corectată numai cu mare dificultate și acest proces poate fi plin de pierderea datelor.
Acest capitol discută următoarele întrebări:
Utilizatorii;
Diferențele dintre utilizatorii privilegiați și cei nepriviziți;
Conectați fișierele;
Fișier / etc / passwd;
Fișier / etc / umbră;
Fișier / etc / gshadow;
Fișier /etc/login.defs;
Modificarea informațiilor despre uzura parolei;
Baza siguranței MSA este conceptul de utilizatori și grupuri. Toate deciziile privind ceea ce este permis sau nu este permis să facă utilizatorul să se facă pe baza cine a intrat utilizatorul în sistem din punctul de vedere al kernelului sistemului de operare.
Vedere generală a utilizatorilor
MSVS este un sistem multiplayer multitasking. Atribuțiile sistemului de operare includ izolarea și protecția utilizatorilor unul de celălalt. Sistemul monitorizează fiecare dintre utilizatori și, pe baza cine este acest utilizator, determină dacă este posibil să fie furnizat accesul la un anumit fișier sau să permită lansarea unui program sau al unui alt program.
Când creați un nou utilizator, el este pus în linie cu un nume unic
NOTĂ
Sistemul determină privilegiile utilizatorului pe baza ID-ului de utilizator (userid, uid). Spre deosebire de numele de utilizator, UID poate să nu fie unic, caz în care se obține primul nume găsit pentru a se potrivi cu numele utilizatorului, a căror UID coincide cu datele.
Fiecare nou înregistrat în sistem, utilizatorul este la fel de conform cu anumite elemente ale sistemului.
Utilizatori privilegiați și neprevăzi
La adăugarea unui nou utilizator la sistem, este evidențiată un număr special, numit identificatorul utilizatorului (Userid, uid). În Caldera Msva, alocarea identificatorilor către noii utilizatori începe cu 500 și continuă spre numere mari, până la 65.534. Numerele de până la 500 sunt rezervate pentru conturile de sistem.
În general, identificatorii cu numere mai mici de 500 nu sunt diferite de alte identificatori. Adesea, programul pentru funcționarea normală necesită un utilizator special cu acces complet la toate fișierele.
Numerotarea identificatorilor începe cu 0 și continuă la 65 535. UID 0 este un UID special. Orice proces sau utilizator cu identificator zero este privilegiat. O astfel de persoană sau proces are o putere nelimitată asupra sistemului. Nimic nu poate servi ca o interdicție. Contul rădăcină (cont, UID care este 0), numit și contul superuser, Face intrat cu utilizarea sa, dacă nu proprietarul, atunci cel puțin mandatarul său.
UID rămâne egal cu 65.535. De asemenea, nu este de la obișnuit. Acest UID aparține nimănui (nici unul).
Uneori, una dintre modalitățile de hacking a sistemului a fost crearea unui utilizator cu un identificator de 65.536, ca rezultat al cărora a primit privilegiile superuser. Într-adevăr, dacă luați orice UID și traduceți numărul corespunzător într-un formular binar, veți obține o combinație de șaisprezece descărcări binare, fiecare dintre acestea fiind 0 sau 1. Numărul copleșitor de identificatori include atât zero și unități. Excepția este Zero Uid Superuser constând din unele zerouri și uidnobody, egal cu 65535 și constând din 16 unități, adică 11111111111111. Numărul 65 536 nu poate fi plasat în 16 cifre - pentru a reprezenta acest număr în formă binară pe care trebuie să o utilizați 17 evacuări. Cea mai veche descărcare va fi egală cu unitatea (1), toate restul sunt zero (0). Deci, ce se întâmplă atunci când creați un utilizator cu un identificator al unei lungimi de 17 descărcări binare - 10000000000000000? Teoretic, utilizatorul cu un identificator zero: deoarece numai 16 descărcări binare sunt date identificatorului, 17 cifre nu este cunoscută și este aruncată. Prin urmare, singura unitate a identificatorului este pierdută, iar unele zerouri rămân, iar un nou utilizator apare în sistem cu un identificator și, prin urmare, privilegiile, superuser. Dar acum nu există programe în ASVS care vă vor permite să instalați UID la 65.536.
NOTĂ
Utilizatori cu identificatori care depășesc 65.536, este posibil să se creeze, dar nu va fi utilizat fără substituție / bin / autentificare.
Orice hacker va încerca cu siguranță să obțină privilegiile superuser. De îndată ce le primește, soarta ulterioară a sistemului va depinde pe deplin de intențiile sale. Poate că el, mulțumit de faptul că nu va face nimic rău cu ea și, trimițându-vă o scrisoare cu o descriere a găurilor găsite de el în sistemul de securitate, va lăsa pentru totdeauna singură, și poate și nu. Dacă intențiile hackerului hacked nu sunt atât de curate, atunci cele mai bune, ceea ce se poate spera este de a avea un sistem de eșec.
Fișier / etc / passwd
Dorind să vă conectați la sistem trebuie să introduceți numele de utilizator și parola care sunt verificate pe baza de date a utilizatorului stocate în fișierul / etc / passwd. În ea, printre altele, sunt stocate parolele tuturor utilizatorilor. Când se conectează la sistem, parola introdusă este verificată cu o parolă care corespunde acestui nume și dacă utilizatorul este permis în sistem, după care este lansat programul specificat pentru acest nume de utilizator din fișierul de parolă. Dacă aceasta este o coajă de comandă, utilizatorul obține capacitatea de a introduce comenzi.
Luați în considerare listarea 1.1. Acesta este un fișier passwd în stil vechi.
Listarea 1.1. Fișier / etc / passwd în stil vechi
rOOT: *: 1I Dywromhmebu: 0: 0: Root :: / Root: / Bin / Bash
bin: *: 1: 1: Bin: / Bin:
daemon: *: 2: 2: Daemon: / sbin:
aDM: *: 3: 4: ADM: / var / adm:
lP: *: 4: 7: LP: / VAR / SPOOL / LPD:
sincronizare: *: 5: 0: Sincronizare: / sbin: / bin / sincronizare
Închidere: *: 6: 11: Închidere: / sbin: / sbin / oprire
hALT: *: 7: 0: HALT: / sbin: / sbin / oprire
mail: *: 8: 12: Mail: / var / spool / mail:
Știri: *: 9: 13: Știri: / var / spool / Știri:
uUCP: *: 10: 14: UUCP: / var / spool / uucp:
operator: *: 11: 0: Operator: / ROOT:
jocuri: *: 12: 100: Jocuri: / usr / jocuri:
gopher: *: 13: 30: Gopher: / USR / 1IB / GOPHER-DATA:
fTP: *: 14: 50: FTP Utilizator: / Home / FTP:
omul: *: 15: 15: Manuale Proprietar: /:
majordom: *: 16: 16: Majdomo: /: / bin / fals
postgres: * 17: 17: Postgres Utilizator: / Home / Postgres: / Bin / Bash
mySQL: *: 18: 18: MySQL Utilizator: / usr / local / var: / bin / fals
silvia: 1 traiwromhmebu: 501: 501: Bandel Silvia: / Home / Silvia: / Bin / Bash
nimeni: *: 65534: 65534: Nimeni: / / BI N / FALSE
david: 1 traiwromhmebu: 500: 500: David A. Bandel: / Home / David: / Bin / Bash
Fișierul de parolă are o structură rigidă specificată. Conținutul fișierului este un tabel. Fiecare rând de fișiere este o intrare de tabel. Fiecare intrare constă în mai multe câmpuri. Câmpurile de fișiere passwd sunt separate printr-un colon, astfel încât colonul nu poate fi utilizat în oricare dintre câmpuri. În total, există șapte domenii: numele de utilizator, parola, ID-ul de utilizator, identificatorul grupului, câmpul GECOS (este câmpul de comentarii), directorul de domiciliu și comenzi de conectare.
Citiți mai multe despre / etc / passwd
Primul câmp indică numele de utilizator. Ar trebui să fie unic - este imposibil ca cei doi utilizatori ai sistemului să aibă același nume. Câmpul Nume este singurul câmp a cărui valoare ar trebui să fie unică. În al doilea câmp, parola de utilizator este stocată. Pentru a asigura protecția sistemului, parola este stocată în formă hashizată. Termenul "hashish" în acest context înseamnă "criptat". În cazul unei parole, parola este criptată în conformitate cu algoritmul des (DatersenCryptionSstandard). Lungimea parolei HAWATE în acest câmp este întotdeauna egală cu 13 caractere, iar unele dintre caractere, cum ar fi Colon și Cotație unică, nu sunt niciodată găsite între ele. Orice altă valoare a câmpului, diferită de parola de 13 caractere de 13 caractere, face imposibilă introducerea acestui utilizator la sistem, pentru o excepție extrem de importantă: câmpul de parolă poate fi gol.
În al doilea câmp, nimic, nici măcar un spațiu, înseamnă că utilizatorul relevant nu are nevoie de o parolă pentru conectarea la sistem. Dacă schimbați parola stocată în câmp adăugând orice caracter la acesta, de exemplu un singur cedotionAcest cont va fi blocat, iar utilizatorul corespunzător nu va putea să se conecteze. Faptul este că, după adăugarea unui simbol ilegal unui hash de 14 caractere, sistemul a refuzat să autentifice un utilizator cu o astfel de parolă.
În prezent, lungimea parolei este limitată la opt caractere. Utilizatorul poate introduce și parole mai lungi, dar numai primele opt caractere vor fi semnificative. Primele două caractere ale parolei hashizate sunt semințe (SARE). (Semințele se numește numărul utilizat pentru inițializarea algoritmului de criptare. Cu fiecare schimbare a parolei, semințele sunt alese la întâmplare.) Ca rezultat, numărul tuturor permutațiilor posibile este suficient de mare, deci este imposibil să aflați dacă utilizatorii sunt În sistem cu aceleași parole, compararea simplă a parolelor hash.
NOTĂ
Dicționar, Dictionardtack Attack se referă la metodele de hacking parole de forța grosieră și implică utilizarea unui dicționar și a unei semințe cunoscute. Atacul este în interacțiunea tuturor cuvintelor dicționarului, criptarea acestora cu această sămânță și comparând rezultatul cu o parolă wigble. În același timp, în plus față de cuvinte din dicționar, unele modificări ale modificărilor lor sunt de obicei considerate, de exemplu, toate literele din titlu, doar prima literă a titlului și adăugând numere (de obicei doar 0-9) la sfârșitul tuturor acestor combinații. În mod similar, puteți hack o mulțime de parole ușoare.
Al treilea câmp indică ID-ul de utilizator. ID-ul de utilizator nu este obligat să fie unic. În special, în afară de utilizatorul rădăcină, poate exista un alt utilizator arbitrar cu un identificator zero și toți vor avea privilegiile superuser.
Al patrulea câmp conține un identificator de grup (Groupid, GID). Grupul indicat în acest domeniu se numește grupul de utilizatori primari (Grupul primar). Utilizatorul poate aparține mai multor grupuri, dar unul dintre ele trebuie să fie un grup primar.
Cel de-al cincilea domeniu se numește acum câmpul de comentarii, dar numele său inițial este GECO, de la "GeConsolidateLopetionSSystem". Când solicitați informații despre utilizator prin intermediul degetului sau al altui program, conținutul acestui câmp este acum returnat ca un nume de utilizator adevărat. Câmpul de comentarii poate fi gol.
Al șaselea câmp stabilește directorul de domiciliu al utilizatorului. Fiecare utilizator trebuie să aibă propriul director de domiciliu. De obicei, utilizatorul, logarea în sistem, se dovedește a fi în directorul său de domiciliu, dar dacă nu există, acesta intră în directorul rădăcină.
Al șaptelea câmp stabilește coaja de conectare a comenzii. Nu fiecare coajă nu poate fi specificată în acest câmp. În funcție de setările sistemului, pot fi specificate numai carcasa din lista de cochilii admise. În ASWS, lista de cochilii permise este implicită în fișierul / etc / shells.
Fișier / etc / umbră
Proprietarul fișierului / etc / umbra este utilizatorul rădăcină și numai are dreptul de a citi acest fișier. Pentru ao crea, trebuie să luați nume de utilizator și parole de hashy din fișierul passwd și să le plasați în fișierul de umbră, înlocuind toate parolele hash în simbolurile fișierelor passwd. Dacă vă uitați la fișierul passwd al sistemului, puteți vedea că există simboluri x de pe site-ul parolelor HATED. Acest simbol indică sistemul la faptul că parola trebuie vizualizată aici, dar în fișierul / etc / Shadow. Trecerea de la parolele simple la umbra și înapoi este efectuată de trei utilități. Pentru a merge la parolele umbrite, începe mai întâi utilitarul PWCK. Verifică fișierul passwd pentru orice anomalie, datorită căreia următorul pas se poate termina în eșec sau pur și simplu câștiga. După ce Pwck a funcționat, utilitarul PWCONV este pornit pentru a crea / etc / umbră. Acest lucru se face de obicei după actualizarea manuală a fișierului / etc / passwd. Pentru a reveni la parolele obișnuite, pornește Pwuncov.
Fișierul parolei Shadow în multe moduri este similar cu fișierul parolelor obișnuite. În special, primele două domenii ale acestor fișiere sunt aceleași. Dar, în afară de aceste câmpuri, în mod natural, există câmpuri suplimentare care lipsesc în fișierul de parolă normal. Listarea 1.2. Afișează conținutul unui fișier tipic / etc / Shadow.
Listarea 1.2. Fișier / etc / umbră
rădăcină: 1 traiwromhmebu: 10792: 0 ::: 7792 :::
bin: *: 10547: 0 :: 7: 7 ::
daemon: *: 10547: 0 :: 7: 7 ::
adm: *: 10547: 0 :: 7: 7 ::
lP: *: 10547: 0 :: 7: 7 :::
sincronizare: *: 10547: 0 :: 7: 7 ::
shutdown: U: 10811: 0: -1: 7: 7: 0: 134531940
hALT: *: 10547: 0 :: 7: 7 ::
mail: *: 10547: 0 :: 7: 7 ::
Știri: *: 10547: 0 :: 7: 7 ::
uUCP: *: 10547: 0 :: 7: 7 ::
operator: *: 10547: 0 :: 7: 7 ::
jocuri: *: 10547: 0: 7: 7 ::
gopher: *: 10547: 0 :: 7: 7 ::
fTP: *: 10547: 0 :: 7: 7 ::
omul: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mySQL: *: 10547: 0 :: 7: 7 ::
si1VIA: 1 traiwromhmebu: 10792: 0: 30: 7: -L::
nimeni: *: 10547: 0: 7: 7 ::
david: 1 traiwromhmebu: 10792: 0 :: 7: 7 ::::
Detalii / etc / umbră
Scopul primului câmp de fișier Shadow este același cu primul câmp de fișier passwd.
Al doilea câmp conține o parolă hash. Implementarea parolelor umbrite în MSV-uri permite parolelor urâte cu o lungime de 13 până la 24 de caractere, dar Programul de criptare a parolei Crypt este capabil să producă doar parole Hash de 13 simboluri. Caracterele utilizate în hash sunt luate dintr-un set constând din 52 de litere alfabetice (litere mici și majuscule), numere 0-9, puncte și caracteristici înclinate spre dreapta (/). Se pare că 64 de caractere permise în câmpul de parolă hashizat.
Seedul, astfel încât, ca înainte, sunt primele două caractere, pot fi selectate din 4096 de combinații posibile (64x64). Pentru criptare, algoritmul des este utilizat cu o cheie pe 56 de biți, care este, spațiul cheilor acestui algoritm are 2 56 de chei, ceea ce reprezintă aproximativ 72.057.590.000.000.000.000.000 sau 72 de cvadriloni. Numărul pare impresionant, dar puteți avea de fapt un timp foarte scurt pentru a muta toate cheile din spațiul de această dimensiune.
Din câmpul al treilea, informațiile despre informațiile despre partajarea parolei începe. Acesta stochează numărul de zile de la 1 ianuarie 1970 la ultima schimbare a parolei.
Al patrulea câmp stabilește numărul minim de zile pentru a trece înainte de a putea schimba din nou parola. În timp ce de la data ultimei modificări, parola nu va trece cât mai multe zile indicate în acest domeniu, este imposibil să schimbați parola.
Al cincilea câmp stabilește numărul maxim de zile în care puteți utiliza o parolă, după care este supusă unei schimbări obligatorii. Cu valoarea pozitivă a acestui câmp, utilizatorul încearcă să se conecteze la sistem după expirarea parolei va duce la comanda de parolă nu ca de obicei, dar în modul de schimbare a parolei obligatorii.
Valoarea din cel de-al șaselea câmp determină câte zile înainte de expirarea parolei ar trebui să înceapă să emită un avertisment despre aceasta. După primirea unui avertisment, utilizatorul poate începe să inventeze o nouă parolă.
Câmpul al șaptelea stabilește numărul de zile începând cu ziua în care parola este turnată, după care acest cont este blocat.
Câmpul penultimelor stochează ziua blocării unui cont.
Ultimul câmp este rezervat și nu este utilizat.
Citiți mai multe despre / etc / grup
Fiecare intrare a fișierului / etc / grup este formată din patru câmpuri separate de colon. Primul câmp stabilește numele grupului. Ca un nume de utilizator.
Cel de-al doilea câmp este de obicei gol, deoarece mecanismul parolei parolei nu este de obicei utilizat, dar dacă acest câmp nu este gol și conține o parolă, orice utilizator se poate alătura grupului. Pentru a face acest lucru, trebuie să executați comanda NewGRP cu numele grupului ca parametru, după care introduceți parola corectă. Dacă parola grupului nu este specificată, numai utilizatorii listați pe lista membrilor grupului se pot alătura.
Al treilea câmp stabilește identificatorul grupului (Groupid, GID). Semnificația lui este aceeași cu numele de utilizator.
Ultimul câmp este o listă de nume de utilizator aparținând grupului. Utilizatorii sunt listați printr-o virgulă fără spații. Grupul principal de utilizator este indicat (obligatoriu) în fișierul passwd și atribuie atunci când utilizatorul este conectat la sistem pe baza acestor informații. În consecință, dacă schimbați grupul de utilizatori principal în fișierul passwd, utilizatorul nu va mai putea să se alăture fostului său grup primar.
Fișier /etc/login.defs.
Puteți adăuga un nou utilizator în sistem în mai multe moduri. În fund, următoarele programe sunt utilizate pentru aceasta: coasta, Lisa, Useradd. Ceva potrivit pentru oricare dintre ele. Utilitarul Coas utilizează propriul fișier. Programele Useradd și Lisa efectuează valori implicite pentru câmpurile de fișiere passwd și umbra din fișierul /etc/login.defs. Conținutul acestui fișier din forma abreviată este prezentat în listarea 1.4.
Listarea 1.4. Fișier abreviat /etc/login.defs.
# Numărul maxim de zile în care este permisă parola:
# (- 1 - Schimbarea parolei nu este necesară) pass_max_days-1
Numărul minim de zile între schimbările parolei: pass_min_Dayso
# De câteva zile înainte de data modificării parolei, ar trebui să se emită un avertisment: pass_warn_age7
# Ce număr de zile trebuie să treacă după expirarea parolei înainte ca contul să fie blocat: pass_inactive-1
# Forță expirarea utilizării parolei în ziua specificată:
# (data este identificată de numărul de zile după 70/1/1, -1 \u003d nu forțând) pass_expire -1
# Valorile câmpurilor de cont integrat pentru Useradd
# Implicit de echipă: group100
# Catalog de acasă:% s \u003d nume de utilizator) nome / home /% s
# Comandă de teatru implicit: Shell / Bin / Bash
Catalogul în care se află scheletul catalogului de acasă: Skel / etc / Skel
# Valori minime și maxime pentru selectarea automată a GID în GroupAddgid_min100
Conținutul acestui fișier stabilește valorile implicite pentru câmpurile de fișiere passwd și umbra. Dacă nu le suprasarcați din linia de comandă, acestea vor fi folosite. Ca punct de plecare, aceste valori sunt destul de potrivite, totuși, pentru a implementa depășirea parolei, unele dintre ele vor trebui schimbate. O valoare egală cu -1 nu înseamnă restricții.
În programul COAS, distribuția Caldera este utilizată de interfața grafică a utilizatorului
Pentru a modifica informațiile despre parolă, pentru unul sau doi utilizatori, puteți utiliza comanda Chagag (schimbarea - schimbarea depășită). Utilizatorii defavorizați pot rula chage numai cu parametrii -L și propriul nume de utilizator, adică să solicite informații despre oblestrie numai numai parola proprie. Pentru a modifica informațiile de cote, este suficient să specificați numele de utilizator, parametrii rămași vor fi solicitați în dialog. Call Chage fără parametri va da o scurtă trimitere la utilizare.
Programul COAS poate fi utilizat pentru a schimba parametrii particulari pentru fiecare dintre conturi separat. În acest caz, valorile sunt indicate în zile. Interfața programului este evidentă.
Notă -
Pentru a obține informații despre parola depășită a utilizatorului sau pentru a forța acest proces, puteți utiliza comanda de expirare.
Sistemul de securitate Rams.
Ideea principală a cadrelor este că puteți scrie întotdeauna modul nou Siguranța care a abordat un fișier sau un dispozitiv pentru informații și returnat rezultatul executării procedurii de autorizare: succesul (succesul), eșecul (eșec) sau ignorarea (ignorarea). Și RAM, la rândul său, va returna succesul (succesul) sau eșecul (eșec) care la provocat. Astfel, nu contează ce parole, umbră sau obișnuită, sunt utilizate în sistem, dacă există cadre: toate cadrele de susținere vor funcționa perfect cu aceștia și cu alții.
Acum ne întoarcem la luarea în considerare a principiilor de bază ale funcționării RAM. Luați în considerare listarea 1.6. Directorul /etc/pam.d conține fișiere de configurare pentru alte servicii, cum ar fi Su, passwd etc., în funcție de software-ul este instalat în sistem. Fiecare serviciu de restricție de serviciu (restricționatService) corespunde fișierului său de configurare. Dacă nu există nimeni, atunci acest serviciu cu restricția de acces intră în categoria "Other", cu fișierul de configurare al altora. (Un serviciu de restricționare a serviciilor se numește orice serviciu sau program de utilizat care este necesar pentru a fi supus autorizării. Cu alte cuvinte, dacă, în condiții normale, serviciul solicită numele de utilizator și parola, este un serviciu de restricție de service.)
Listare. 1.6. Configurarea fișierelor Login.
autorul cerut pam_securetty.so.
aveți nevoie de PAM_PWDB.SO.
autorul cerut pam_nologin.so.
#Auth necesar pam_dialup.so.
autorul opțional pam_mail.So.
contul necesar PAM_PWDB.SO.
sesiunea necesară PAM_PWDB.SO.
sesiune opțională pam_lastlog.so.
parola necesară PAM_PWDB.SO.
După cum se poate observa din listă, fișierul de configurare constă din trei coloane. Rândurile începând cu simbolul lattice (#) sunt ignorate. Prin urmare, modulul PAM_DIALUP (a patra linie de listare 1.6) va fi ratată. Fișierul are rânduri cu același câmp al treilea - PAM_PWD.SO și First Auth. Utilizarea mai multor rânduri cu același câmp este numită acumularea (stivuirea) modulelor și vă permite să obțineți o autorizație cu mai multe etape (stivă de module), care include mai multe proceduri de autorizare diferite.
Prima coloană este o coloană de tip. Tipul este determinat de unul dintre cele patru semne de caractere: Auth, cont, sesiune și parolă. Conținutul tuturor coloanelor sunt luate în considerare fără înregistrare.
Tipul Auth (Autentificare - Autentificare) este utilizat pentru a clarifica dacă utilizatorul este cei care se dau. De regulă, acest lucru este realizat prin compararea parolelor introduse și stocate, dar sunt și alte opțiuni.
Tipul de cont (cont) Verifică dacă serviciul este permis să utilizeze acest utilizator, în ce condiții nu este parola și așa mai departe.
Tip parola (parola) este utilizată pentru a actualiza markerii de autorizare.
Tipul sesiunii (sesiune) efectuează anumite acțiuni atunci când utilizatorul se conectează și când utilizatorul este ieșit din sistem.
Gestionarea steagurilor
Cea de-a doua coloană este câmpul pavilionului de control, care determină ce să facă după întoarcerea din modul, adică reacția memoriei RAM la valorile succesului (succesului), ignorarea (ignorarea) și eșecul ( Eșec). Valorile permise: necesare, necesare, suficiente și opționale. Din valoarea din acest domeniu depinde dacă celelalte linii de fișiere vor fi procesate.
Steagul necesar stabilește comportamentul cel mai rigid. Procesarea oricărui rând cu pavilionul necesar, modulul a returnat valoarea eșecului (eșecului) va fi întrerupt și serviciul care a cauzat acesta va fi returnat eșecului. Nu vor fi luate în considerare alte linii. Acest steag este destul de rar. Faptul este că, dacă modulul marcat de acestea se efectuează în primul rând, atunci modulele care urmează să nu fie executate, inclusiv cele responsabile pentru logare, astfel încât pavilionul necesar (necesar) este de obicei aplicat în schimb.
Steagul solicitat nu întrerupe executarea modulelor. Oricare ar fi rezultatul implementării modulului marcat de acestea: succesul (succesul), ignorarea (ignorarea) sau eșecul (eșec), cadrele continuă întotdeauna la procesarea modulului următor. Acesta este cel mai frecvent utilizat steag, deoarece rezultatul modulului nu este returnat până când toate celelalte module nu funcționează, ceea ce înseamnă că sunt definite modulele responsabile pentru logare.
Steagul suficient (suficient) duce la o finalizare imediată a procesului de procesare și returnarea valorii succesului (succesului), cu condiția ca modulul să marcheze valoarea returnată valoarea de succes (succesul) și nu a îndeplinit anterior modulul cu pavilionul necesar care a returnat starea de eșec (eșec). Dacă un astfel de modul sa întâlnit, pavilionul suficient este ignorat. Dacă modulul marcat cu acest steag a returnat valoarea pentru a ignora (ignorați) sau eșecul (eșec), atunci pavilionul suficient este văzut în mod similar cu pavilionul opțional.
Rezultatul executării modulului cu pavilionul opțional (opțional) este luat în considerare numai atunci când acesta este singurul modul din stivă care a returnat valoarea succesului (succesului). În caz contrar, rezultatul executării sale este ignorat. Astfel, împlinirea nereușită a modulului marcată de acesta nu implică eșecul întregului proces de autorizare.
Pentru a se asigura că utilizatorul este capabil să acceseze sistemul, modulele marcate de steagurile necesare și necesare nu trebuie să returneze valorile de defectare (eșec). Rezultatul executării modulului cu pavilionul opțional se presupune numai dacă este singurul modul din stivă care a returnat succesul (succesul).
Modulele RAM.
Cea de-a treia coloană conține numele complet al fișierului modulului asociat cu acest șir. În principiu, modulele pot fi localizate oriunde, dar dacă sunt plasate într-un director predefinit pentru module, puteți specifica numai un nume, altfel calea este necesară. În ISPS, catalogul predefinit este / lib / securitate.
Cea de-a patra coloană este concepută pentru a transmite parametri suplimentari în modulul. Nu toate modulele au parametri și dacă există, pot să nu fie folosiți. Transmisia modulului parametrilor vă permite să schimbați comportamentul într-un fel sau altul.
Listarea 1.7 Conține o listă de module cadru care fac parte din MSVS.
Listarea 1.7. Lista de module ale cadrelor incluse în MSVS
pam_rhosts_auth.so.
pam_securetty.so.
pam_unix_acct.so.
pam_unix_auth.so.
pam_unix_passwd.so.
pam_unix_session.so.
Despre module Mai multe detalii
Modulul PAM_ACCESS.SO este utilizat pentru a furniza / interzice accesul pe baza fișierului /etc/security/access.conf. Liniile acestui fișier au următorul format:
drepturi: Utilizatori: de unde
Drepturi + (permit) sau - (interzice)
Utilizatorii - toate, numele de utilizator sau utilizator @ @, unde nodul corespunde numele mașinii locale, în caz contrar înregistrarea este ignorată.
De unde este unul sau mai multe nume de fișiere terminale (fără prefix / dev /), nume de noduri, nume de domenii (pornind de la punct), adrese IP, toate sau locale.
Modulul PAM_CRACKLIB.SO verifică în parolele dicționarului. Acesta este conceput pentru a verifica o nouă parolă și vă permite să împiedicați utilizarea în sistem parole ușor crăpate, care sunt considerate cuvinte comune, parole care conțin caractere repetate și parole prea scurte. Există parametri opționali: Debug, Type \u003d și Retry \u003d. Parametrul de depanare include informații de depanare în fișierul jurnal. Parametrul de tip, urmat de șir, modifică invitarea implicită NewunixPassWord: cuvântul Unix la șirul specificat. Parametrul Retry stabilește numărul de încercări furnizate utilizatorului pentru a introduce parola, pe care eroarea este returnată la epuizare (o încercare este dată în mod implicit).
Luați în considerare listarea 1.8. Afișează conținutul fișierului / etc / pam.d / altele. Acest fișier conține o configurație utilizată de mecanismul de cadre pentru servicii care nu au propriile fișiere de configurare în directorul /etc/pam.d. Cu alte cuvinte, acest fișier se aplică tuturor serviciilor necunoscute sistemului de cadru. Acesta prezintă toate cele patru tipuri de autorizații, autorii, cont, parolă și sesiune, fiecare dintre acestea cauzează modulul PAM_DENY.SO marcat de steagul respins. Astfel, este interzisă executarea unui serviciu necunoscut.
Listarea 1.8. Fișier /etc/pam.d/Alte.
autorul cerut pam_deny.so.
autorul cerut pam_warn.so.
contul necesar Pam_Deny.So.
parola necesară PAM_DENY.SO.
parola necesară PAM_WARN.SO.
sesiunea necesară Pam_Deny.So.
Modulul PAM_DIALUP.SO verifică dacă doriți să specificați o parolă pentru a accesa un terminal sau terminale la distanță, care utilizează fișierul / etc / securitate / ttys.dialup. Modulul este aplicabil nu numai la Ttys, ci în general la orice terminal Tty. Când este necesară o parolă, este verificată cu fișierul / etc / securitatea / passwd.dialup. Modificările în fișierul passwd.dialup sunt efectuate de programul DPASSWD.
Modulul PAM_GROUP.SO este verificat în funcție de conținutul fișierului /etc/security/group.conf. Acest fișier indică grupuri al căror membru poate fi cel specificat în fișier atunci când efectuați anumite condiții.
Modulul PAM_LASTLOG.SO intră în informațiile despre fișierul LastLog despre când și de unde a intrat utilizatorul în sistem. De obicei, acest modul este marcat cu tipul sesiunii și pavilionul opțional.
Modulul PAM_LIMITS.SO vă permite să impuneți diferite restricții ale utilizatorilor conectați. Aceste restricții nu se aplică utilizatorului rădăcină (sau altui utilizator cu un identificator zero). Limitările sunt stabilite la nivelul de autentificare și nu sunt globale sau permanente, acționând numai în aceeași intrare.
Modulul PAM_LastFile.SO acceptă unele înregistrări (element), o compară cu o listă din fișier și pe baza rezultatelor comparației, returnează succesul (succesul) sau eșecul (eșec). Parametrii acestui modul sunt după cum urmează:
Item \u003d [utilizator terminal | Remote_uzel | Utilizator de la distanță | Grup | teacă]
Sens \u003d (starea de întoarcere; când înregistrarea se găsește în listă, altfel starea se află opusă celor specificate)
fișier \u003d / Full / Path / și / File_name - Onerr \u003d (Ce stare este returnată în caz de eroare)
ARR1U \u003d [Utilizator | @ grup] (specifică utilizatorul sau grupul la care se aplică restricții. Este logic numai pentru înregistrările de vizualizare a elementului \u003d [Terminal | Remote_uelle | Mandatul], pentru înregistrările de vizualizare * ignorat)
Modulul PAM_NOMNIN.SO este utilizat atunci când autorizează tipul deținător cu steagul necesar. Acest modul verifică dacă fișierul / etc / nologina există și, dacă nu, returnează valoarea succesului (succesului), în caz contrar conținutul fișierului este afișat utilizatorului și returnează valoarea defectării (eșecului). Acest modul este utilizat, de obicei, în cazurile în care sistemul nu este încă complet introdus în funcțiune sau închis temporar pentru întreținere, dar nu este deconectat din rețea.
Modulul Pam_permit.SO este opțional pentru modulul PAM_DENY.SO. Întotdeauna returnează valoarea succesului (succesului). Orice parametri transmis de către modul sunt ignorați.
Modulul PAM_PWDB.SO oferă o interfață pentru fișierele passwd și umbra. Următorii parametri sunt posibili:
Debug - înregistrarea informațiilor de depanare în fișierul jurnal;
Audit - informații suplimentare de depanare pentru cei care nu sunt suficiente informații obișnuite de depanare;
Utilizare_first_pass - Nu solicitați niciodată o parolă pentru un utilizator și luați-o din modulele de stivă anterioare;
Try_first_pass - Încercați să obțineți o parolă din modulele anterioare, în caz de nerespectare a unui utilizator;
USE_AUTHTOK - returnați valoarea eșecului (eșec) Dacă PAM_AUTTOK nu a fost instalat, nu solicitați o parolă pentru utilizator și luați-o de la modulele de stivă anterioare (numai pentru modulele de stocare a parolei);
NOT_SET_PASS - Nu instalați o parolă din acest modul ca o parolă pentru modulele ulterioare;
Shadow - Mențineți un sistem de parole umbrite;
Unix - plasați parolele la fișierul / etc / passwd;
MD5 - La următoarea schimbare a parolei, utilizați parolele MD5;
BigCrypt - Cu următoarea schimbare a parolei, utilizați parolele decc2;
Nodelay - Dezactivați o întârziere unică cu autorizație nereușită.
Modulul PAM_RHOSTS_AUTH.SO permite / interzice utilizarea fișierelor.Rhosts sau gazde.equiv. În plus, permite / interzice / interzice utilizarea intrărilor "periculoase" în aceste fișiere. Parametrii acestui modul sunt după cum urmează:
No_hosts_equiv - ignora fișierul /etc/hosts.equiv;
No_rhosts - Ignorați fișierul / etc / rosts sau ~ / .rhosts;
Debug - să înregistreze informații de depanare;
Nowarn - nu afișați avertismente;
Suprima - nu emite mesaje;
Promiscuous - Permiteți utilizarea simbolului "+" Wildcard în orice domeniu.
MODULUL PAM_ROOTOK.SO returnează valoarea succesului (succesului) pentru orice utilizator cu identificator zero. Fiind marcat cu steagul suficient, acest modul permite accesul la serviciu fără a specifica parola. Parametrul de la modul este doar unul: Debug.
Modulul PAM_SECURETTY.SO poate fi utilizat numai pentru supraecures. Acest modul funcționează cu fișierul / etc / secutty, permițând Superuser să se conecteze la sistem numai prin terminalele enumerate în acest fișier. Dacă doriți să permiteți intrarea superuser la sistem prin Telnet (TTYP Pseudo-Terminal), atunci ar trebui să adăugați un șir la acest fișier pentru TTYP0-255, fie să comentați apelul PAM_SECURETTY.SO în fișierul de conectare.
Modulul PAM_SHELLS.SO returnează valoarea de succes dacă carcasa utilizatorului specificată în fișierul / etc / passwd este prezentă în lista Shell din fișierul / etc / shells. Dacă fișierul / etc / passwd nu atribuie nici o carcasă, începe / bin / sh. Dacă fișierul / etc / passwd specifică o coajă care lipsește în lista / etc / cochilii, modulul returnează valoarea defectării (eșecului). Dreptul de a scrie în fișier / etc / cojile ar trebui să aibă doar superuser.
Modulul PAM_STRESS.SO este utilizat pentru a controla parolele. El are mulți parametri, inclusiv un depanare constantă, dar, în general, doar două interese sunt din toți parametrii:
PODOK - Permiteți superuser să schimbe parolele utilizatorilor fără a intra în vechea parolă;
A expirat - Cu acest parametru, modulul este executat ca în cazul în care parola utilizatorului este validă deja expirată.
Alți parametri de module vă permit să dezactivați oricare dintre aceste două moduri, să utilizați o parolă dintr-un alt modul sau să treceți parola la un alt modul, etc. Aici nu voi lua în considerare toți parametrii modulului, deci dacă aveți nevoie să utilizați Caracteristici speciale ale acestui modul, citiți-le descrierea în documentația modulului.
Modulul Pam_tally.So din fișierele /etc/pam.d nu sunt utilizate în mod implicit. Acest modul calculează încercările de a transmite autorizația. Cu trecerea cu succes a autorizației, numărul de încercări poate fi resetat. Dacă numărul de încercări de conectare nereușite a depășit un anumit prag, accesul poate fi interzis. În mod implicit, informațiile despre încercările sunt plasate în fișierul / var / log / faillog. Parametrii globali sunt după cum urmează:
Onerr \u003d - ce trebuie să faceți dacă a apărut o eroare, de exemplu, nu a fost posibilă deschiderea fișierului;
Fișier \u003d / Full / Path / și / File_Name - Dacă nu există, atunci se utilizează fișierul implicit. Următorul parametru are sens numai pentru tipul deținător:
No_magic_root - include numărarea numărului de încercări pentru superuser (nu se efectuează implicit). Util dacă intrarea superuser este permisă pentru sistem prin Telnet. Următorii parametri au sens numai pentru tipul de cont:
Deny \u003d N - refuză accesul după încercări n. Când utilizați acest parametru, comportamentul modulului RESET / NO_RESET variază în mod implicit cu No_resset pe resetare. Acest lucru se întâmplă pentru toți utilizatorii, cu excepția utilizatorului rădăcină (UID 0), cu excepția cazului în care parametrul No_magic_root nu este utilizat;
No_magic_root - Nu ignorați parametrul refuzat pentru încercările utilizatorului rădăcinii. Când este utilizat împreună cu parametrul Deny \u003d (a se vedea mai devreme), comportamentul Reset este setat în mod implicit pentru utilizatorul rădăcină, ca și pentru toți ceilalți utilizatori;
Chiar_deny_root_account - permite blocarea contului superuser dacă există un parametru NO_MAGIC_ROOT. Acest lucru este emis un avertisment. Dacă parametrul NO_MAGIC_ROOT nu este utilizat, atunci indiferent de numărul de încercări nereușite, contul superuser, spre deosebire de utilizatorii obișnuiți, nu va fi niciodată blocat;
Resetare - Resetați contorul numărului de încercări la o intrare reușită;
No_resset - să nu resetați numărul de încercări la o intrare reușită; Folosit în mod implicit, cu excepția cazului în care este specificat parametrul DENY \u003d.
Modulul PAM_TIME.SO vă permite să restricționați accesul la serviciu în funcție de timp. Toate instrucțiunile pentru configurația sa pot fi găsite în fișierul / etc / security / time.conf. Nu are parametri: totul este setat în fișierul de configurare.
Modulul PAM_UNIX este angajat în problemele autorizației obișnuite a ISW (de obicei, în loc de modulul utilizează PAM_PWDB.SO). Acest modul fizic este alcătuit din patru module, fiecare dintre acestea corespunde unui tip de cadre: PAM_UNIX_AUTH.SO, PAM_UNIX_SESSION.SO, PAM_UNIX_ACCT.SO și PAM_UNIX_PASSWD.SO. Module pentru tipurile de parametri de cont și de autori nu au. Modulul pentru parametrul tip passwd este doar unul: strict \u003d fals. Dacă este disponibil, modulul nu verifică parolele pentru rezistență la hacking, permițându-vă să utilizați parolele arbitrare, inclusiv parolele nesigure (ușor de ghicit sau selectate). Modulul de tip sesiune înțelege doi parametri: Debug și Trace. Informațiile de depanare ale parametrului de depanare sunt plasate într-un fișier jurnal de informații de depanare, așa cum este indicat în Syslog.conf, iar informațiile privind parametrul următor se datorează sensibilității sale - în jurnalul Authpriv.
Modulul PAM_WARN.SO înregistrează un mesaj despre apelul său la Syslog. Parametrii nu au.
Modulul PAM_WHEEL.SO permite superuser numai membrilor grupului de roți. Grupul de roți este un grup special de sistem al cărui membri au privilegii mari decât utilizatorii obișnuiți, dar mai mici decât superuser. Prezența sa reduce numărul de utilizatori ai sistemului cu privilegiile superuserului, făcându-le membri ai grupului de roți și, prin urmare, mărind securitatea sistemului. Dacă superuser poate fi înregistrat numai utilizând terminalul, acest modul poate fi utilizat pentru a face o lucrare inaccesibilă pentru utilizatori prin Telnet cu privilegii superuser, refuzând-le să acceseze dacă nu aparțin grupului cu roată utilizează următorii parametri:
Debug - logarea informațiilor de depanare;
Utilizare_UID - Definiția apartenenței bazată pe ID-ul actual al utilizatorului și nu la ceea ce i-a fost atribuit la intrarea în sistem;
Încredere - în cazul afiliaților utilizatorului la grupul de roți, returnați valoarea succesului (succesului) și nu ignorați (ignorați);
Neagă - modifică semnificația procedurii la contrariul (restituirea nereușită). În combinație cu grup \u003d vă permite să refuzați accesul la membrii acestui grup.
Notă -
Catalog / etc / Securitate este direct legată de directorul /etc/pam.d, deoarece conține fișierele de configurare ale diferitelor module cadru cauzate în fișiere de la /etc/pam.d.
Intrările RAM în fișiere de jurnal
Listare. 1.9. Conținut / var / log / Secure
11 ianuarie 16:45:14 Chiriqui PAM_PWDB: (SU) sesiune deschisă pentru rădăcina utilizatorului
11:45:25 Chiquiqui PAM_PWDB: (SU) Închis pentru rădăcina utilizatorului
11:18:06 Chiriqui Login: Autentificare Login 1 de la (null) pentru David,
Autentificare eșuată.
Jan 11 17:18:13 Chiriqui Login: Autentificare 2 de la (null) pentru David.
Autentificare eșuată.
Jan 11 17:18:06 Chiriqui Login: Autentificare 1 de la (null) pentru David.
Autentificare eșuată.
11:18:13 Chiriqui Login: Autentificare 2 de la (null) pentru David,
Autentificare eșuată.
11:18:17 Chiriqui PAM_PWDB: (Login) Sesiunea a fost deschisă pentru utilizatorul David
11 ianuarie 17:18:17 Chiriqui - David: Conectați-vă pe Ttyl de David
11:18:20 Chiriqui PAM_PWDB: (Login) Închis pentru utilizatorul David
Fiecare înregistrare începe de la data, ora și numele nodului. După aceea, numele modulului cadru și identificatorul procesului închise în paranteze pătrate. Apoi, în paranteze, numele restricției de serviciu vine. Pentru listare 1.9 este fie Su, fie Login. După numele serviciului, fie "sesiune open" (sesiune este deschisă) sau "sesiuneClozată" (sesiunea este închisă).
Intrarea care urmează înregistrarea cu "sessionoped" este un mesaj despre introducerea sistemului din care puteți afla cine și de unde a intrat în sistem.
Următoarele întrebări sunt luate în considerare:
Care este grupul de utilizatori implicit și grupurile private de utilizatori;
Schimbați utilizatorul / grupul;
Cum să modificați utilizatorul / grupul afectează interfața grafică;
Securitate și utilizatori;
Securitate și parole;
Protecție cu parolă;
Alegerea unei parole bune;
Hacking parole.
Grupul implicit
În prezent, restricțiile privind utilizatorul simultan aparținând numai unui grup nu mai există. Orice utilizator poate aparține simultan mai multor grupuri. Pe comanda NewGRP, utilizatorul devine membru al grupului specificat în grup, în timp ce acest grup devine pentru acest utilizator. grupul de conectare (Logingroup). În același timp, utilizatorul continuă să fie membru al grupurilor în care a intrat înainte de comanda NewGRP. Grupul de autentificare este un grup care devine proprietarul grupului de fișiere utilizator.
Diferența dintre grupul implicit și grupurile private este gradul de deschidere a acestor două scheme. În cazul unei scheme implicite, orice utilizator poate citi (și adesea schimbarea) altor fișiere utilizator. Cu grupurile private, citirea sau scrierea unui fișier creat de un alt utilizator este posibilă numai dacă proprietarul său a furnizat în mod explicit drepturile acestor operațiuni altor utilizatori.
Dacă este necesar ca utilizatorii să se poată alătura și să părăsească grupul fără intervenția administratorului de sistem, parola poate fi atribuită acestui grup. Utilizatorul poate folosi privilegiile unui anumit grup numai dacă îi aparține. Există două opțiuni aici: fie aparține grupului din momentul înregistrării în sistem sau devine membru al grupului ulterior, după ce a început să lucreze cu sistemul. Astfel încât utilizatorul să se poată alătura grupului la care nu aparține, parola trebuie să fie atribuită acestui grup.
Implicit, parolele de grup nu sunt utilizate în ASWS, astfel încât fișierul GSHADOW din directorul / etc nu este.
Dacă folosiți în mod constant numai unul dintre programele de administrare a utilizatorilor, utilizați în mod constant unul dintre programele - USADD, LISA sau COAS, - Fișierele de setări de utilizator sunt obținute mai consistente și mai ușor însoțite.
Avantajul schemei implicite cu grupul implicit este că facilitează schimbul de fișiere, deoarece nu este nevoie să aibă grijă de drepturile de acces. Această schemă implică o abordare deschisă a sistemului în conformitate cu principiul "tot ceea ce nu este interzis este permis".
Configurarea parametrilor utilizatorului este o sarcină de înaltă prioritate care urmează imediat când setați sistemul.
Grupuri private de utilizatori
Grupurile de utilizatori private au nume care coincid cu numele de utilizator. Grupul privat este realizat în grupul de autentificare, astfel încât, în mod implicit, dacă atributele de director nu prescriu altceva, acesta este atribuit ca un proprietar de grup al tuturor fișierelor acestui utilizator.
Avantajul grupurilor private ale utilizatorului este că utilizatorii nu trebuie să se gândească la restrângerea accesului la fișierele lor: În mod implicit, accesul la fișierele de utilizator din momentul creării lor va fi limitat. În ISWS, atunci când se utilizează grupuri private, utilizatorul poate citi sau schimba numai fișierele aparținând acestuia. În plus, poate crea fișiere numai în directorul dvs. de domiciliu. Acest comportament implicit poate fi modificat de un administrator de sistem sau de utilizator și atât la nivelul fișierului individual, cât și la nivelul directorului.
Există mai multe comenzi, cu care utilizatorul își poate controla numele și / sau grupul la care aparține sau de numele sau grupul, despre persoana din care se efectuează programul. Unul dintre aceste programe este NewGRP.
Comanda NewGRP poate fi efectuată de orice utilizator. Îi permite să se alăture grupului la care nu a aparținut, ci numai dacă o parolă este atribuită acestui grup. Această comandă nu vă va permite să vă alăturați grupului fără o parolă dacă nu sunteți membru al acestui grup.
Comanda NewGRP poate fi utilizată în ceea ce privește grupul, al cărui membru este deja utilizatorul. În acest caz, NewGRP face grupul de conectare specificat. Grupurile de utilizatori sunt împărțite în două tipuri: grupul de conectare și toate celelalte grupuri la care aparține acest utilizator. Utilizatorul poate face parte din mai multe grupuri, cu toate acestea, un grup de grup de login din acest utilizator va fi întotdeauna atribuit unui grup-proprietar al fișierelor bazate pe utilizator.
În plus față de comenzile NEWGRP, Chown și ChgRP pot fi de asemenea utilizate pentru a gestiona afilierea fișierului pentru un fișier sau un alt utilizator sau grup.
Zona de comandă NewGRP din mediul Xwindow este limitată la programul XTERM în care a fost finalizată: În contextul noului grup, numai programele care rulează prin acest terminal vor fi executate și, prin urmare, utilizatorul nu poate schimba grupul de autentificare pentru programe alergând prin dispecerul ferestrei. Un program care trebuie să fie întotdeauna efectuat în contextul grupului secundar poate fi rulat prin scriptul de setare a grupului de autentificare necesar pentru acesta.
Sistemul Xwindow introduce întotdeauna dificultăți suplimentare. În acest caz, aceste dificultăți nu sunt direct legate de x și să urmeze logica / etc / grupele de lucru și / etc / gshadow. Cei care nu folosesc parole umbrite pentru grupuri, îngrijorează mai ales despre ce. În cazul lui X, setați un grup protejat prin parolă dintr-un script simplu, cu toate acestea, pentru grupurile de utilizatori secundare care nu necesită introducerea parolei, schimbarea grupului este extrem de simplă. Următorul scenariu este următorul scenariu:
sG - GIF-uri -C / USR / X11R6 / BIN / XV &
Ca urmare a începerii acestui scenariu, va fi lansat programul XV, din care grupul primar va fi Grupul GIFS. Ceea ce trebuia să ajungă.
Mai dificil pentru cei care folosesc parolele de grup de umbră, deoarece în acest caz, atunci când execută acest script, pe ecran apare un mesaj de eroare. Când utilizatorii sunt listați în fișierul / etc / grupuri, oricare dintre ele este considerat automat a fi membru imediat după logare în sistem. Cu toate acestea, în cazul unei parole umbra, lista utilizatorilor grupului este mutată în fișierul / etc / gshadow, astfel încât utilizatorul înregistrat la sistem nu este creditat de către mașină membrilor săi, dar poate să se alăture Comanda NewGRP sau pentru a efectua orice program din numele său cu comanda folosind comanda SG. Problema este că din punct de vedere al X acest utilizator (care nu este neapărat, utilizatorul a inițiat sesiunea de lucru X) nu are dreptul să instaleze conexiunea. Prin urmare, pentru grupurile de parole neprotejate, scenariul redus anterior se modifică după cum urmează:
xhosts + lozalhost.
sG - GIF-uri -C / USR / X11R6 / BIN / XV &
Șirul adăugat vă permite să accesați ecranul. grup nou (GIF). Pentru majoritatea stațiilor de lucru, acest lucru nu ar trebui să conducă la probleme semnificative de siguranță, deoarece această linie Doar permiteți accesul la ecran la utilizatorii nodului local (pentru obținerea pentru mai multe informatii Despre x și xhost Contactați manualul dvs. bun de administrator de sistem Linux).
NOTĂ
Utilizarea serverului X (în special în special cu XDM sau KDM) implică o serie de subtilități, chiar mai exacerbate de aplicații grafice, deoarece acestea pot fi lansate nu numai prin linia de comandă, ci și prin pictograma de pe desktopul grafic.
Schimbarea utilizatorului
NOTĂ
Un utilizator obișnuit nu poate provoca un sistem atât de rău ca un superuser neglijent să poată face. Consecințele greșelilor dvs. ca un superuser pot fi foarte fatale, până la faptul că toate a voastre fișiere de sistem. (Și, în general, toate fișierele stocate în sistem se pot spune la revedere. În unele companii, după aceea, ei pot spune "la revedere" și tu.
Transformarea unui utilizator în altul este comanda Su. Echipa a primit numele său de la « substitui. utilizator. » (înlocuirea utilizatorului), dar din moment ce cel mai adesea este folosit pentru a deveni un superuser ..
Comanda Su cauzată fără argumente va cere parola de utilizator, după care (primirea parolei corecte în răspuns) vă va face un utilizator rădăcină. Această comandă este un serviciu de restricționare a serviciilor, astfel încât toate aspectele legate de securitatea acestuia pot fi configurate prin fișierul /etc/pam.d/su.
Notă -
Su circulație fără a specifica numele de utilizator (cu sau fără sau fără defisie sau fără nici o indicație de a vă face un utilizator rădăcină.
Această comandă sudo permite utilizatorilor să efectueze unele programe pe drepturile Superstuser, iar la utilizatorul care apelează la această comandă nu este solicitat ca o parolă superuser, ci parola proprie. Folosit sudo ca o comandă SG. Utilizatorul intră în Sudo Team_fer_mill, apoi parola dvs. și dacă este permisă, comanda specificată se efectuează în contextul privilegiilor superuser.
Securitate și utilizatori
Utilizatorii sunt de obicei interesați doar de modul de conectare și lansare a programelor de care aveți nevoie. Interesul pentru securitate apare de la ei numai după pierderea fișierelor importante. Dar durează mult. După ce au aflat că au fost acceptate măsuri, utilizatorii uită rapid de orice precauție.
În general, nu îngrijirea lor - securitatea. Administratorul de sistem trebuie să ia în considerare, să pună în aplicare și să mențină o politică de securitate care să permită utilizatorilor să-și facă munca fără a fi distrasă de problemele de protecție pentru acestea.
Principalul pericol pentru sistem, de regulă, vine din interior și nu din afară. Sursa sa (în special în sistemele mari) poate fi, de exemplu, un utilizator furios. Cu toate acestea, este necesar să se evite suspiciunea excesivă atunci când prejudiciul cauzat de ignoranță este luat pentru intenția reală. Despre cum să protejați utilizatorii de la deteriorarea neintenționată a fișierelor lor și străine sunt descrise în prima parte a cărții. După cum arată practica, utilizatorul mediu nu este capabil să deterioreze sistemul. Este necesar doar să vă faceți griji cu privire la acei utilizatori care sunt capabili să găsească o lacună în mecanisme de protecție și sunt într-adevăr capabili să facă rău orientat către sistem. Dar astfel de utilizatori sunt de obicei puțini și în timp ei devin cunoscuți, mai ales dacă știți ce să vă acordați atenție. Grupul de risc include utilizatorii care, în virtutea poziției lor sau datorită relațiilor lor, pot accesa nivelul privilegiilor de rădăcină. Pe măsură ce veți stăpâni materialul acestei cărți, veți afla ce anume ar trebui să fie privită ca semne de probleme iminente.
În mod prestabilit, utilizatorii primesc controlul deplin asupra cataloagelor de origine. Dacă utilizați grupul implicit, toți utilizatorii de sistem aparțin aceluiași grup. Orice utilizator are dreptul de a accesa directorii de acasă al altor utilizatori și fișierele situate în ele. Atunci când utilizați o schemă cu grupuri private de utilizatori, oricare dintre utilizatorii sistemului are acces numai la propriul director de domiciliu, iar directoarele de acasă ale altor utilizatori nu sunt disponibile.
Dacă toți utilizatorii sistemului sunt obligați să furnizeze acces general La un set comun de fișiere, se recomandă crearea unui catalog general în mod special în aceste scopuri undeva, pentru a începe un grup al căror membri ar fi toți utilizatorii (acesta poate fi un grup de utilizatori sau orice alt grup pe care l-ați creat) și să furnizați acest grup la acest grup drepturi de acces relevante la acest catalog general de grup. Dacă utilizatorul dorește să facă unele dintre fișierele sale disponibile altor utilizatori, acesta le poate copia pur și simplu în acest director și se asigură că aceste fișiere aparțin aceluiași grup pe care toți utilizatorii sunt membri.
Unii utilizatori trebuie să fie utilizați sau pur și simplu nu pot face fără programe care nu sunt incluse în kitul ASC. Majoritatea utilizatorilor vor achiziționa în cele din urmă o multitudine de fișiere proprii: documente, fișiere de configurare, scenarii etc. Sistemul OpenLinux nu oferă utilizatorilor o îngrijire specială în organizarea fișierelor, lăsând această sarcină administratorului de sistem.
Structura directoarelor create în directorul de domiciliu a fiecărui utilizator nou este determinată de conținutul directorului / etc / Skel. Următoarele directoare sunt de obicei prezente în tipic / etc / skel:
Aceste directoare sunt utilizate pentru a stoca (respectiv) fișiere binare, fișiere sursă, fișiere de documente și alte fișiere variate. Multe programe implicite oferă pentru a salva fișierele anumitor tipuri într-una din aceste subdirectoare. După ce a primit o explicație a numirii cataloagelor disponibile la dispoziția lor, utilizatorii de obicei încep să le folosească, deoarece le elimină de nevoia de a inventa ceva. Nu uitați să efectuați directorul ~ / bin ca una dintre cele mai recente directoare enumerate în variabila utilizatorului.
Securitatea și parolele
Se spune că acolo unde este bine, acolo și pauze, - această afirmație este adesea amintită atunci când vine vorba de semnificația parolelor în sistemul de securitate. În general, fiabilitatea sistemului de securitate este determinată de multitudinea de factori, în special ce serviciile MSV-System face accesibile utilizatorilor externi (fie că este utilizat ca un server web dacă este posibil să introduceți pe Telnet etc. .). Un alt factor definitoriu este parolele de utilizator, care ne aduce un alt factor - respectarea politicilor utilizatorilor. Un utilizator simplu nu cunoaște nimic despre securitate. Dacă respectăm utilizatorul și nu vrem să-i schimbăm atitudinea față de metodele forțate de securitate, ar trebui să facem sistemul de securitate convenabil și de înțeles pentru el. Cel mai dificil de oferit comoditate. Totul este, de obicei, nu este prea convenabil (deoarece confortul de predictibilitate și elementalitate nu sunt combinate cu siguranța) și, prin urmare, intră în conflict cu comportamentul obișnuit al oamenilor care preferă toate modurile posibile cel mai convenabil mod. În cele din urmă, utilizatorii lucrează cu sistemul pentru a efectua lucrările încredințate și nu adaugă unul nou. În ordine, utilizatorii nu au mers în mod deliberat de-a lungul căii de rezistență cel mai puțin atunci când lucrați cu parole, de obicei încerc să le explic, pentru care sunt necesare parole și de ce este important să se mențină siguranța. Este important nu de la pozițiile generale precum "un sistem de securitate scăzut poate hack și de a fura sau daune fișiere importante" și din poziția intereselor personale ale utilizatorului.
Majoritatea utilizatorilor înțeleg importanța e-mailului pentru munca lor. Cu toate acestea, ei nu își dau seama că orice a intrat în sistem sub numele lor are ocazia să-și folosească e-mailul în numele lor împotriva lor. Adresați utilizatorului, fie că utilizează e-mailuri în scopuri personale. Cel mai probabil, el va răspunde la asta. Apoi îl întrebați dacă a trebuit să rezolve e-mail Întrebări importante de afaceri. Nu există mai puțin decât cei care răspund "nu" în fiecare zi. Dar chiar și în cazul unui răspuns negativ, unii dintre partenerii de afaceri ar putea lua în considerare tranzacția prin e-mail ca fiind obligatorie ca o tranzacție prin telefon.
După aceea, pentru a explica utilizatorului că e-mailurile sale au uneori aceeași importanță ca și semnătura personală. Și, deși titlul mesajului electronic poate fi înlocuit, în majoritatea cazurilor o astfel de substituție este, de asemenea, ilegală ca o semnătură falsă. Dar dacă cineva, într-un fel sau altul, după ce a învățat parola unui alt utilizator, va intra în sistem sub numele său, atunci este, figurativ vorbind, va fi capabil să se aboneze la semnătura unei alte persoane. Orice e-mail trimis la ele va fi indistinguizabil din punct de vedere tehnic de la e-mailul trimis de utilizatorul însuși. Practica de a furniza capabilități de intrare pe un alt nume este nedorită și ar trebui evitată (excepția este administratorii de sistem care utilizează această caracteristică pentru a testa scenariile de autentificare și parametrii utilizatorului, dar pentru aceasta nu trebuie să cunoască parola acestui lucru utilizator). Fenomenele nedorite trebuie atribuite sistemului sub numele altcuiva (chiar și cu permisiunea unui alt utilizator). Cât de nedorit este? Răspunsul la această întrebare este determinat de severitatea politicii de securitate a întreprinderii.
Cu toate acestea, utilizatorii trebuie să înțeleagă că există alte modalități mai puțin periculoase de a obține acces neautorizat la contul lor. Cazul este cel mai frecvent atunci când utilizatorul, temându-se să uite parola, face simplu să se memoreze, ceea ce înseamnă ghicirea sau înregistrează o parolă pe o bucată de hârtie care este adesea atașată la monitor. Sistemul de securitate parolă se bazează pe două lucruri: un nume de utilizator constant și o parolă de schimbare periodică. Majoritatea oamenilor nu vor spune un cod PIN pentru nimeni să acceseze contul bancar, dar parola lor de utilizator este departe de a fi atât de gelos. Deși, spre deosebire de situația cu un cont bancar, în cazul în care partea constantă, un card de credit este un obiect fizic, accesul la care este încă necesar pentru a obține, partea constantă a sistemului de securitate a parolei, adică numele de utilizator este cunoscut tuturor (cel puțin tuturor celor din cadrul companiilor și cei cu care acest utilizator a efectuat corespondența prin e-mail). Prin urmare, dacă partea variabilă este înregistrată undeva sau ușor de ghicit sau este selectată de programul care înghite cuvintele dintr-un dicționar, atunci un astfel de cont nu poate fi considerat bine protejat.
În cele din urmă, utilizatorii ar trebui să fie conștienți de existența acestei metode de a primi o parolă ca "inginerie socială" (SocialAngineering). Cei mai mulți dintre noi s-au întâlnit în viața lor cel puțin cu o singură persoană care poate spune "alunecos ca deja". Astfel de oameni au capacitatea de a convinge alți oameni prin recurgerea la argumente logice, pentru a le oferi informațiile de care au nevoie. Dar acest lucru nu este singurul metoda posibilă Aflați parola altcuiva. Uneori este suficient să vărsați.
Un mijloc de opoziție față de astfel de incidente este schimbarea obișnuită a parolei. Puteți, bineînțeles, să schimbați timpul de parolă în zece ani, dar este mai bine să nu luați lacune între schimbările prea lungi, precum și mai bine să nu le facem și prea scurt, de exemplu, o dată pe oră. Nu schimbați parola pentru prea mult timp să vă expuneți riscul de hacking.
NOTĂ-
Penetrarea străinilor din sistem sub masca unui utilizator obișnuit poate avea consecințe triste nu numai pentru fișierele acestui utilizator, ci și pentru întregul sistem în ansamblu, deoarece cu cât mai mult acest lucru va ști despre sistemul dvs., Mai ușor va fi să găsiți tăieturile în protecția sa.
Rețineți că, înainte de a începe lucrul, scriptul efectuează unele verificări: fie că este vorba de nivelul privilegiului rădăcinii, dacă UID inițial este ocupat și așa mai departe. Cu toate acestea, este imposibil să spunem că verifică totul.
Parole de hackings.
Una dintre modalitățile de a verifica securitatea sistemului implică faptul că să vă puneți în locul unui atacator și să încercați să gândiți și să acționați ca o persoană care încearcă să spargă apărarea. Acest lucru înseamnă că este necesar să se plimbe între utilizatori, verificând dacă parola înregistrată nu este atașată la niciun monitor, a lăsat pe cineva pe cineva pe masă cu o informație de identificare pe ea sau "treceți de" doar în acea dimineață când Utilizatorii intră în sistem (poate, va fi posibilă observarea modului în care oricare dintre ele va apela parola de pe tastatură).
De asemenea, înseamnă că ar trebui să acordați atenție orientării monitorului utilizatorului, având acces la informații sensibile, pentru a afla dacă este vizibilă pentru altcineva. Apoi, când acești utilizatori pleacă de la locul de muncă, indiferent dacă lansează programul screensaver blocat de parolă și poate ieși din sistem sau nu face nimic?
dar cea mai buna cale Verificați securitatea parolei de rezistență și relațiile de utilizator la acesta - încercați să hack parolele utilizatorilor. Executarea regulată a programului de hacking parolă poate oferi o evaluare destul de bună a fortăreței sistemului de protecție a parolei.
Cum se determină dacă sistemul de operare este acceptat acest calculator?
Ce opțiuni de instalare oferă un sistem de operare de fund 3.0?
Ce protocoale de rețea suportă programul de instalare?
În ce cazuri este necesar pentru a crea dischete de boot?
Listează pașii principali ai instalării?
Ce bootloader este utilizat pentru a încărca kernelul de operare?
Listează etapele principale ale încărcării kernel-ului?
Ceea ce este lilo și lilo.conf?
Cum să scoateți Lilo și să restaurați încărcătorul sursă?
Care este mecanismul modulelor de kernel?
În ce cazuri sunt necesare pentru a utiliza discul RAM?
Cum se configurează utilizarea discului RAM la încărcare?
Ce variază discuri de floppy, bootnet și drivere? Cum să le creați? Cum să le verificați?
Ce este un pachet software, dependențe de pachete?
Care sunt capabilitățile managerilor de pachete?
Ce manager de pachete este folosit pentru a gestiona software-ul?
Cum se instalează un pachet de pe un CD din rețea?
Instalare OS MSVS 3.0
Principalele etape ale instalării
Instalarea de pe un CD include următorii pași:
invitația la instalarea și reamintarea documentației;
selectarea manipulatorului mouse-ului;
discul de partiționare în secțiuni;
încărcător de reglare;
configurarea Rețelei;
instalarea unui nume de computer;
alegerea fusului orar;
selectarea complexelor pentru instalare;
instalarea pachetelor;
instalarea parolei utilizatorului rădăcină;
crearea de dischete de boot;
setarea plăcii video și a monitorului;
Când instalați o rețea utilizând serverul, trebuie să produceți mai multe presetări suplimentare:
producția unui set de discuri și organizații floppy acces la retea la server;
selectarea unei opțiuni de instalare a rețelei;
configurarea rețelei și accesul la rețea la server.
Instalare de pe un CD
Înainte de a începe instalarea, trebuie să configurați BIOS-ul computerului, astfel încât primul din lista de dispozitive de încărcare să fie un CD și să introduceți un CD cu modulul de boot ISWS 3.0 în unitatea CD-ROM.
Dacă BIOS-ul nu acceptă boot-ul de pe CD, trebuie să introduceți suplimentar discheta de încărcare și să configurați BIOS-ul computerului, astfel încât primul din lista de dispozitive de încărcare să fie o dischetă. Computerele moderne tind să susțină boot-ul de pe CD, astfel încât nevoia unei dischete de încărcare poate să apară numai la instalarea ISP 3.0 pe computerul "vechi".
Apoi trebuie să reporniți computerul. O invitație va apărea pe ecranul monitorului:
În forma acestei invitații, este posibil să se transfere setări suplimentare pentru programul de instalare. De exemplu, echipa:
boot: McBC MEM \u003d 128m
informează programul de instalare că volumul memorie cu acces aleator Acest computer este de 128 MB.
Pentru a începe încărcarea instalatorului, trebuie să apăsați tasta. Încărcarea kernel-ului MSA 3.0, urmată de mesaje de diagnosticare, apoi pornește programul de instalare, care încărcați automat driverele de antrenare a CD-ului și driverele de hard disk prezente în computer și acceptate de ASS 3.0.
Dacă inițializarea sa încheiat cu o eroare, înseamnă că pentru acest tip de unitate CD sau hard disk, trebuie să încărcați un driver suplimentar. Instalatorul va oferi o listă de drivere în care doriți să selectați driverul corespunzător și faceți clic pe butonul "Da".
Dacă descărcarea a fost realizată din discheta de boot, după pornirea programului de instalare, apare caseta de dialog Disc Driver Discând indicând discheta șoferului cu drivere pentru a conduce vehicule. În același timp, discheta de încărcare trebuie îndepărtată și lipită de dischetă a driverelor.
După descărcarea driverelor necesare, pe ecranul monitorului apare o invitație (figura 9-1).
1.1.41. Manipulatorul mouse-ului
Următoarele după invitația OS 3.0 va apărea caseta de dialog "selectarea mouse-ului" (figura 9-2).Selectați tipul de "mouse", de exemplu, "Mouse Normal PS / 2" și, dacă "mouse-ul" are două butoane, puteți utiliza emularea unui mod cu trei butoane. Pentru a face acest lucru, trebuie să activați emularea butonului al treilea și să faceți clic pe butonul "Da".
1.1.42. Deconectarea hard diskului la secțiuni
Se afișează caseta de dialog "Decizie" (figura 9-3), iar selectarea utilitarului de partiție hard disk va fi selectată: "Splitting automat", Druid Disk sau FDISK.În cele mai multe cazuri, împărțirea hard disk-urilor, matrice de disc, volumul LVM apare în programul Druid Disk. Mai mult, modul "partiție automată" este un caz special de lucru cu Druid Disk cu un calcul automat al proporțiilor spațiului pe disc în conformitate cu echipamentul de fapt instalat. Dacă este necesar, lucrul la nivel scăzut cu un hard disk trebuie să utilizeze utilitarul FDISK.
Selectați Druid Disk și apăsați tasta.
În caseta de dialog "Breaking" (figura 9-4), va apărea o listă de discuri disponibile și secțiuni existente.
De asemenea, în această fereastră există butoane pentru a lucra cu secțiuni: "Nou", "Editare", "Ștergere", "raid", "da", "înapoi".
În linia de jos, sugestiile pentru utilizarea tastelor rapide sunt date: "F1-Ajutor, F2-New, F3-Edit, F4-DELETE, F5-Reset, F12-Da."
În cazul general, MSVS 3.0 este instalat pe un computer cu un hard disk pur. În acest caz, puteți rupe sau utiliza program de disc. Druid sau alegerea unei partiții automate.
Pentru o instalare de succes a Ass 3.0, este suficientă pentru a crea două partiții: secțiunea rădăcină "/" și secțiunea SWAP (swap). Dimensiunea secțiunii rădăcinii trebuie să fie de cel puțin 1200 MB.
Cataloagele / boot, / acasă, / var, / tmp și altele pot fi eliminate pe secțiuni separate. Acest lucru vă permite să izolați, de exemplu, directoarele de uz casnic din sistemul de fișiere rădăcină.
ATENŢIE. În Ass 3.0, nu puteți fi plasat într-un director secțiune separat / usr!
Pentru a face directorul într-o secțiune separată, trebuie să creați o secțiune cu sistemul de fișiere "ext3" și să îl atribuiți un punct de montare corespunzător numelui catalogului.
Pentru a crea o secțiune, selectați butonul nou și apăsați tasta. În caseta de dialog "Adăugați secțiunea" care apare (editați o nouă secțiune) (figura 9-5):
selectați tipul de sistem de fișiere (pentru secțiunea SWAP - "Swap", în alte cazuri - "ext3").
dimensiunea secțiunii în Megabytes (Dacă este necesar, puteți să "întindeți" partiția pe întregul disc);
punct de montare, pentru secțiunea rădăcină - aceasta este "/", pentru secțiunea swap, punctul de setare nu este necesar.
La finalizarea lucrărilor privind crearea de partiții, în fereastra "Break", faceți clic pe butonul "Da".
Caseta de dialog Salvare Modificări apare pe ecranul monitorului.
Apăsați butonul "Da".
Următorul pas este să formați secțiunile create. O casetă de dialog cu titlul "ATENȚIE!" Va apărea pe ecranul MNIT. și o listă de partiții care vor fi formatate când este apăsat butonul "Da" (figura 9-6).
1.1.43. Opțiunea de bootloader
Se afișează caseta de dialog de configurare "încărcător" (figura 9-7). În această fereastră, trebuie să selectați opțiunea de instalare cu sau fără încărcător. Bootloader vă permite să aveți mai multe opțiuni pentru pornirea acestuia în sistem sau să selectați sistemul de operare încărcat (dacă este mai mare de unul). În modul fără încărcător, kernelul ISP 3.0 va fi monopulat în acest sistem.
Apăsați butonul "Da".
Apoi, pe ecran apare o casetă de dialog (Figura 9-8) cu o sugestie pentru a introduce parametri suplimentari care vor fi utilizați la încărcare. În mod implicit, modul LBA32 este instalat în această fereastră (utilizând adrese logice de 32 de biți ale blocurilor de hard disk), deoarece acest mod este necesar în majoritatea cazurilor pentru a susține un disc mare de container.
Dacă aveți un IDE Writer ID IDE, în câmpul de introducere a parametrilor, instalatorul va plasa șirul tipului "HDC \u003d IDE-SCSI" (de exemplu, dacă unitatea este conectată în modul principal la cel de-al doilea controler IDE ).
Dacă niciunii parametri nu trebuie să transmită niciunul altor parametri, este recomandat să nu modificați parametrii propuși de programul de instalare și să faceți clic pe butonul "Da".
Următoarea procedură din setarea Bootloader este o sarcină de parolă pentru a schimba accesul. parametrii de pornire Sisteme. Deoarece dacă aveți un bootloader, este posibil să transferați parametrii de kernel specializați de la tastatură atunci când sistemul pornește, apoi pentru a asigura nivelul necesar de securitate această caracteristică Protejează parola. În caseta de dialog următoare (figura 9-9), introduceți parola, a căror dimensiune nu trebuie să fie mai mică de 8 caractere. Confirmați parola prin reintroducerea acestuia pe următoarea linie a ferestrei.
Apăsați butonul "Da".
O casetă de dialog Selectare casetă de dialog apare pe ecran (figura 9-10), cu propunerea de a specifica cealaltă secțiuni de pornirecare pot fi descărcate utilizând un bootloader ASWS 3.0. De exemplu, dacă există un alt sistem de operare pe computer, puteți atribui o etichetă la acesta și puteți încărca utilizând un boot încărcător de fund 3.0.
Introduceți datele necesare în liniile corespunzătoare și faceți clic pe butonul DA.
În fereastra următoare (figura 9-11), locația încărcătorului este setată pe disc. Două opțiuni sunt posibile: înregistrarea principală de încărcare (MBR) a hard diskului (recomandat în majoritatea cazurilor) sau sectorul de boot (înregistrarea încărcării) a partiției corespunzătoare în care se efectuează instalarea.
Selectați și apăsați butonul "Da".
1.1.44. Rețea de rețea
În cazul detectării programului de instalare cel puțin unul card de reteaEcranul va apărea secvența casetei de dialog "Configurare Network pentru EthX" (figura 9-12), unde X este numărul de secvență în care sunt configurați parametrii pentru fiecare card de rețea.
Protocoale setare automată Parametrii de rețea BOOTP și DHCP sunt utilizați dacă există un server special în rețea care oferă servicii de configurare automată la cererea mașinii client.
Dacă serverul DHCP lipsește, trebuie să instalați în mod explicit parametrii rețelei, pentru care selectați "Activați la pornire". După aceasta, mai multe rânduri vor fi evidențiate în fereastra în care trebuie specificate parametrii conexiunii la rețea.
Adresele de rețea sunt prezentate într-un format punct de deceniu (de exemplu, 192.168.1.1). Informațiile de umplere a câmpului trebuie furnizate de administratorul de rețea.
Adresa de rețea - adresa IP a computerului din rețea.
Masca de rețea este un parametru care caracterizează clasa segmentului de rețea.
Gateway-ul implicit este un nod care servește comunicațiilor acestei rețele locale cu segmente de rețea externă.
Nume primar Server - Nod care suportă serviciul de rezoluție a numelui de domeniu prin protocolul DNS în adresele IP. În câmpurile corespunzătoare, introduceți adresele IP ale serverelor de nume suplimentare (DNS). Dacă în rețea este utilizat un server de nume, aceste câmpuri pot fi lăsate goale.
Apăsați butonul "Da".
|
|
| Smochin. 9-13. Instalarea unui nume de computer. |
|
|
| Smochin. 9-14. Alegerea unui fus orar. |
Apoi trebuie să setați numele computerului. Următoarea casetă de dialog "Instalare Nume Computer" apare pe ecran (figura 9-13), în care trebuie umplut câmpul corespunzător. Numele trebuie, de asemenea, să fie coordonat cu administratorul de rețea.
Apăsați butonul "Da".
1.1.45. Selectarea unei centuri de ceas
Pe ecran apare următoarea casetă de dialog de selectare a fusului orar, care utilizează setările de timp ale sistemului. În Ass 3.0, numărătoarea inversă se desfășoară în modul local, adică Ceasul hardware al sistemului determină cu siguranță timpul fără o conversie suplimentară față de diferite puncte de inversă ale tipului UTC.
În fereastră, ar trebui să alegeți cea mai apropiată locația centurii de timp a computerului, indicând diferența de timp a centurii față de centura "zero" - Europa / Moscova (figura 9-14).
Apăsați butonul "Da".
1.1.46. Selecția și instalarea pachetelor
Se afișează caseta de dialog "Selectare complexă" (figura 9-15).
În această casetă de dialog puteți alege următoarele complexe:
Configurația de bază a sistemului de bază;
Subsistem de interfață grafică;
Instrumente de dezvoltare.
Este necesară selectarea grupului "Configurare de bază", conține toate componentele necesare pentru funcționarea sistemului de operare de 3,0 în versiunea de bază (fără fonduri suplimentare).
Modul de instalare "Toate (inclusiv opțional)" înseamnă instalarea tuturor pachetelor de distribuție, inclusiv modificări ale kernel-ului OS, nespecifică pentru acest computer și un set de pachete necesare pentru fabricarea discului de încărcare ISWS 3.0.
Pentru o selecție mai detaliată a pachetelor (poate, pentru a economisi spațiu pe disc ocupat de OS), este necesar să rețineți opțiunea "Selectarea individuală a pachetelor" și faceți clic pe butonul "Da". O fereastră "Select Pachet" (figura 9-16) apare cu o listă de grupuri de pachete și pachete în sine.
Un grup poate fi pliat / implementat dacă aduceți linia de fundal la acesta și apăsați tasta. Pentru a obține informații despre pachet, trebuie să aduceți linia de fundal la acesta și apăsați tasta. Pornirea / dezactivarea pachetelor pe lista de instalare se efectuează apăsând tasta.
După finalizarea selecției pachetelor, faceți clic pe butonul "Da".
Dacă o listă individuală de pachete a fost selectată pentru instalare, poate apărea o situație atunci când vor apărea dependențe nesatisfăcute. Aceasta înseamnă că există pachete în lista selectată, care necesită alte pachete de pe discul de boot ISWS 3.0, care nu au fost marcate. Rezoluția dependențelor de pachete va fi fabricată automat de programul de instalare.
După finalizarea selecției pachetelor, pe ecran apare caseta de dialog Start Setup. Această fereastră va conține informații despre fișierul / root / jurnal, în care instalatorul după terminarea lucrării va salva lista pachete instalate.
Partiționarea reală a discului și instalarea pachetelor va porni numai după apăsarea butonului "Da" din fereastra "Start Instalare". Dacă este necesar, până la acest punct, puteți întrerupe în continuare procesul de instalare prin repornirea computerului. În acest caz, toate datele despre hard disk-uri vor rămâne neschimbate.
Pentru a începe instalarea de pachete, faceți clic pe butonul "Da".
Se va afișa fereastra "Instalare Pachet" pe ecran (figura 9-17).
În acest stadiu, puteți observa procesul de instalare al pachetelor selectate, care este produs automat. O scurtă descriere este afișată pentru fiecare pachet, iar informațiile statistice privind procesul de instalare a pachetului curent și toate pachetele împreună sunt afișate împreună.
1.1.47. Instalarea parolei SuperUser
Se afișează caseta de dialog Password Password Password (fig.9-18). Setați parola în linia "Parolă" și confirmați intrarea în linia "Confirmare parolă" (restricțiile privind vizualizarea și dimensiunea parolei sunt determinate de cerințele de securitate pentru sistem; Implicit, dimensiunea parolei este de cel puțin opt caractere). Când specificați o parolă de la tastatură, din motive de securitate, în loc de caracterele de intrare, sunt afișate Asterisks. Apăsați butonul "Da".
1.1.48. Crearea discurilor de floppy
Următoarea casetă de dialog "set de dischete de boot" apare pe ecran (figura 9-19). Setul de dischetă pentru încărcare poate fi necesar dacă deteriorați înregistrarea încărcării hard disk-ului.
Pentru a crea dischete de boot, apăsați butonul "Da". Apoi, urmați instrucțiunile oferite în casetele de dialog.
Dacă nu este necesară crearea kitului de boot, faceți clic pe butonul "No". În viitor, puteți crea un disc de boot utilizând o comandă grafică sau o comandă MKBOOTDISK.
1.1.49. Creșterea cardurilor video și a monitorului
La următorul pas, trebuie să configurați sistemul grafic. Pentru a face acest lucru, în casetele de dialog, urmând instrucțiunile, introduceți informații despre placa video și monitorul.
Dacă instalatorul va determina automat tipul de placă video, vor apărea informații despre acesta (figura 9-20).
 |
| Smochin. 9-19. Crearea de dischete de boot. |
|
|
| Smochin. 9-20. Selectați placa video. |
În caz contrar, apare caseta de dialog "Selectare hartă". Selectați tipul IT din listă. Dacă lista nu are placa video dorită, selectați "Cardul nespecificat".
În fereastra de selectare a serverului, selectați Serverul X, care este capabil să lucreze ca o placă video existentă.
După aceasta, apare caseta de dialog Monitor Setup (fig.9-21). Dacă programul de instalare nu determină automat tipul monitorului, selectați monitorul corespunzător din lista de modificare.
Dacă este necesar, puteți specifica parametrii monitorului manual. Pentru a face acest lucru, selectați tipul "Altele" din listă și setați frecvența de funcționare a imaginii verticale și orizontale (60 ~ 100 Hz).
Apăsați butonul "Da".
După selectarea monitorului, pe ecran va apărea fereastra "Avansată" (figura 9-22). Selectați adâncimea de culoare dorită și rezoluția monitorului în fereastră. În plus, în această fereastră puteți selecta modul de conectare la sistemul "grafic" (recomandat) sau "Text". Dacă selectați o autentificare grafică la sistem, sistemul de interfață grafic va fi pornit în mod implicit. Selectați și apăsați butonul "Da".
După configurarea sistemului grafic, apare mesajul "Instalare finalizată" (figura 9-23) cu mesajul "Felicitări, instalarea unui ISWS 3.0 este finalizată."
Apăsați butonul "Da" pentru a reporni. Computerul va începe repornit. În timpul repornirii, tava cu un CD va avansa automat. Scoateți discul din tavă.
 |
| Smochin. 9-23. Instalare completă. |
|
|
| Smochin. 9-24. Metoda de instalare |
În această revizuire, voi încerca să stabilesc o copie a RedHat EnterPrice Linux pentru nevoile RF Mo pentru a vedea cum funcționează pe hardware-ul modern. Ultima ediție a ISWS a fost deja în 2011, dar continuă să fie "utilă" în armata Federației Ruse:
Noțiuni de bază pentru a instala
Vom instala pe laptop Fujitsu Lifebook N532, care funcționează în mod stabil în Linux și în Windows. Acest laptop a fost lansat în 2012, doar un an mai târziu decât MSVS 5.0.
Fereastra de boot - Copie cut-up Redhat EnterPrice Linux:
Ei chiar leneși pentru a face o fereastră normală de încărcare, au schimbat fundalul / logo-ul, au eliminat butoanele inutile și asta este.
Pentru a continua instalarea, apăsați pur și simplu Enter:
Instalatorul a fost încărcat în MS-DOS în stil retro, dar înainte de eliberarea ISWS 5, aproape toate distribuțiile au avut un instalator grafic. În Debian există, de asemenea, un instalator de text, dar este mult mai ușor și mai clar decât acesta. Ne întrebați, verificați DVD-ul de instalare sau nu. Să verificăm doar în caz:
Discul este înregistrat în mod normal, fără erori. Apoi suntem rugați să verificăm medii suplimentare, dar nu le am.
Boot instrumentul de marcare cu disc cu opțiunea de ștergere selectată pentru toate secțiunile. Ce se întâmplă dacă ofițerul, sperând de mintea industriei IT interne, pur și simplu apăsați pe Enter?
Acum treceți la marcajul discului. Pe acest computer instalat două OS și am ales "Creați-vă propria partiție"
Avem 30 GB de spațiu neformat, selectați "Utilizați spațiul liber și creați o partiție implicită" și obțineți o eroare de întrerupere: Este imposibil să distribuiți secțiunile solicitate
Faceți clic pe "Da" și obțineți o eroare de partiție automată:
Faceți clic pe "Da" și alegeți "Creați propria partiție"
Deoarece acest "Dosovsky FDISK" nu arată cât de ocupat și liber, astfel încât să șterg accidental orice, am decis să văd secțiunile într-un alt sistem de operare și am apăsat repornirea (Alt + Ctrl + Del îmi amintesc de la MSSO).
Computerul este pur și simplu atârnat pe aceste cuvinte, dar reacționează la capslock. Așteptăm încă 15 minute și doar faceți clic pe Resetare. Încărcați un alt sistem de operare, suntem convinși de corectitudinea alegerii partiției libere, continuăm instalarea și reacționăm la pasul de marcare a discului. Selectarea sistemelor de fișiere nu este bogată aici, numai ext2, ext3 și vFAT (care nu sa montat pe ecran).
Să lăsăm totul în mod implicit, adică vom folosi GRUB:
Doar apăsați ENTER.
Apoi, ni se cere să creăm o parolă pentru a schimba parametrii încărcării grub
a trebuit să introduc o parolă lungă
Acum continuați să instalați bootloader-ul. Pe un laptop instalat ultimele versiuni Debiana și Ubunti, dar instalatorul nu le-a găsit. Ca rezultat, după instalarea MSVA, meniul de selectare a sistemului de operare va dispărea și va trebui să restaurați GRUB prin LiveCd.
Sliderul listei sistemelor de operare în partea de jos, ca și cum ar spune că altceva este. Am încercat să o mișc prin apăsarea TAB, Ctrl, Ctrl + Tab și alte combinații cheie. Dar glisorul în ce poziție a fost, în acest sens și a rămas:
Faceți clic pe Da și continuați instalarea:
Alegeți unde să instalați Bootloader. Am setat încărcătorul în toate Linux record de boot. MBR, adică ON / DEV / SDA, dar pentru utilizatorii de Windows recent, aceasta este o întrebare dificilă. Sau toți rușii militari știu Unixes?
Următorul este setarea rețelei.
Nu avem conexiuni de rețea, să alegeți "Nu" și faceți clic pe Enter
fereastra se deschide cu o solicitare de a introduce setări suplimentare de rețea:
După cum puteți vedea, butoanele "Anulare" și "Nu" nu sunt necesare, nu există. Există doar "da" și "înapoi". Ar fi logic dacă am instalat sistemul în rețea, dar avem un DVD cu un set complet de programe. Faceți clic pe Enter.
Ai lăsat câmpul gol "Gateway". În funcție de mediul dvs. de rețea, pot apărea probleme în viitor
faceți clic pentru a continua și cereți din nou să introduceți parametrii de rețea suplimentari. În general, revenim la prima fereastră de setare a rețelei și specificăm că trebuie să configurați interfața de rețea, deși nu o avem.
Ei cer să intre în numele rețelei. Selectați "manual" și inventați numele rețelei
Selectați fusul orar:
Selectați o parolă de utilizator rădăcină (nu mai puțin de șase caractere):
Selectați o listă de pachete pentru instalare. Am ales totul
Dependența ulterioară este activată, după care fereastra a fost deschisă cu adresa de jurnal de instalare:
Procesul de instalare:
Nu înțeleg, sunt aceste probleme cu fonturile sau cu codificările?
Instalarea este de până la 100%, iar instalatorul ne-a întâmpinat fericit despre finalizarea instalării, solicită să dezactivați suportul detașabil și apăsați ENTER pentru a reporni. Apăsați ENTER și calculatorul pur și simplu atârnă ca ultima oară.
Apăsați butonul de alimentare, așteptați câteva minute și Oh, Horror, totul este în limba engleză. Sau este o astfel de limbă rusă în armata rusă?
Unde sunt Debianul nostru și Ubunta? Există doar un singur MSV. Dar nimic teribil, poate fi corectat prin reinstalarea încărcătorului grub prin LiveCD.
Doar apăsați ENTER pentru a descărca
Sistemul este prost 15 secunde și prezintă erori: memoria pentru kernelul de crash (0x0 la 0x0) nu este permisă; Imposibil de interogare Hardware Synaptics (nu pot intervieva touchpad-ul)
Și continuă să descărcați, se deschide meniul Setări în timpul procesului de descărcare.
Alegeți doar "ieșirea" și faceți clic pe Enter. După 10 secunde, se deschide acest ecran, unde nu există niciun indiciu unic în program. Introducem autentificarea și parola și sistemul este gata de muncă:
Apropo, acordați atenție, kernel-ul este instalat aici 2.6.18. Acest kernel a ieșit, cu cinci ani mai devreme decât MSVS 5.0. Da, în cinci ani a fost posibilă construirea unor industrii întregi, ca în plăcile Stalin de cinci ani, dar aproape 10 ani au trecut! La acel moment îndepărtat, tocmai am început să fiu interesat de Linux. Deși pot cele cinci ani au cheltuit auditul de securitate al Codului.
Bine, încercați să utilizați ceea ce este.
Încercăm să rulăm grafică. În Nixes pentru a începe grafica, de obicei, trebuie să introduceți StartX, introduceți StartX:
#Startx.
și obțineți erori:
Aici am deschis în mod specific jurnalul de eroare /var/log/xorg.0.log, astfel încât a fost clar ce se întâmplă: sistemul nu poate descărca drivere standard FBDEV și VESA.
Trebuie doar să reporniți sistemul și să revenim la sistemul de operare de lucru, să intrăm la repornire și să primim din nou în timpul reproiectării:
Încercăm să instalăm prin Virtualbox:
De asemenea, introducem rădăcina de conectare, parola și startx
Desigur, vniins din motive de securitate nu recomandă rularea cavităților de administrator. Și de ce după prima lansare sau în instalatorul în sine, nu a fost sugerat în scopuri de securitate pentru a crea utilizatori simpli, ca în multe alte distribuții?
O_o, se pare că funcționează.
Biroul de lucru MSVS 5.0
Deci, ceea ce vedem sunt un frumos desktop ușor, simulând vechile ferestre și KDE. Dar este doar un desktop de desert încorporat
Manager de fișiere, lansat acum 11 ani, este foarte asemănător cu Konquerror Trimmed
În sistemul TRE, indicatorul de timp cu calendarul, comutatorul layout-ului tastaturii și indicatorul nivelului de disponibilitate (dar este mai degrabă de la dezvoltatorii MSVS).
Setări MSVS 5.0.
În Linux, unele programe (de exemplu, cromul) nu rulează de la utilizatorul rădăcină, pe aceasta creăm mai întâi un utilizator nou și mergem la sistem prin intermediul acesteia:Start - Setări - Elk Control Panel, Management de utilizator - Adăugați un nou utilizator:
Parola trebuie să fie de cel puțin 8 caractere!
Atributele de siguranță sunt impresionante, dar nu le vom atinge:
Utilizatorul a fost creat cu succes. Lăsăm sesiunea și primim direct în contul rădăcină, unde o grămadă de erori ne salută:
Plecăm din acest cont apăsând Ctrl + D, conectați-vă de un utilizator nou și executați StartX. Ikers a început, dar mouse-ul se mișcă și combinațiile de tastatură nu reacționează. Repornirea mașinii virtuale nu a ajutat, cavitățile din acest cont, de asemenea, nu funcționează. Ei bine, va trebui să lucrați de la rădăcină, care este o tulburare de securitate.
Rezoluția ecranului de la US 800x600, încercați să o schimbați. Accesați "Panou de control" și selectați pictograma "Monitor". Fereastra se deschide cu mesajul pe care nu avem un fișier xorg.conf și că ecranul va fi întunecat în timpul creării sale. Creați-o sau nu?
Faceți clic pe "Da"
Eroare de inițializare a configurației:
După aceea, se deschide fereastra cu setările monitorului. Încercăm să schimbăm nimic, dar fără reacție. Este demn de remarcat faptul că această fereastră prezintă un exemplu al ecranului Windows 95. Și când apăsați butoanele "Da" și "Anulare", fereastra nu se închide și nu se întâmplă nimic. Închideți fereastra poate fi apăsată numai pe cruce.
În meniul "System", există un element "Permisiuni de ecran de comutare". Noi alegem și oferim un program în Tre cu doar două puncte: 800x600 și 640x480 și frecvența 60Hz. Dar în sistemul de operare Freedos, aș putea să-l pun și chiar să schimb frecvența. Prin urmare, concluzia că în programul software-ului ISWS mai rău decât în \u200b\u200bDO!
Ne uităm la informațiile despre echipamente:
După ce faceți clic pe "OK", se deschide această fereastră:
MSVS 5.0 Programe
Interesant, când traducem indicatorul mouse-ului de la programele EDE din KDE, modificările culorii cursului mouse-ului.Acest lucru se datorează faptului că desktopul HSS este un amestec de desktop-uri EDE și KDE.
Net. Total zece programe din această categorie, inclusiv Observatorul Elk, IRC, Wireshark, GFTP, monitorul de corespondență, monitorul de rețea și configurarea PPP și gestionarea dispozitivului de rețea.
Managementul dispozitivelor de rețea
Clientul de poștă nu începe:
Browserul Browser Elk este o copie exactă a browserului Aurora. Vedeți, au redenumit-o la Elk, dar au uitat să schimbe logo-ul:
Elk Browser:
Utilități
În utilități, precum și 4 terminale: Elk-terminal, x-terminal, consola și terminal în modul superuser. Știi de ce sunt atât de mulți? Deoarece desktopul WSA este un amestec EDE cu KDE. Ei chiar locuiau să elimine utilitățile inutile, toate ca implicit a fost așa că au plecat.
Din acest motiv, există multe programe din două desktop-uri diferite, dar cu aceleași caracteristici. Acest lucru este valabil mai ales că vizionarea imaginilor, a documentelor (PDF, DJVU etc.) și a editorilor de text.
Text Emacs Text Editor în MSVS:
Științific. În științific, numai calculatorul KDE, care a fost lansat în 2005:
Grafică. În această secțiune, toate programele de la lansarea KDE + XSANE 2007.
Jocuri. În jocuri, un set de jocuri de la KDE, printre care jocurile militare sunt sapper și parașute:
Multimedia. Un simplu player media, player audio, K3B (intrare CD / DVD), regulator de sunet și program de înregistrare a sunetului.
Pentru a verifica sunetul, trebuie să descărcați un film în sistemul virtual .. Sunetul și videoclipul nu funcționează deloc. Am pus setările Virtualbox Alsa, Oss, SoundBlaster16 - nimic nu funcționează. Am încercat OGV, OGG, MP4 - în unele cazuri necesită instalarea de codecuri, în altele - arată o eroare:
Să încercăm să instalăm FFMPEG:
Deschideți Panou de control al ELK - Manager de programe
Înainte de a începe câteva secunde, sunt verificate listele de pachete.
să încercăm să găsim FFMPEG.
Aceasta este o astfel de limbă rusă în armata rusă!
fFMPEG a fost în lista pachetelor instalate. Și căutarea OSS și ALSA (sisteme de sunet) nu a dat niciun rezultat. De asemenea, cererile de birou și Firefox nu au dat rezultate.
k3B Când începeți, oferă o eroare pe care nu o găsește de tip MIME. Trebuie să apăsați de 10 ori OK și apoi începe:
Oprirea sistemului:
Ieșire ...
1. Pe echipamentul modern, ISWS nu funcționează
2. Miezul sistemului ca întreg software a fost lansat acum 11 ani, respectiv, echipamentul modern nu este acceptat
3. Rezoluția ecranului este setată la 800x600 și nu se schimbă
4. Sistemul video funcționează numai în emulator, dar prezintă erori după finalizarea lucrării.
5. Sunetul nu funcționează deloc
6. Grafica funcționează numai de către utilizatorul rădăcină, care este o tulburare de securitate
7. Comenzile implicite de închidere și repornire sunt disponibile numai prin consola și operează numai în emulator.
Concluzii generale.
MSVS5.0 - Redhat EnterPrice Linux5.0 (2007) copiat în 2011 (2007), funcționează incorect pe computerele emise în 2011. Da, în armata rusă, este, în general, vizibil pentru o veche veche, de exemplu, Aviance Cruiser "ADMIRAL KUZNESTOV" cu Springboard în loc de o catapultă, din cauza cărora avionul sunt forțați să zboare cu o muniție incompletă și uneori Se încadrează în apă atunci când se ia în jos pentru aeronave și cu instalarea uleiului de combustibil, care necesită realimentare în timpul drumeției ...
Cu siguranță, cel puțin unii dintre cititorii noștri au crezut despre care sistemul de operare este utilizat în forțele noastre armate. La urma urmei, cu toții înțelegem că nu poate fi pe un complex de rachete care este pe taxa de luptă, stați ferestre. Astăzi minimizăm perdelele misterului și spunem despre ISA OS. Acesta este așa-numitul sistem mobil despre domeniul de aplicare al cererii, exprimă numele său, dar despre modul în care funcționează în termeni generali, vom spune.
Cerințe preliminare pentru creare
Pentru prima dată, criteriile de siguranță pentru sistemele informatice au fost formulate la sfârșitul anilor 60 din secolul trecut. La mijlocul anilor 1980, în SUA, toate aceste evoluții au fost colectate într-un singur document. Deci sa născut "Cartea Orange" a Ministerului Apărării - primul standard de securitate a sistemelor informatice. În urma acestor documente au apărut în țările europene și în Canada. În 2005, pe baza lor, a fost pregătit standardul internațional de securitate ISO / IEC 15408 "Criterii de protecție generală".
În Rusia, au fost efectuate studii similare în cel de-al 22-lea Institut Central de Cercetare al Ministerului Apărării. Rezultatul final al dezvoltării a fost chitanța în 2002 a OS ISA în forțele armate ale Federației Ruse. Versiunea standardului de stat bazată pe cerințele ISO / IEC a fost adoptată în 2008.
De ce ofițerul militar
Sistemele operaționale pe care le folosim zilnic nu sunt adecvate pentru utilizarea în instalațiile de stocare a statului. Gostekomisia sub președintele Federației Ruse a formulat următoarele:
- Informațiile trebuie protejate de accesul neautorizat, atât din interior, cât și din exterior.
- Sistemul nu trebuie să conțină capabilități nedocumentate, cu alte cuvinte, nu ar trebui să existe "ouă de Paște" în codul OS.
În plus, sistemul de operare protejat trebuie să aibă o structură de acces ierarhică la nivel de mai multe niveluri și să aibă funcții de administrare separate.
Astfel, sarcina de a crea un sistem de operare închisă specializată nu este la fel de simplă ca și la prima vedere. Absența capabilităților nedocumentate presupune că codul sursă și descrierea tehnică a tuturor procedurilor de lucru vor fi studiate temeinic la Centrul de Certificare. Și acesta este domeniul secretelor comerciale ale corporațiilor proprietarilor sau al proprietății intelectuale a dezvoltatorilor. Un astfel de paradox vă face să trageți ochii spre OS Open, deoarece este aproape imposibil să se obțină o documentație tehnică completă pentru software-ul proprietar.
Cerințe GOST R.
FSTEC, ca serviciu responsabil cu securitatea informațiilor pe scara țării, este stabilită prin separarea sistemului de operare în funcție de gradul de protecție a informațiilor prelucrate. Pentru comoditate, toate datele sunt reduse la o masă.
Din tabel, se poate observa că, pentru o serie de cerințe, sunt stabilite trei grupuri și nouă clase de securitate din accesul neautorizat și deja o altă diviziune este efectuată pentru admiterea la diferite tipuri informații confidențiale.
În inima Linux
Ce este atât de convenabil pentru Linux, ce va fi fericit să servească în aparatul de stat? La urma urmei, în cea mai mare parte utilizatori simpli Îi sunt frică de el ca iadul Ladan. Să ne dăm seama. Pentru a începe, acordați atenție licenței sub care este distribuită "Linux". Acesta este așa-numitul GPL2 - public universal sau gratuit, licență. Oricine poate obține codul sursă și pe baza acestuia pentru a crea propriul produs. Cu alte cuvinte, nimeni nu deranjează să ia distribuții de top Linux și le folosiți în dezvoltarea sistemului de operare protejat propriu.
Experiența mondială a agențiilor guvernamentale arată că tranziția către software-ul liber apare peste tot, ideea este în cerere și este destul de justificată. Liderii țărilor din lume, cum ar fi Statele Unite, Germania, Japonia și apropierea rapidă a Chinei și India, utilizează în mod activ Linux în Gosfere și educație.
ISW și conținutul său
Sistemul mobil Versiunea 3.0 a lucrat în trupele celor zece ani, un produs mai perfect vine să-l înlocuiască și ne putem uita calm la veteranul "Hood". Deci, acesta este un sistem de operare de rețea care lucrează în multiplayer utilizând interfața grafică de utilizator. Suportă platforme hardware:
- Intel.
- Sistemul IBM / 390.
SPAPC / "Elbrus".
Se bazează pe cele mai bune distribuții Linux disponibile la acea dată. Multe module de sistem au fost împrumutate de la Redhat Linux și recompilate ținând cont de cerințele Ministerului Apărării. Cu alte cuvinte, sistemul de forță armată mobil este un Linux de distribuție RPM cu toate aplicațiile și instrumentele de dezvoltare conexe.
Suportul sistemului de fișiere este la începutul nivelului secolului, dar din moment ce cele mai frecvente dintre ele au existat, acest indicator nu este critic.
Versiuni ale MSVS.
În ciuda faptului că acesta este un sistem de operare de rețea, nu are depozite de software familiar cu niciun liniuxoid. Toate software-urile sunt furnizate complete pe CD-uri de instalare. Orice program care este utilizat în acest sistem este precetat în cadrul Ministerului Apărării. Și din moment ce această procedură este departe de repede, pentru tot și jumătate de zeci de ani de muncă, au fost emise un număr limitat de versiuni și modificări ale acestora.
Dezvoltatorul ISM-urilor este Institutul de Automatizare al Gestionării All-Rusia din Rusia în sfera de imochement. Pe pagina sa oficială, puteți găsi date despre versiunile MSV-urilor, care sunt în prezent susținute și au certificatele de securitate necesare de la Ministerul Apărării.
Sistemul mobil al forțelor armate pentru anul 2017 este reprezentat de două ansambluri acceptate:
- OS MSVS 3.0 FLIR 80001-12 (Schimbarea nr. 6).
OS MSVS 3.0 FLIR 80001-12 (Schimbarea nr. 4).
Versiunea 5.0, situată pe site-ul Vniins, are un certificat de securitate de MO, dar oficial pentru furnizarea trupelor nu a fost acceptată.
Premierul MSVS.
Următorul sistem de operare protejat, care a fost prezentat ca înlocuitor al MSV-urilor de zece ani, a fost Astra Linux. Spre deosebire de predecesorul, certificatul de securitate numai de la Ministerul Apărării, Astra a primit toate certificatele posibile în Rusia, iar acestea sunt documente de la Mo, FSB și FSTEC. Datorită acestui fapt, acesta poate fi utilizat în orice agenție guvernamentală, iar prezența mai multor versiuni adaptate la diferite platforme hardware este chiar mai extinsă domeniul de aplicare al utilizării sale. Ca rezultat, acesta poate combina toate dispozitivele sub controlul său - de la echipamentul mobil la serverul staționar.
Astra Linux este o distribuție modernă Linux bazată pe pachetele Deb, utilizează o nouă versiune a kernel-ului și a software-ului actual. Lista procesoarelor acceptate și arhitecturile acestora sunt, de asemenea, extinse și include eșantioane moderne. Lista versiunilor publicate oficial vă permite să sperați pentru succesul acestui produs software cel puțin în Gosfere și apărarea.
In cele din urma
În acest material, am vorbit despre sistemul ICA - sistemul principal de operare al forțelor armate ale Federației Ruse, servit cu credincioșie "în rang" de 15 ani și încă încă pe "luptă". În plus, succesiunea a fost caracterizată pe scurt. Poate că cineva de la cititorii noștri o va împinge pentru a vedea ce este Linux și face o opinie imparțială despre produs.
Extensie pentru a lucra cu fișierele din client web
Fixarea erorii "Server a refuzat accesul prin POP3" la conectarea Mail Gmail!
1 nu pornește pe Windows 10