Krok za krokom inštalácia MSVS 3.0 z disku. Mobilný systém ozbrojených síl (OS MSV): Chránený operačný systém General
Mobilný systém Ozbrojené sily (MSV) - Bezpečný multiplayerový multitasking operačný systém (OS) všeobecného účelu s divíziou vyvinutými na základe OS Red Hat Linux. OS poskytuje viacúrovňový prioritný systém s vysídňovým multitaskingom, virtuálnou pamäťou organizácie a plnú sieťovú podporu; Pracuje s multiprocesorom (SMP - symetrické multiprocesing) a konfiguráciou klastrov intel platformy, IBM S390, MIPS (komplexy produkcie bagety spoločnosti Corundum) a SPARC (ELBRUS-90MICRO). Funkcia ICA 3.0 je vstavaný spôsob ochrany pred neoprávneným prístupom, ktoré spĺňajú požiadavky Štátnej rady Štátnej technickej komisie podľa predsedu Ruskej federácie pre 2 fondy výpočtovej techniky. Nástroje na ochranu zahŕňajú povinné kontroly prístupu, zoznamy riadenia prístupu, model rolí a vyvinuté auditové nástroje (protokolovanie udalostí). MSVS OS je určený na budovanie stacionárnych chránených automatizovaných systémov. Developerom ISMU je ALL-RUSE RUSE RUČNÝ ÚSTAVY AUTOMATIZÁCIE RIADENIA V NEPOUŽÍVAJÚCEJ KOMPANY. V. V. SOLOMATINA (VNIII). Prijaté na poskytovanie ozbrojených síl Ruskej federácie v roku 2002.
Systém súborov ISWS 3.0 podporuje názvy súborov až 256 znakov so schopnosťou vytvárať rusko-hovoriace názvy súborov a adresárov, symbolických odkazov, kvót a zoznamy prístupových práv. Existuje možnosť montáže tukových a NTFS súborových systémov, ako aj ISO-9660 (CD). Mechanizmus kvót vám umožňuje ovládať používanie používateľov miesta na disku, počet bežiacich procesov a množstvo pamäte pridelenej každému procesu. Systém môže byť nakonfigurovaný na vydanie upozornení, keď sa používateľ požaduje užívateľ, sa priblíži k danej kvóte.
MSVS 3.0 je grafický systém založený na okno x. Dvaja manažéri okien sú dodávané do práce v grafickom prostredí: Icewm a KDE. Väčšina programov v OS ISA sú zamerané na prácu v grafickom prostredí, ktorá vytvára priaznivé podmienky nielen pre operáciu používateľov, ale aj pre ich prechod na operačný systém Windows na operačnom systéme ISP.
OS MSA 3.0 je dodávaný v konfigurácii, ktorá okrem hlavného riadiaceho programu (jadra) obsahuje súbor ďalších softvérových produktov. Samotný OS sa používa ako základný prvok organizácie automatizovaných pracovísk (zbraní) a výstavby automatizovaných systémov. Ďalší softvér (Softvér) je možné inštalovať na výber a je zameraný na maximálnu automatizáciu riadenia a správy domény, čo znižuje náklady na udržanie ARMM a sústrediť sa na realizáciu ich cieľovej úlohy. Inštalačný program vám umožňuje nainštalovať OS z zavádzacieho CD alebo v sieti cez FTP protokol. Zvyčajne je inštalačný server nainštalovaný a nakonfigurovaný z diskov a potom inštalácia iných počítačov je inštalovaná cez sieť. Inštalačný server v pracovnej oblasti vykonáva úlohu aktualizácie a obnovy softvéru na pracoviskách. Nová verzia je stanovená len na serveri a potom nastane automatická aktualizácia Na pracoviskách. Pri poškodení na pracoviskách (napríklad pri vymazaní programu alebo nesúladu kontrolné sumy Spustiteľné alebo konfiguračné súbory), automaticky nainštalovať príslušný softvér.
Pri inštalácii administrátora sa navrhuje vybrať jeden zo štandardných typov inštalácie alebo vlastnej inštalácie. Štandardné typy sa používajú pri inštalácii na štandardných pracovných miestach a pokrývajú hlavné štandardné možnosti organizovania pracovných miest na základe ASS 3.0. Každý štandardný typ definuje sadu inštalovaných softvérových produktov, konfiguráciu disku, sadu súborových systémov a radu systémových nastavení. Vlastná inštalácia nám umožňuje explicitne nastaviť všetky uvedené vlastnosti konečného systému do výberu jednotlivých softvérových balíkov. Keď vyberiete vlastnú inštaláciu, môžete nainštalovať zadok 3.0 OS do počítača s už nainštalovaným iným OS (napríklad Windows NT).
Msvs 3.0 vstupuje jeden systém Dokumentácia (ECD) s informáciami o najrôznejších aspektoch funkcie systému. ESD sa skladá z dokumentačného servera a databázy obsahujúcej popisy popisov, prístup, ktorý je možný prostredníctvom prehliadačov. Pri inštalácii ďalšieho softvéru sú zodpovedajúce referenčné úseky nastavené na databázu EDD. ESD je možné umiestniť lokálne na každom pracovisku, alebo v oblasti ISWS môže byť pridelený špeciálny dokumentovací server. Táto možnosť je užitočná na používanie veľkého rozmeru v doménach MSVS uložiť celkový priestor na disku, zjednodušiť proces aktualizácie správy a dokumentácie. Prístup k dokumentácii z iných úloh je možný prostredníctvom webového prehliadača dodávaného s MSVS 3.0.
MSA 3.0 sa rusfikuje v alfanumerických a grafických režimoch. Virtuálne terminály sú podporované, prepínanie medzi ktorými sa vykonáva pomocou kombinácie kľúčov.
Kľúčovým bodom z hľadiska integrity systému je registračná prevádzka nových užívateľov ISP, keď sú definované atribúty používateľa vrátane atribútov zabezpečenia, v súlade s ktorými systém riadenia prístupu bude pokračovať v kontrolovaní používateľa. Základom modelu mandátu sú informácie zadané pri registrácii nového používateľa.
Na implementáciu diskrečnej kontroly prístupu sa používajú tradičné mechanizmy pre UNIX mechanizmy prístupových práv a prístupových práv na prístup (ACL - Access Control List). Obe mechanizmy sú implementované na úrovni súborového systému Ass 3.0 a slúžia na nastavenie práv na prístup k objektom súborového systému. Bity vám umožní určiť práva pre tri kategórie užívateľov (vlastník, skupina, iné), ale toto nie je pomerne flexibilný mechanizmus a aplikuje sa pri špecifikácii práv pre väčšinu súborov OS, najpoužívanejšia časť používateľov je rovnako použitá. Pomocou zoznamov ACL môžete nastaviť práva na úrovni jednotliví používatelia a / alebo užívateľské skupiny, a tým dosiahnuť významný detail v úlohe práv. Zoznamy sa používajú pri práci so súbormi, pre ktoré je potrebné, napríklad nastaviť rôzne prístupové práva pre viacerých konkrétnych používateľov.
technické údaje MSVS 3.0 OS:
| Parameter | Charakteristický |
| Systém bezpečnosti informácií | Vstavaný |
| Model ochrany informácií | Diskrečný model, mandátový model, vzor |
| Kompatibilita SZI s inými OS | "OMONYM-390VS", "OLIVIA", ISWS 5.0 |
| Jadro | 2.4.32 (2.4.37.9 v skutočnosti) |
| Systém mandátu | Ext2, ext3 |
| Podpora pre iné súborové systémy | FAT16, FAT32, NTFS (RO), ISO9660 |
| Dĺžka názvu súboru | Až 256 znakov |
| Grafický podsystém | X-okno. |
| Grafický systém | XORG-X11-7.3. |
| Typ | Klientsky server |
| Správca okien | ELK, TWM, KDE, ICEWM |
| Grafický plášť | ELK-1.9.9 |
| Podpora multiprocesorových systémov | Až 32 procesorov |
| Oz | 64 GB |
| Vstavané služby | DNS, FTP, Telnet, NTP, FTP, TFTP, SFTP, DHCP, RIP, BGP, OSPF, PPP, PPTP |
| Podporované pneumatiky | ISA, všetky PCI, SCSI, IDE, SATA, SAS, AGP, USB 2.0 |
| Vývojové nástroje v zložení: | |
| Programovacie jazyky | C / C ++, Perl, Python, Shell, TCL |
| C kompilátor C / C ++ | 2.95.4, 3.3.6, 4.1.3 |
| Systémová knižnica | GLIBC-2.3.6. |
| QT. | 4.6.3 |
| Debugger | GDB ver 6.8. |
| Možnosti inštalácie | CD-ROM, NGMD, sieť |
Inštalácia OS MSVS 3.0
V praktickej lekcii sa zváži proces inštalácie operačného systému ISP na PC alebo serveri počítačového sieťového servera. Proces inštalácie ICA 3.0 pozostáva z nasledujúcich krokov:
- Načítanie počítača alebo počítačového sieťového servera z média informácií, na ktorých sa distribúcia nachádza s ASS 3.0 OS. Po dokončení procesu načítania z média sa na obrazovke zobrazí obraz uvedený na obrázku. 2.1. Ak chcete pokračovať, stlačte tlačidlo<Ввод> (
).
Obrázok 2.1. Sprievodca spustením inštalácie 3.0.
- Konelu MSVS OS je inicializovaná a detekcia zariadenia, po ktorej je zobrazený obrázok zobrazený na obr. 2.2. Ak chcete pokračovať, kliknite na tlačidlo<Готово>.
Obrázok 2.2. Zariadenia zistené obrazovky.
- Na obrazovke sa zobrazí "pozdrav", prezentovaný na obr. 2.3. Ak chcete pokračovať, kliknite na tlačidlo<Да>.
Obrázok 2.3. Obrazovky "pozdravy".
- Vyberte model myši pripojeného k počítaču (Obr. 2.4). Vzhľadom k tomu, že "myš" manipulátor nebude použitá v ďalšej práci, mali by ste vybrať položku "NO MOUSE" a kliknite na tlačidlo<Да>.
Obrázok 2.4. Vyberte model myši pripojeného k počítaču.
- Značenie pevný disk - jeden z najviac zodpovedných momentov počas inštalácie OS ISA. Nie preto, že značka pevného disku je tak komplikovaná, ale pretože chyba povolená počas jeho chyby môže byť opravená len s veľkým ťažkostiam a tento proces môže byť plný straty údajov.
Táto kapitola sa zaoberá nasledujúcimi otázkami:
Používateľov;
Rozdiely medzi privilegovanými a neprivilným používateľom;
Prihlasovacie súbory;
Súbor / etc / passwd;
Súbor / etc / tieň;
Súbor / etc / gshadow;
Súbor /etc/login.defs;
Modifikácia informácií o zastaráňovaní hesla;
Základom bezpečnosti MSA je koncepcia používateľov a skupín. Všetky rozhodnutia o tom, čo je povolené, alebo nie je dovolené, aby sa užívateľ uskutočnil na základe toho, kto používateľ vstúpil do systému z hľadiska jadra operačného systému.
Všeobecný pohľad na používateľov
MSVS je multitaskingový multiplayerový systém. Povinnosti operačného systému zahŕňajú izoláciu a ochranu používateľov. Systém monitoruje každý z užívateľov a na základe toho, kto je tento užívateľ, určuje, či je možné poskytnúť prístup k určitému súboru alebo umožniť spustenie programu alebo iného.
Pri vytváraní nového používateľa je umiestnený v súlade s jedinečným menom
POZNÁMKA
Systém určuje oprávnenia používateľa na základe ID užívateľa (UserID, UID). Na rozdiel od používateľského mena nemusí byť UID byť jedinečný, v takom prípade je prvé nájdené meno, aby zodpovedali názvu používateľa, z toho, ktorý sa zhoduje s údajmi.
Každý nový zaznamenaný v systéme, užívateľ je ako dodržiavanie určitých prvkov systému.
Privilegované a neprivilní používatelia
Pri pridávaní nového používateľa do systému sa zvýrazní špeciálne číslo identifikátor používateľa (Userid, Uid). V Caldera MSVA, prideľovanie identifikátorov pre nových užívateľov začína 500 a pokračuje smerom k veľkému počtu, až 65 534. Čísla až 500 sú vyhradené pre systémové účty.
Všeobecne platí, že identifikátory s číslami menšie ako 500 nie sú odlišné od iných identifikátorov. Často program pre normálny fungovanie vyžaduje špeciálny používateľ Úplný prístup na všetky súbory.
Číslovanie identifikátorov začína 0 a pokračuje 65 535. UID 0 je špeciálna uid. Akýkoľvek proces alebo užívateľ s nulovým identifikátorom je privilegovaný. Takáto osoba alebo proces má neobmedzený výkon cez systém. Nič nemôže slúžiť ako zákaz. Kootový účet (účet, UID, ktorý je 0), tiež nazývaný účet superuser, VYTVÁRANIE POUŽÍVAŤ POUŽÍVAŤ POUŽÍVAHO POUŽÍVAŤ, AK NIE JE VLASTNÍKA, ALEBO NAJVYŠŠIE PRACOVNOSTI.
UID zostáva rovná 65 535. Nie je to tiež z obyčajného. Toto uid patrí nikomu (nikto).
Niekedy jeden zo spôsobov hackingu systému bolo vytvoriť používateľa s identifikátorom 65 536, v dôsledku čoho dostal privilégiá superuser. V skutočnosti, ak si vezmete nejaké UID a preložíte zodpovedajúce číslo do binárnej formy, dostanete kombináciu šestnástich binárnych vypúšťaní, z ktorých každá je buď 0 alebo 1. Ohromujúci počet identifikátorov obsahuje ako nuly a jednotky. Výnimkou je nula Uid superuser pozostávajúci z niektorých nuly a uidnobody, rovných 65535 a pozostávajúcej z 16 jednotiek, tj 111111111111111. Číslo 65 536 nie je možné umiestniť do 16 číslic - reprezentovať toto číslo v binárnej forme, ktoré potrebujete použiť 17 vypúšťanie. Najstarší výtok bude rovný jednotke (1), všetky ostatné sú nula (0). Čo teda sa stane pri vytváraní užívateľa s identifikátorom dĺžky 17 binárnych vypúšťaní - 1000000000000000000? Teoreticky užívateľ s nulovým identifikátorom: pretože len 16 binárnych výtokov je uvedených na identifikátor, 17-miestne nie je známe, a je zlikvidované. Preto je stratená jediná jednotka identifikátora a niektoré nuly zostávajú a nový užívateľ sa objaví v systéme s identifikátorom, a tým aj privilégiá, superuser. Ale teraz neexistujú žiadne programy v ASVS, ktoré by vám umožnili inštalovať UID na 65 536.
POZNÁMKA
Užívatelia s identifikátormi nad 65 536, je možné vytvoriť, ale nebude sa používať bez substitúcie / bin / prihlásenie.
Každý hacker sa určite pokúsi získať privilégiá superuser. Akonáhle ich dostane, ďalší osud systému bude úplne závisieť od jeho zámerov. Možno, že spokojný so skutočnosťou hackingu, nebude s ňou nič zlé a posielať vám list s popisom otvorov, ktoré našiel v bezpečnostnom systéme, bude navždy opustiť sám, a možno, a nie. Ak nie sú zámery hacknut hacker tak čisté, potom najlepšie, čo možno dúfať, je mať systém zlyhania.
Súbor / etc / passwd
Želáte si prihlásiť do systému, musí zadať používateľské meno a heslo, ktoré sú kontrolované na databáze používateľa uloženej v súbore / etc / passwd. V ňom sú uložené heslá všetkých používateľov. Pri pripájaní k systému sa zadané heslo skontroluje heslom, ktoré zodpovedá tomuto názvu, a ak je používateľ povolený v systéme, po ktorom sa spustí program zadaný pre toto užívateľské meno v súbore hesiel. Ak je to príkazový shell, užívateľ dostane možnosť zadať príkazy.
Zvážte zoznam 1.1. Toto je súbor passwd v starom štýle.
Zoznam 1.1. Súbor / etc / passwd v starom štýle
koreň: *: 1i DYWROMHMEBU: 0: 0: root :: / root: / bin / bash
bIN: *: 1: 1: BIN: / BIN:
démon: *: 2: 2: Démon: / Sbin:
aDM: *: 3: 4: ADM: / VAR / ADM:
lP: *: 4: 7: LP: / var / spool / LPD:
sync: *: 5: 0: Sync: / Sbin: / Bin / Sync
vypnutie: *: 6: 11: Vypnutie: / Sbin: / Sbin / Shutdown
hALT: *: 7: 0: HALT: / SBIN: / Sbin / Halt
mail: *: 8: 12: Mail: / var / spool / mail:
novinky: *: 9: 13: Novinky: / var / cievka / novinky:
uUCP: *: 10: 14: UUCP: / var / spool / UUCP:
operátor: *: 11: 0: Operátor: / root:
hry: *: 12: 100: Hry: / USR / Hry:
gOPHER: *: 13: 30: GOPHER: / USR / 1IB / GOPHER-DATY:
fTP: *: 14: 50: Používateľ FTP: / HOME / FTP:
mAN: *: 15: 15: Majiteľ manuálov: /:
majordom: *: 16: 16: Majordomo: /: / Bin / False
postgres: * 17: 17: Postgres User: / Home / Postgres: / Bin / Bash
mySQL: *: 18: 18: MySQL User: / usr / Local / var: / bin / false
silvia: 1idywromhmebu: 501: 501: Silvia Bandel: / Home / Silvia: / Bin / Bash
nikto: *: 65534: 65534: nikto: /: / bi n / false
david: 1idywromhmebu: 500: 500: David A. BANDEL: / HOME / DAVID: / BIN / BASH
Heslo súbor má pevne zadanú štruktúru. Obsah súboru je tabuľka. Každý riadok súboru je záznam tabuľky. Každý záznam sa skladá z niekoľkých oblastí. Polia súborov passwd sú oddelené hrubého čreva, takže hrubé črevo nie je možné použiť v žiadnom z polí. Celkovo existuje sedem polí: Užívateľské meno, heslo, ID používateľa, Identifikátor skupiny, pole GECOS (je to pole komentár), domovský adresár a prihlasovacie meno shell.
Prečítajte si viac o / etc / passwd
Prvé pole označuje používateľské meno. Malo by byť jedinečné - nie je možné, že dvaja používatelia systému majú rovnaký názov. Pole Názov je jediné pole, ktorého hodnota by mala byť jedinečná. V druhom poli sa uloží heslo používateľa. Aby bolo možné zabezpečiť ochranu systému, heslo je uložené v hasenej forme. Termín "hashish" v tomto kontexte znamená "šifrované". V prípade hesla je heslo šifrované podľa algoritmu des (datancypptionstandard). Dĺžka hesla, ktorá má v tejto oblasti, je vždy rovná 13 znakmi a niektoré znaky, ako sú hrubé črevo a jednoduchá citácia, sa nikdy medzi nimi nenachádzajú. Akákoľvek iná hodnota poľa, ktorá je odlišná od správneho hashového 13-znakového hesla, znemožňuje vstúpiť do tohto používateľa do systému, pre jednu mimoriadne dôležitú výnimku: Pole Heslo môže byť prázdne.
V druhom poli, nič, ani priestor, znamená to, že príslušný užívateľ nepotrebuje heslo na prihlásenie do systému. Ak zmeníte heslo uložené v poli pridaním akéhokoľvek znaku, napríklad jediný konverziaTento účet bude zablokovaný a príslušný používateľ nebude môcť prihlásiť. Faktom je, že po pridaní nelegálneho symbolu na 14-charakter hash, systém odmietol autentifikáciu používateľa s takýmto heslom.
V súčasnosti je dĺžka hesla obmedzená na osem znakov. Užívateľ môže zadávať a dlhšie heslá, ale iba prvý osem znakov bude významný. Prvé dva znaky hashového hesla sú semienko (Soľ). (Semeno sa nazýva číslo používané na inicializáciu šifrovacieho algoritmu. S každým zmenou hesla je semeno zvolené náhodne.) V dôsledku toho je počet všetkých možných permutácií dostatočne veľký, takže nie je možné zistiť, či sú používatelia V systéme s rovnakými heslami, jednoduché porovnanie hesiel hash.
POZNÁMKA
DictionarnatAck Attack označuje metódy hacking hesiel hrubým silou a znamená použitie slovníka a známeho semena. Útok je v interakcii všetkých slov slovníka, šifrovať ich s týmto semienkom a porovnávaním výsledku s hraničným heslom. V rovnakej dobe, okrem slov zo slovníka, niektoré úpravy ich úprav sa zvyčajne zvažujú, napríklad všetky písmená titulu, len prvé písmeno titulu a pridania číslic (zvyčajne len 0-9) koniec všetkých týchto kombinácií. Podobne môžete hack veľa jednoduchých hesiel.
Tretie pole označuje ID užívateľa. ID užívateľa nie je potrebné byť jedinečné. Najmä okrem užívateľa root môže existovať ľubovoľne iní používatelia s nulovým identifikátorom, a všetci majú privilégiá superuser.
Štvrté pole obsahuje identifikátor skupiny (GroupID, GID). Skupina uvedená v tejto oblasti sa nazýva skupina primárnej používateľskej skupiny (Základná skupina). Užívateľ môže patriť do niekoľkých skupín, ale jeden z nich musí byť primárnou skupinou.
Piaty pole sa teraz nazýva pole komentárov, ale jeho počiatočné meno je GECOS, z "GeconsolidatedoperationsSystem". Pri vyžiadaní informácií o používateľovi prostredníctvom prsta alebo iného programu, obsah tejto oblasti sa teraz vráti ako skutočné používateľské meno. Pole Komentáre môže byť prázdne.
Šiesty pole nastaví domovský adresár používateľa. Každý užívateľ musí mať svoj vlastný domovský adresár. Zvyčajne užívateľ, prihlásenie do systému, sa ukáže, že bude vo svojom domovskom adresári, ale ak neexistuje, spadá do koreňového adresára.
Siedme pole nastaví príkazový obal prihlásenia. Nie každý plášť môže byť uvedený v tejto oblasti. V závislosti od nastavení systému je možné zadať iba škrupina zo zoznamu prípustných škrupín. V ASWS, zoznam povolených škrupín je predvolený v súbore / etc / shells.
Súbor / etc / tieň
Majiteľ súboru / etc / tieň je užívateľom root a len má právo čítať tento súbor. Ak chcete vytvoriť, musíte si vziať používateľské mená a hashy heslá z súboru passwd a umiestniť ich do tieňového súboru, nahradenie všetkých hashových hesiel v symboloch súborov passwd. Ak sa pozriete na súbor passwd systému, môžete vidieť, že sú symboly x na stránke Heslá, ktoré má. Tento symbol označuje systém skutočnosti, že heslo je potrebné vidieť tu, ale v súbore / etc / tieň. Prechod z jednoduchých hesiel na tieň a chrbát sa vykonáva tromi nástrojmi. Ak chcete prejsť na tieňové heslá, prvá spustí PWCK. Kontroluje súbor passwd pre akékoľvek anomálie, vďaka ktorým môže ďalší krok ukončiť zlyhanie alebo jednoducho vyhrať. Po práci PWCK sa spustí nástroj PWCONV. To sa zvyčajne vykonáva po manuálnom aktualizovaní súboru / etc / passwd. Ak sa chcete vrátiť na bežné heslá, spustí Pwuncov.
Shadow Heslo súbor v mnohých smeroch je podobný súborom bežných hesiel. Najmä prvé dve polia týchto súborov sú rovnaké. Ale okrem týchto polí v ňom, prirodzene, existujú ďalšie polia, ktoré chýbajú v normálnom hesle. Zoznam 1.2. Zobrazuje obsah typického / etc / tieňového súboru.
Zoznam 1.2. Súbor / etc / tieň
root: 1idywromhmebu: 10792: 0 :::: 7: 7 ::
bin: *: 10547: 0 :: 7: 7 ::
démon: *: 10547: 0 :: 7: 7 ::
aDM: *: 10547: 0 :: 7: 7 ::
lP: *: 10547: 0 :: 7: 7 :::
sync: *: 10547: 0 :: 7: 7 ::
vypnutie: U: 10811: 0: -1: 7: 7: -1: 134531940
hALT: *: 10547: 0 :: 7: 7 ::
mail: *: 10547: 0 :: 7: 7 ::
novinky: *: 10547: 0 :: 7: 7 ::
uUCP: *: 10547: 0 :: 7: 7 ::
operátor: *: 10547: 0 :: 7: 7 ::
hry: *: 10547: 0: 7: 7 ::
gopher: *: 10547: 0 :: 7: 7 ::
fTP: *: 10547: 0 :: 7: 7 ::
mAN: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mySQL: *: 10547: 0 :: 7: 7 ::
si1VIA: 1IDEWROMHMEBU: 10792: 0: 30: 7: -L ::
nikto: *: 10547: 0 :: 7: 7 ::
david: 1idywromhmebu: 10792: 0 :: 7: 7 :::
Podrobnosti / etc / Shadow
Účelom prvého poľa Shadow File je rovnaké ako prvé pole Passwd File.
Druhé pole obsahuje hash heslo. Implementácia tieňových hesiel v MSVS umožňuje nenávidené heslá s dĺžkou 13 až 24 znakov, ale program Crypt Password Encryption je schopný vyrábať iba 13-symbolové hash heslá. Znaky používané v hash sa odoberajú zo súpravy pozostávajúcej z 52 písmen abecedy (malé a veľké písmená), čísla 0-9, body a naklonené funkcie vpravo (/). Ukazuje 64 znakov prípustných v poli Hashed Password.
Semeno, teda, ktoré, ako predtým, je prvé dva znaky, môžu byť vybrané zo 4096 možných kombinácií (64x64). Pre šifrovanie sa des algorithm používa s 56-bitovým kľúčom, to znamená, že priestor kľúčov tohto algoritmu má 2 56 kľúčov, čo je približne 72 057 590,000,000,000,000,000 alebo 72 kvadrilónov. Číslo vyzerá impozantné, ale môžete vlastne vlastne mať veľmi krátky čas na presunutie všetkých kľúčov z priestoru tejto veľkosti.
Z tretieho poľa začína informácie o informáciách o zdieľaní hesla. Uloží počet dní od 1. januára 1970 na poslednú zmenu hesla.
Štvrté pole nastaví minimálny počet dní, kým sa môžete opätovne zmeniť. Kým od dátumu poslednej zmeny hesla nebude prejsť toľko dní, ako je uvedené v tejto oblasti, nie je možné zmeniť heslo.
Piate pole nastaví maximálny počet dní, počas ktorých môžete použiť heslo, po ktorom podlieha povinnej zmene. S kladnou hodnotou tohto poľa sa užívateľ pokúsi prihlásiť do systému po uplynutí hesla bude mať za následok príkaz hesla, ktorý nie je ako obvykle, ale v režime Povinného režimu zmeny hesla.
Hodnota z šiesteho poľa určuje, koľko dní pred uplynutím hesla by malo začať vydanie upozornenia. Po obdržaní varovania môže užívateľ začať vymyslieť nové heslo.
Siedme pole nastaví počet dní odo dňa, keď je heslo lisované, po ktorom je tento účet zablokovaný.
Predposledné pole ukladá deň blokovania účtu.
Posledné pole je vyhradené a nepoužité.
Prečítajte si viac o / etc / Group
Každý záznam súboru / etc / skupiny sa skladá zo štyroch polí oddelených hrubého čreva. Prvé pole nastaví názov skupiny. Ako užívateľské meno.
Druhé pole je zvyčajne prázdne, pretože mechanizmus hesla hesla sa zvyčajne nepoužíva, ale ak toto pole nie je prázdne a obsahuje heslo, každý používateľ sa môže pripojiť k skupine. Ak to chcete urobiť, musíte vykonať príkaz NEWGRP s názvom skupiny ako parametra, po ktorom sa zavádza správne heslo. Ak nie je zadané heslo pre skupinu, môžu sa pripojiť iba používatelia uvedené v zozname členov skupiny.
Tretie pole nastaví identifikátor skupiny (GroupID, GID). Význam je rovnaký ako ID užívateľa.
Toto pole je zoznam užívateľských mien, ktoré patria do skupiny. Používatelia sú zaradené čiarkou bez medzier. Primárna užívateľská skupina je indikovaná (povinná) v súbore passwd a priradí, keď je používateľ pripojený k systému na základe týchto informácií. V súlade s tým, ak zmeníte primárnu skupinu používateľa v súbore passwd, užívateľ sa už nebude môcť pripojiť k svojej bývalej primárnej skupine.
Súbor /etc/login.defs.
Môžete pridať nového používateľa do systému niekoľkými spôsobmi. V zadku sa na tento program používajú tieto programy: Coastaol, Lisa, Userradd. Niečo vhodné pre ktorékoľvek z nich. Nástroj COAS používa svoj vlastný súbor. Programy UserAdd a Lisa majú predvolené hodnoty pre polia passwd a tieňového súboru z súboru /etc/login.defs. Obsah tohto súboru v skrátenej forme sú uvedené v zozname 1.4.
Zoznam 1.4. Skrátený súbor /etc/login.defs.
# Maximálny počet dní, počas ktorých je heslo povolené:
# (- 1 - Zmena hesla sa nevyžaduje) PASS_MAX_DAYS-1
Minimálny počet dní medzi posunymi hesiel: PASS_MIN_DAYSO
# Pre niekoľko dní pred dátumom zmeny hesla by sa malo vydať upozornenie: PASS_WARN_AGE7
# Aký počet dní musí prejsť po uplynutí skončenia platnosti hesla pred zablokovaním účtu: pass_inActive-1
# Vynútiť uplynutie využitia hesla na určený deň:
# (Dátum je identifikovaný počtom dní po 70/1/1, -1 \u003d Not Forcing) Pass_Expire -1
# Hodnoty integrovaných polí Účet pre UserAdd
# Team Default: Group100
# Home Katalóg:% s \u003d Užívateľské meno) Nome / Home /% S
# Príkazový plášť predvolený: Shell / Bin / Bash
Katalóg, v ktorom sa nachádza kostra domáceho katalógu: Skel / etc / Skel
# Minimálne a maximálne hodnoty pre automatický výber GID v GroupDdgid_min100
Obsah tohto súboru nastaví predvolené hodnoty pre súbory passwd a tieňových súborov. Ak ich nepoškodíte z príkazového riadka, budú použité. Ako východiskový bod sú tieto hodnoty celkom vhodné, avšak na implementáciu outdates hesiel, niektoré z nich budú musieť byť zmenené. Hodnota rovná -1 znamená žiadne obmedzenia.
V programe COAS sa rozloženie Caldera používa grafické užívateľské rozhranie
Ak chcete zmeni »informácie o hesle, pre jedného alebo dvoch používateľov, môžete použiť príkaz načiansky jazyk (opustenie - zmena zastarania). Nevrivilegované užívatelia môžu spúšťať konanie len s parametrami -l a ich vlastné používateľské meno, to znamená, že požiadajte o informácie o zastaraní len vaše vlastné heslo. Ak chcete zmeniť informácie o kurze, stačí na určenie používateľského mena, zostávajúce parametre budú požadované v dialógovom okne. Volanie z konania bez parametrov poskytne stručný odkaz na používanie.
Program COAS môže byť použitý na zmenu parametrov zdieľania hesla pre každú z účtov samostatne. V tomto prípade sú hodnoty uvedené v dňoch. Programové rozhranie je zrejmé.
Poznámka -
Ak chcete získať informácie o zastaranom hesle užívateľa alebo nútením tohto procesu, môžete použiť príkaz expiry.
Bezpečnostný systém RAMS
Hlavnou myšlienkou rámov je, že môžete vždy písať nový modul Bezpečnosť, ktorá adresovala súbor alebo zariadenie na informácie a vrátila výsledok vykonania postupu povolenia: Úspech (úspech), zlyhanie (zlyhanie) alebo ignorovať (ignorovať). A RAM, zase vráti úspech (úspech) alebo zlyhanie (zlyhanie), ktoré to spôsobilo. Nezáleží preto, aké heslá, tieň alebo obyčajné, sa používajú v systéme, ak existujú rámy: Všetky podporné rámy budú fungovať perfektne s tými a inými.
Teraz sa obrátime na zváženie základných princípov prevádzky RAM. Zvážte zoznam 1.6. Directory /etc/pam.d adresár obsahuje konfiguračné súbory pre iné služby, ako je Su, Passwd atď., V závislosti od toho, ktorý softvér je inštalovaný v systéme. Každá služba obmedzenia služieb (RestratedService) zodpovedá jeho konfiguračnému súboru. Ak nie je nikto, potom táto služba s obmedzením prístupu vstupuje na "Iné" kategóriu, s iným konfiguračným súborom. (Servisná reštrikčná služba sa nazýva akákoľvek služba alebo program na použitie, ktoré sa vyžaduje, aby sa podstúpil povolenie. Inými slovami, ak za normálnych podmienok, služba požiada o vaše používateľské meno a heslo, je to servisná reštrikčná služba.)
Zoznam 1.6. Prihlásenie konfigurácie súborov.
auth Vyžaduje PAM_SECURETTY.SO.
aUTL POŽADOVANÉ PAM_PWDB.SO.
aUTL POŽADOVANÝ PAM_NOGIN.SO.
#Auth požadovaný PAM_DIALUP.SO.
aUTLOVÉ VOĽNÉ PAM_MAIL.SO.
požadovaný účet PAM_PWDB.SO.
relácie požadované PAM_PWDB.SO.
session voliteľné PAM_LASTLOG.SO.
požadované heslo PAM_PWDB.SO.
Ako je možné vidieť zo zoznamu, konfiguračný súbor sa skladá z troch stĺpcov. Riadky začínajúce symbolom mriežky (#) sú ignorované. Modul PAM_DIALUP preto zmeškaný modul PAM_DIALUP (štvrtá línia zoznamu 1.6). Súbor má riadky s rovnakým tretím poľa - pam_pwd.so a prvý - auth. Použitie viacerých riadkov s rovnakým prvkom poľa sa nazýva akumulácia (stohovanie) modulov a umožňuje získať viacstupňové autorizáciu (stoh modulov), ktorý obsahuje niekoľko rôznych postupov autorizácie.
Prvý stĺpec je stĺpec typu. Typ je určený jedným zo štyroch znakových znakov: auth, účet, relácie a heslo. Obsah všetkých stĺpcov sa považuje za registráciu.
Typ AUTH (Authentication - Authentication) sa používa na objasnenie, či je užívateľ tí, ktorí sa dodávajú. Toto pravidlo sa to dosiahne porovnaním zadaných a uložených hesiel, ale sú možné aj iné možnosti.
Typ účtu (účet) Kontroly Ak je služba povolená používať tento používateľ, na akých podmienkach nie je heslo a tak ďalej.
Zadajte heslo (heslo) sa používa na aktualizáciu autorizačných značiek.
Typ relácie (relácie) vykonáva určité akcie, keď sa používateľ prihlási a kedy je užívateľ vychádzať zo systému.
Riadenie vlajok
Druhým stĺpcom je pole riadiacej vlajky, ktorá určuje, čo robiť po návrate z modulu, to znamená, že reakcia pamäte RAM k hodnotám úspechu (úspech), ignorovať (ignorovať) a zlyhanie ( Zlyhanie). Povolené hodnoty: potrebné, povinné, dostatočné a nepovinné. Z hodnoty v tomto poli závisí od toho, či budú spracované ostatné súbory.
Požadovaná vlajka nastaví najhoršie správanie. Spracovanie ľubovoľného riadku s požadovanou vlajkou, ktorého modul vrátil hodnotu zlyhania (zlyhanie) bude prerušená a služba, ktorá spôsobila, bude vrátená do zlyhania. Nebudú zvážiť žiadne iné riadky. Táto vlajka je dosť vzácna. Faktom je, že ak sa modul označený, sa vykonáva prvýkrát, potom moduly po jeho vykonaní, vrátane osôb zodpovedných za ťažbu, takže požadovaný príznak (povinný) sa zvyčajne aplikuje namiesto toho.
Požadovaný príznak nepreruší vykonávanie modulov. Bez ohľadu na to, čo je výsledok implementácie modulu označeného nimi: úspech (úspech), ignorovať (ignorovať) alebo zlyhanie (zlyhanie), rámy vždy prejdite na spracovanie nasledujúceho modulu. Toto je najčastejšie používaná vlajka, pretože výsledok modulu sa nevráti, kým nie sú všetky ostatné moduly nefungujú, čo znamená, že sú definované moduly zodpovedné za protokolovanie.
Dostatočná vlajka (dostatočná) vedie k okamžitému ukončeniu spracovania riadkov a vrátenie hodnoty úspechu (úspech), za predpokladu, že modul označený hodnotou vrátila hodnotu úspechu (úspech) a predtým nespĺňalo modul s požadovanou vlajkou ktorý vrátil stav zlyhania (zlyhanie). Ak sa takýto modul splnil, dostatočná vlajka sa ignoruje. Ak modul označený týmto vlajkou vrátil hodnotu na ignorovanie (ignorovať) alebo zlyhanie (zlyhanie), potom sa dostatočná vlajka zobrazuje podobne ako voliteľná vlajka.
Výsledok vykonania modulu s voliteľnou vlajkou (voliteľné) sa berie do úvahy len vtedy, keď je jediným modulom v zásobníku, ktorý vrátil hodnotu úspechu (úspech). V opačnom prípade sa výsledok jeho vykonávania ignoruje. Neúspešné splnenie modulu, ktorý je teda označený, neznamená zlyhanie celého procesu autorizácie.
Aby ste sa uistili, že užívateľ je schopný pristupovať k systému, moduly označené potrebným a požadovanými vlajkami by nemali vrátiť hodnoty poruchy (zlyhanie). Výsledok vykonávania modulu s voliteľnou vlajkou sa predpokladá len vtedy, ak je jediným modulom v zásobníku, ktorý sa vráti úspech (úspech).
Moduly RAM.
Tretí stĺpec obsahuje úplný názov súboru modulu spojeného s týmto reťazcom. V zásade môžu byť moduly umiestnené kdekoľvek, ale ak sú umiestnené v preddefinovanom adresári pre moduly, môžete zadať iba jedno meno, inak je potrebná cesta. V ISPS je preddefinovaný katalóg / lib / bezpečnosť.
Štvrtý stĺpec je určený na prenos dodatočných parametrov do modulu. Nie všetky moduly majú parametre, a ak existujú, nemusia sa používať. Prenos modulu parametra vám umožňuje zmeniť svoje správanie jedným alebo iným.
Zoznam 1.7 obsahuje zoznam rámcových modulov, ktoré sú súčasťou MSVS.
Zoznam 1.7. Zoznam modulov rámov zahrnutých v MSVS
pam_rhosts_auth.so.
pam_securetty.so.
pam_unix_acct.so.
pam_unix_auth.so.
pam_unix_passwd.so.
pam_unix_session.so.
O moduloch Viac informácií
Modul PAM_ACCESS.SO sa používa na poskytovanie / zakázanie prístupu na základe súboru /etc/security/access.conf. Riadky tohto súboru majú nasledujúci formát:
práva: Používatelia: Odkiaľ
Práva + (Povoliť) alebo - (zakázať)
Používatelia - všetky, užívateľské meno alebo užívateľ @ uzol, kde uzol zodpovedá názvu lokálneho stroja, inak je záznam ignorovaný.
Od miesta, kde je jeden alebo viac názvov terminálov (bez prefix / dev /), názvy uzlov, názvy domén (počnúc bodom), IP adries, všetky alebo miestne.
Modul PAM_CRACKLIB.SO kontroluje slovníkové heslá. Je navrhnutý tak, aby overil nové heslo a umožňuje zabrániť použitiu v systéme Ľahko popraskané heslá, ktoré sú považované za bežné slová, heslá obsahujúce opakované znaky a príliš krátke heslá. Existujú voliteľné parametre: Debug, typ \u003d a opakovať \u003d. Parameter Debug obsahuje informácie o ladení do protokolového súboru. Parameter typu, za ktorým nasleduje reťazec, zmení sa v predvolenom pozvaní NewUnixPassword: Slovo UNIX na zadaný reťazec. Parameter opakovania Nastaví počet pokusov poskytnutých používateľovi, aby zadali heslo, ktoré sa chyba vráti do vyčerpania (predvolený pokus).
Zvážte zoznam 1.8. Ukazuje obsah súboru / etc / pam.d / iné. Tento súbor obsahuje konfiguráciu používanú mechanizmom rámcov pre služby, ktoré nemajú vlastné konfiguračné súbory v adresári /etc/pam.d. Inými slovami, tento súbor sa vzťahuje na všetky služby neznáme do rámcového systému. Predstavuje všetky štyri typy autorizácie, auth, účtu, hesla a relácie, z ktorých každý spôsobuje modul PAM_DEY.SO označený zdvihnutou vlajkou. Vykonanie neznámej služby je teda zakázané.
Zoznam 1.8. Súbor /etc/pam.d/other.
auth Vyžaduje PAM_DEY.SO.
aUTL POŽADOVANÉ PAM_WARN.SO.
požadovaný účet PAM_DEY.SO.
heslo požadované PAM_DEY.SO.
požadované heslo PAM_WARN.SO.
relácie požadované PAM_DEY.SO.
Modul PAM_DIALUP.SO kontroluje, či chcete zadať heslo na prístup k vzdialenému terminálu alebo terminálu, ktoré používa súbor / etc / security / ttys.dialup. Modul je použiteľný nielen do TTY, ale všeobecne k akémukoľvek terminálu TTY. Keď je potrebné heslo, skontroluje sa so súborom / etc / security / passwd.dialup. Zmeny v súbore passwd.dialup vykonávajú program DPASSWD.
Modul PAM_GROUP.SO je kontrolovaný v súlade s obsahom súboru /etc/security/group.conf. Tento súbor označuje skupiny, ktorých členom môže byť používateľom uvedeným v súbore pri vykonávaní určitých podmienok.
Modul PAM_LASTLOG.SO vstúpi do informácií o pádových súboch o tom, kedy a od miesta, kde používateľ vstúpil do systému. Zvyčajne je tento modul označený typom relácie a voliteľnou vlajkou.
Modul PAM_LIMITS.SO vám umožňuje uložiť rôzne obmedzenia používateľov, ktorí sú prihlásení. Tieto obmedzenia sa nevzťahujú na užívateľa root (alebo iný používateľ s nulovým identifikátorom). Obmedzenia sú stanovené na prihlasovacej úrovni a nie sú globálne alebo trvalé, konajú len v rámci toho istého vstupu.
Modul PAM_LASTFILE.SO prijíma určitý záznam (položka), porovnáva ho so zoznamom v súbore a na základe výsledkov porovnania, vráti úspech (úspech) alebo zlyhanie (zlyhanie). Parametre tohto modulu sú nasledovné:
Položka \u003d [Terminál Remote_Uzel | Vzdialený používateľ Skupina | Puzdro]
SENSE \u003d (stav, ktorý sa má vrátiť, keď sa záznam nachádza v zozname, inak je stav oproti zadanej)
súbor \u003d / Full / Path / a / File_Name - ONERR \u003d (Aký stav sa vráti v prípade chyby)
ARR1U \u003d [user | @ GROUP] (Určuje používateľa alebo skupinu, na ktoré sa používajú obmedzenia. Má zmysel len pre položku Zobrazenie záznamov \u003d [Terminál | Remote_uelle | Puzdro], pre položku Zobraziť záznamy \u003d [User | Remote User | Skupina] ignorované)
Modul PAM_NOGIN.SO sa používa pri autorizácii typu auth s požadovanou vlajkou. Tento modul kontroluje, či existuje súbor / etc / nologin, a ak nie, potom vráti hodnotu úspechu (úspech), inak sa obsah súboru zobrazí používateľovi a vráti hodnotu poruchy (zlyhanie). Tento modul sa zvyčajne používa v prípadoch, keď systém ešte nie je úplne vstúpil do prevádzky alebo dočasne zatvorený pre údržbu, ale nie je odpojený od siete.
Modul PAM_PERMIT.SO je voliteľný pre modul PAM_DEY.SO. Vždy vráti hodnotu úspechu (úspech). Všetky prenosné parametre modulom sa ignorujú.
Modul PAM_PWDB.SO poskytuje rozhranie pre súbory passwd a tieňových. Možné sú nasledujúce parametre:
Debug - Informácie o nahrávaní ladíkov do súboru denníka;
Audit - Ďalšie informácie o ladení pre tých, ktorí nie sú dostatočné riadne informácie o ladení;
Použitie_first_pass - nikdy nepožiadajte o heslo pre používateľa a vyberte ho z predchádzajúcich modulov zásobníkov;
Try_first_pass - Snažte sa získať heslo z predchádzajúcich modulov, v prípade, že nepožiadajte o používateľa;
USE_AUTHTOK - Vráťte hodnotu zlyhania (zlyhanie) Ak nie je nainštalovaný PAM_AUTHTOK, nepožiadajte o heslo pre používateľa a vyberte ho z predchádzajúcich modulov zásobníkov (len pre stohu hesiel modulov);
Not_set_pass - Neinštalujte heslo z tohto modulu ako heslo pre následné moduly;
Tieň - udržiavať systém tieňových hesiel;
Unix - Umiestnite heslá do súboru / etc / passwd;
MD5 - Po ďalšom zmene hesla použite heslá MD5;
BIGCRYPT - S ďalším zmenou hesla použite Heslá DECC2;
NODELAY - vypnúť jedno-acean oneskorenie neúspešným autorizáciou.
Modul PAM_RHOSTS_AUTH.SO umožňuje / zakazuje použitie súborov.Rhosts alebo hosts.equiv. Okrem toho umožňuje / zakazuje použitie "nebezpečných" záznamov v týchto súboroch. Parametre tohto modulu sú nasledovné:
No_hosts_equiv - ignorovať súbor /etc/hosts.equiv;
No_rhosts - ignorovať súbor / etc / rhosts alebo ~ / .rhosts;
Debug - k informáciám o ladeniach;
NoTarn - Nezobrazujte upozornenia;
Potlačenie - nevykonávajte žiadne správy;
Promiskuitné - umožňujú použitie symbolu "+" zástupného znaku v akomkoľvek poli.
Modul PAM_ROOTOK.SO vráti hodnotu úspechu (úspech) pre každého používateľa s nulovým identifikátorom. Byť označený dostatočnou vlajkou, tento modul umožňuje prístup k službe bez zadania hesla. Parameter na module je len jeden: Debug.
Modul PAM_SECURETTY.SO možno použiť len na superuktures. Tento modul pracuje s súborom / etc / secretty, ktorý umožňuje, aby sa superus prihlásil do systému len cez svorky uvedené v tomto súbore. Ak chcete povoliť vstupného vstupu do systému cez Telnet (TTYP Pseudo-Terminal), potom by ste mali buď pridať reťazec na tento súbor pre TTYP0-255, alebo aby ste komentovali volanie PAM_SECURETTY.so v prihlasovacom súbore.
Modul PAM_SHELLS.SO vráti hodnotu úspechu, ak je v zozname Shell uvedený v zozname Shell uvedený v súbore / etc / passwd súboru. Ak súbor / etc / passwd nepriradí žiadnu škrupinu, začína / bin / sh. Ak súbor / etc / passwd špecifikuje shell, ktorý chýba v zozname / etc / shells, modul vráti hodnotu poruchy (zlyhanie). Právo na zápis do súboru / etc / shells by mal mať len superuser.
Modul PAM_STRESS.SO sa používa na ovládanie hesiel. Má mnoho parametrov, vrátane neustáleho ladenia, ale vo všeobecnosti sú všetky parametre iba dva záujmy:
Rootok - Umožnite Superuser zmeniť používateľské heslá bez zadania starého hesla;
Expired - S týmto parametrom sa modul vykoná, ako keby bolo heslo používateľa platné.
Iné parametre modulu vám umožňujú vypnúť niektorý z týchto dvoch režimov, použite heslo z iného modulu alebo prejdite heslo na iný modul, atď tu nebudem zvážiť všetky parametre modulu, takže ak máte potrebu používať Špeciálne funkcie tohto modulu, prečítajte si ich popis v dokumentácii modulu.
Modul PAM_TALLY.SO v súboroch /etc/pam.d. Tento modul vypočíta pokusy o povolenie. S úspešným prechodom autorizácie je možné resetovať počet pokusov. Ak počet neúspešných pokusov o pripojenie prekročilo určitú prahovú hodnotu, môže byť zakázaný prístup. Štandardne sú informácie o pokusoch umiestnené v súbore / var / log / FAILLOG. Globálne parametre sú nasledovné:
Onerr \u003d - čo robiť, ak sa vyskytla chyba, napríklad nebolo možné otvoriť súbor;
Súbor \u003d / Full / Path / a / File_Name - Ak nie je, použije sa predvolený súbor. Nasledujúci parameter dáva zmysel len pre Typ AUTH:
NO_MAGIC_ROOT - zahŕňa počítanie počtu pokusov o superuser (predvolené nie je vykonané). Užitočné, ak je vstupný vstup povolený systém cez Telnet. Nasledujúce parametre majú zmysel len pre typ účtu:
Deny \u003d N - Access Access po N pokusoch. Pri použití tohto parametra sa správanie modulu reset / no_reset mení štandardne s NO_RESET na reset. To sa deje pre všetkých používateľov, s výnimkou užívateľa root (UID 0), pokiaľ nie je použitý parameter NO_MAGIC_ROOT;
NO_MAGIC_ROOT - Neignorujte parameter odmietnutia pre pokusy používateľa root. Pri použití v spojení s popieraním \u003d parametrom (pozri skôr), správanie resetovania je štandardne nastavené pre užívateľa root, ako pre všetkých ostatných používateľov;
Even_Dey_Root_Account - Umožňuje uzamknutie účtu Superuser, ak je parameter NO_MAGIC_ROOT. Toto je vydané upozornenie. Ak sa parameter NO_MAGIC_ROOT nepoužíva, potom bez neúspešných pokusov o pokusy o superuser, na rozdiel od bežných používateľov, nikdy nebude zablokovaný;
Reset - resetovanie počítadla počtu pokusov o úspešný vchod;
No_Reset - neuspokojí počet pokusov o úspešný vchod; Používa sa štandardne, pokiaľ nie je zadaný parameter odmietnutia \u003d.
Modul PAM_TIME.SO vám umožňuje obmedziť prístup k službe v závislosti od času. Všetky pokyny pre jeho konfiguráciu nájdete v súbore / etc / security / time.conf. Nemá parametre: Všetko je nastavené v konfiguračnom súbore.
Modul PAM_UNIX sa zaoberá problematikou obvyklého oprávnenia ISWS (zvyčajne namiesto modulu používa PAM_PWDB.SO). Fyzicky tento modul sa skladá zo štyroch modulov, z ktorých každý zodpovedá jednému z typov rámcov: pam_unix_auth.so, pam_unix_ssion.so, pam_unix_asswd.so a pam_unix_passwd.so. Moduly pre typy účtov a autorských parametrov nemajú. Modul pre Parameter Typ passwd je len jeden: prísny \u003d false. Ak je k dispozícii, modul nekontroluje heslá pre odolnosť voči hackingu, čo vám umožní používať ľubovoľné, vrátane nebezpečných (ľahko uhádnuť alebo vybrané) heslá. Modul typu relácie chápe dva parametre: ladiť a sledovať. Informácie o ladenia parametra debug sú umiestnené v súbore protokolového protokolu o debug, ako je uvedené v syslog.conf, a informácie o parametri sledovania sú spôsobené jeho citlivosťou - v protokole AULCHPRIV.
Modul PAM_WARN.SO zaznamenáva správu o jeho volaní na syslog. Parametre nemá č.
Modul pam_wheel.so umožňuje nadpripučníkov len členom skupiny kolies. Skupina kolesa je špeciálna systémová skupina, ktorej členovia majú veľké privilégiá ako obyčajní používatelia, ale menšie ako superuser. Jeho prítomnosť znižuje počet užívateľov systému s výsadami superuser, čím ich robí členov skupiny kolies, a tým zvýšiť bezpečnosť systému. V prípade, že SuperUser môže byť prihlásený iba s použitím terminálu, tento modul môže byť použitý na vykonanie neprístupnej práce pre používateľov prostredníctvom Telnet s výsadami Superuser, odmieta ich prístup, ak nepatria do skupiny Wheelmoduil, používa nasledujúce parametre:
Debug - protokolovanie informácií o ladeniach;
Použitie_UID - definícia príslušnosti na základe aktuálneho ID užívateľa, a nie to, čo mu bolo priradené pri vstupe do systému;
TRUST - V prípade užívateľov pobočiek na skupinu kolesa, vráťte hodnotu úspechu (úspech) a nie ignorovať (ignorovať);
Odmietnuť - Zmení význam postupu na opak (refundáciu neúspešné). V kombinácii so skupinou \u003d umožňuje odmietnuť prístup k príslušníkom tejto skupiny.
Poznámka -
Katalóg / atď / Bezpečnosť je priamo súvisí s adresárom /etc/pam.d., pretože obsahuje konfiguračné súbory rôznych rámových modulov spôsobených v súboroch /etc/pam.d.
Záznamy RAM v protokolových súboroch
Zoznam 1.9. Obsah / var / log / bezpečný
11.04:45:14 Chiriqui PAM_PWDB: (SU) Session otvorená pre root používateľa
Jan 11 16:45:25 Chiriqui PAM_PWDB: (SU) Session Zatvorené pre root užívateľa
11. januára 17:18:06 Chiriqui Prihlásenie: Nepodarilo sa prihlásiť 1 z (null) pre david,
Zlyhanie autentifikácie.
Jan 11 17:18:13 Chiriqui Prihlásenie: Failed login 2 z (null) pre David.
Zlyhanie autentifikácie.
11. januára 17:18:06 Chiriqui Prihlásenie: Nepodarilo sa prihlásiť 1 z (null) pre DAVID.
Zlyhanie autentifikácie.
11. januára 17:18:13 Chiriqui Prihlásenie: Zlyhané prihlásenie 2 z (null) pre david,
Zlyhanie autentifikácie.
11.04:18:17 Chiriqui PAM_PWDB: (Login) Session Otvorené pre užívateľa DAVID
11.04:18:17 Chiriqui - David: Prihlásiť sa na TTYL podľa DAVID
11.04:18:20 Chiriqui PAM_PWDB: (Login) Session Zatvorené pre užívateľa DAVID
Každé nahrávanie sa spustí od názvu dátumu, času a uzla. Potom názov rámového modulu a identifikátor procesu uzavretý v hranatých zátvorkách. Potom sa v zátvorkách prichádza názov obmedzenia služieb. Pre zoznam 1.9 je buď SU alebo prihlásenie. Po názve služby buď "sessionOsed" (relácia je otvorená) alebo "sessionclosed" (relácia je zatvorená).
Záznam, ktorý nasleduje po zázname s "sessionOsed", je posolstvo o zadaní systému, z ktorého môžete zistiť, kto a odkiaľ vstúpil do systému.
Zohľadňujú sa tieto otázky:
Aká je predvolená skupina používateľov a súkromné \u200b\u200bskupiny používateľov;
Zmeniť používateľa / skupiny;
Ako zmeniť užívateľa / skupiny ovplyvňuje grafické rozhranie;
Bezpečnosť a používatelia;
Bezpečnosť a heslá;
Ochrana heslom;
Výber dobrého hesla;
Hacking heslá.
Predvolená skupina
V súčasnosti neexistujú obmedzenia súčasného používateľa patriaceho len do jednej skupiny. Každý používateľ môže patriť súčasne viacerým skupinám. Na príkaz NEWGRP sa užívateľ stáva členom skupiny uvedenej v skupine, zatiaľ čo táto skupina sa stáva pre tohto používateľa. prihlasovacia skupina (Logingroup). Zároveň je užívateľ naďalej členom skupín, v ktorých zadal pred príkazom NewGRP. Prihlasovacia skupina je skupina, ktorá sa stáva vlastníkom skupiny užívateľských súborov.
Rozdiel medzi predvolenou skupinou a skupinami súkromných užívateľov je stupeň otvorenosti týchto dvoch schém. V prípade predvolenej schémy môže každý užívateľ čítať (a často zmeniť) iné užívateľské súbory. S súkromnými skupinami, čítanie alebo písanie súboru vytvoreného iným užívateľom je možné len vtedy, ak jej vlastník výslovne poskytol práva na tieto operácie iným používateľom.
Ak sa vyžaduje, aby sa používatelia mohli pripojiť a opustiť skupinu bez zásahu správcu systému, heslo môže byť priradené tejto skupine. Užívateľ môže používať privilégiá konkrétnej skupiny len vtedy, ak patrí k nemu. Tam sú dve možnosti: Buď patrí do skupiny od okamihu prihlásenia do systému, alebo sa stáva členom skupiny následne, potom, čo začal pracovať so systémom. Aby sa užívateľ mohol pripojiť k skupine, do ktorej nepatrí, heslo musí byť priradené tejto skupine.
Štandardne sa skupinové heslá nepoužívajú v ASWS, takže súbor Gshadow v adresári / etc nie je.
Ak neustále používate iba jeden z programov na správu používateľov, neustále používate jeden z programov - UserAdd, Lisa alebo Coas, - používateľské nastavenia súborov sú získané viac konzistentnejšie a jednoduchšie sprevádzané.
Výhodou predvolenej schémy s predvolenou skupinou je, že uľahčuje zdieľanie súborov, pretože sa nemusí starať o prístupové práva. Táto schéma znamená otvorený prístup k systému podľa princípu "všetko, čo nie je zakázané, je povolené."
Konfigurácia parametrov používateľa Štandardne je úloha s vysokou prioritou, ktorá okamžite nasleduje pri nastavení systému.
Súkromné \u200b\u200bskupiny používateľov
Súkromné \u200b\u200bskupiny užívateľov majú mená, ktoré sa zhodujú s užívateľskými menami. Súkromná skupina je vyrobená v prihlasovacej skupine, takže v predvolenom nastavení, to znamená, že ak atribúty adresárov nepredpisujú nič iné, je priradená ako majiteľ skupiny všetkých súborov tohto používateľa.
Výhodou súkromných skupín užívateľa je, že používatelia nemusia premýšľať o obmedzení prístupu k ich súborom: V predvolenom nastavení bude prístup k užívateľským súborom z momentu ich tvorby obmedzený. V ISWS, keď používate súkromné \u200b\u200bskupiny, môže užívateľ čítať alebo zmeniť iba súbory patriace. Okrem toho môže vytvoriť iba súbory len vo vašom domovskom adresári. Toto predvolené správanie je možné zmeniť správcom systému alebo používateľom, ako aj na úrovni individuálneho súboru, ako aj na úrovni adresára.
Existuje niekoľko príkazov, s ktorými môže užívateľ ovládať svoj názov a / alebo skupinu, ku ktorej patrí, alebo podľa názvu alebo skupiny, na ktorých sa program vykonáva. Jedným z týchto programov je newgrp.
Príkaz NEWGRP môže vykonávať ktorýkoľvek používateľ. Umožňuje mu pripojiť sa k skupine, na ktorú nepatrí, ale len vtedy, ak je pre túto skupinu priradené heslo. Tento príkaz vám nedovolí pripojiť sa k skupine bez hesla, ak nie ste členom tejto skupiny.
Príkaz NewGRP môže byť použitý v súvislosti so skupinou, ktorých člen je už užívateľom. V tomto prípade NEWGRP robí zadanú prihlasovaciu skupinu. Skupiny používateľov sú rozdelené do dvoch typov: Prihlasovacia skupina a všetky ostatné skupiny, na ktoré tento používateľ patrí. Užívateľ môže patriť do niekoľkých skupín, avšak skupina prihlasovacej skupiny v tomto používateľovi bude vždy pridelená vlastníkom skupiny používateľských súborov.
Okrem NEWGRP, CHGOWN A CHGRP Príkazy môžu byť tiež použité na riadenie príslušnosti súboru pre súbor alebo iného používateľa alebo skupiny.
NEWGRP Command Area v prostredí XWindow je obmedzená na program XTERM, v ktorom bol dokončený: V kontexte novej skupiny sa vykonajú iba programy prebiehajúce prostredníctvom tohto terminálu, a preto užívateľ nemôže zmeniť prihlasovaciu skupinu pre programy beží cez dispečer. Program, ktorý je vždy potrebné vykonať v kontexte sekundárnej skupiny, môže byť prebiehať prostredníctvom skriptu nastavenia požadovanej prihlasovacej skupiny pre neho.
Systém XWindow vždy predstavuje ďalšie ťažkosti. V tomto prípade tieto ťažkosti priamo nesúvisia s X a postupujte podľa pracovnej logiky / etc / skupiny a / etc / gshadow. Tí, ktorí nepoužívajú tieňové heslá pre skupiny, znepokojujúce najmä o tom, čo. V prípade X, nastavte skupinu chránenú heslom z jednoduchého skriptu, avšak pre sekundárne skupiny užívateľov, ktoré nevyžadujú vstup hesiel, zmena skupiny je mimoriadne jednoduchá. Nasledujúci scenár je nasledujúci:
sG - GIFS -C / USR / X11R6 / BIN / XV &
V dôsledku začiatku tohto skriptu sa spustí program XV, primárnou skupinou bude GIFS Group. Čo bolo potrebné na získanie.
Pre tých, ktorí používajú heslá tieňovej skupiny, pretože v tomto prípade, pri vykonávaní tohto skriptu sa na obrazovke zobrazí chybové hlásenie. Keď sú používatelia uvedené v súbore / etc / skupín, ktorýkoľvek z nich sa automaticky považuje za člena bezprostredne po prihlásení do systému. V prípade tieňového hesla sa však zoznam používateľov skupiny presunie do súboru / etc / gshadow, takže užívateľ prihlásený do systému nie je pripísaný strojom na svojich členov, ale môže sa pripojiť Príkaz NEWGRP alebo vykonajte akýkoľvek program z svojho mena s príkazom pomocou príkazu SG. Problém je, že z hľadiska x tento užívateľ (Čo nie je nutne, že užívateľ inicioval pracovnú reláciu x) nie je oprávnená nainštalovať pripojenie. Preto pre nechránené skupiny hesiel sa predtým zmenší scenár zmení takto:
xhosts + lozalhost.
sG - GIFS -C / USR / X11R6 / BIN / XV &
Pridané reťazec umožňuje prístup k obrazovke. nová skupina (Gifs). Pre väčšinu pracovných staníc by to nemalo viesť k žiadnym významným otázkam bezpečnosti, pretože tento riadok Len umožňujú prístup na obrazovku lokálnym používateľom uzla (na získanie pre viac informácií O X a XHOST Kontaktujte svoj Good Linux System Administrator Manuals).
POZNÁMKA
Pomocou servera X (najmä najmä s XDM alebo KDM) znamená rad jeho jemnosti, ešte viac zhoršuje grafickými aplikáciami, pretože môžu byť spustené nielen prostredníctvom príkazového riadku, ale aj pomocou ikony na grafickej pracovnej ploche.
Zmena používateľa
POZNÁMKA
Obyčajný užívateľ nemôže spôsobiť, že systém toľko poškodzuje ako neopatrný superuser môže urobiť. Dôsledky vášho preklepu ako superuser môžu byť veľmi fatálne, až k tomu, že všetky vaše systémové súbory (A všeobecne, všetky súbory uložené v systéme možno povedať, aby sa rozlúčili. V niektorých spoločnostiach, potom môžu povedať "zbohom" a vy.
Transformácia jedného používateľa v inom je velenie. Tím dostal svoje meno « náhradu. používateľa. » (Používateľská substitúcia), ale pretože najčastejšie sa používa na to, aby sa stal superuserom.
Príkaz su spôsobeného bez argumentov sa spýta používateľské heslo, po ktorom (prijímanie správneho hesla v odpovedi) vám urobí užívateľ root. Tento príkaz je servisná reštrikčná služba, takže všetky aspekty jeho bezpečnosti môžu byť nakonfigurované prostredníctvom súboru /etc/pam.d/su.
Poznámka -
SU Cirkulácia bez špecifikácie používateľského mena (s alebo bez neho alebo bez neho alebo bez), ako uviesť, že ste robili používateľa root.
Tento príkaz sudo umožňuje, aby obľúbené používateľom vykonali niektoré programy na právach superstuser, a u používateľa, ktorý sa odvoláva na tento príkaz, nie je požadovaný ako superuser heslo, ale jeho vlastné heslo. Použité sudo ako príkaz SG. Užívateľ vstúpi do SUDO Team_fer_mill, potom vaše heslo, a ak je to povolené, zadaný príkaz sa vykonáva v kontexte privilégií Superuser.
Bezpečnosť a používatelia
Užívatelia majú zvyčajne záujem len v tom, ako sa prihlásiť a spustiť programy, ktoré potrebujete. ZAPOJENIE ZAPOJENIA O CEZPEČNOSTI Z nich sa zobrazí až po strate dôležitých súborov. Ale vydrží dlho. Keď sa dozvedeli, že opatrenia boli prijaté, používatelia rýchlo zabudnú na akékoľvek opatrenia.
Všeobecne povedané, nie ich starostlivosť - bezpečnosť. Správca systému musí zvážiť, implementovať a udržiavať bezpečnostnú politiku, ktorá by umožnila používateľom vykonávať svoju prácu bez toho, aby boli rozptyľovaní otázkami ochrany.
Hlavné nebezpečenstvo systému, spravidla pochádza zvnútra, a nie vonku. Jeho zdroj (najmä vo veľkých systémoch) môže byť napríklad nahnevaný používateľ. Je však potrebné vyhnúť sa nadmernému podozreniu, keď je poškodenie spôsobené nevedomosťou pre zlé úmysel. O tom, ako chrániť užívateľov pred neúmyselným poškodením ich a zahraničných súborov je opísané v prvej časti knihy. Ako ukazuje prax, priemerný užívateľ nie je schopný poškodiť systém. Je potrebné starať sa o tých užívateľov, ktorí sú schopní nájsť medzery v ochranných mechanizmoch a sú naozaj schopní spôsobiť cielenú škodu systému. Títo užívatelia sú však zvyčajne málo a časom, keď sa stanú známymi, najmä ak viete, čo chcete venovať pozornosť. Riziková skupina zahŕňa používateľov, ktorí môžu na základe svojej pozície, alebo vďaka ich vzťahoch pristupovať k úrovni privilégií root. Ako budete zvládnuť materiál tejto knihy, zistíte, čo presne by ste mali považovať za príznaky hroziacich problémov.
Štandardne prijímajú používatelia plnú kontrolu nad svojimi domácimi katalógmi. Ak používate predvolenú skupinu, všetci používatelia systému patria do tej istej skupiny. Každý užívateľ má právo na prístup k domovom riaditeľov iných používateľov a súborov umiestnených v nich. Pri použití schémy so súkromnými skupinami užívateľov má niektorý z používateľov systému prístup len do svojho vlastného domovského adresára a domáce adresáre iných používateľov nie sú k dispozícii.
Ak sú potrebné, aby všetci používatelia systému všeobecný prístup K nejakej spoločnej súboru súborov sa odporúča vytvoriť všeobecný katalóg konkrétne na tieto účely niekde, začať skupinu, ktorej členovia by boli všetci používatelia (to môže byť skupina používateľov alebo akúkoľvek inú skupinu, ktorú ste vytvorili) a poskytli túto skupinu k tejto skupine príslušné prístupové práva k tejto skupine všeobecné katalóg. Ak chce užívateľ vykonať niektoré zo súborov, ktoré sú k dispozícii iným používateľom, môže jednoducho kopírovať do tohto adresára a zabezpečiť, aby tieto súbory patrili do tej istej skupiny, ktorú sú všetci užívatelia členovia.
Niektorí používatelia musia byť použité alebo jednoducho nemôžu robiť bez programov, ktoré nie sú zahrnuté v súprave ASC. Väčšina používateľov bude nakoniec získať množstvo vlastných súborov: Dokumenty, konfiguračné súbory, scenáre atď. Systém OpenLinux neposkytuje používateľom špeciálnu starostlivosť pri organizovaní svojich súborov, pričom táto úloha zanechaná správcovi systému.
Štruktúra adresárov vytvorených v domovskom adresári každého nového používateľa je určená obsahom adresára / etc / skel. Nasledujúce adresáre sú zvyčajne prítomné v typickom / etc / skel:
Tieto adresáre sa používajú na ukladanie (resp.) Binárne súbory, zdrojové súbory, súbory dokumentov a iných pestovaných súborov. Mnoho predvolených programov ponúka uloženie súborov určitých typov v jednej z týchto podadresárov. Po obdržaní vysvetlenia vymenovania katalógov, ktoré sú k dispozícii k dispozícii, používatelia, ktorí ich zvyčajne ochotne začnú používať, pretože ich eliminuje od potreby ich vymyslieť. Nezabudnite, aby adresár ~ / bin ako jeden z najnovších adresárov uvedených v premennej používateľskej cesty.
Bezpečnosť a heslá
Hovorí sa, že tam, kde je v poriadku, tam a prestávky, - toto vyhlásenie sa často pamätá, pokiaľ ide o význam hesiel v bezpečnostnom systéme. Všeobecne povedané, spoľahlivosť bezpečnostného systému je určená najmä množstvom faktorov, najmä to, čo MSV-systémové služby sprístupňuje externým používateľom (či už je používaný ako webový server, ak je možné ho zadať pomocou Telnet atď. ,).).). Ďalším definujúcim faktorom je používateľské heslá, ktorá nás privádza k inému faktoru - súlad s užívateľskými politikami. Jednoduchý používateľ nič nepozná bezpečnosti. Ak rešpektujeme používateľa a nechceme zmeniť svoj postoj k cenovým núteným metódam, mali by sme urobiť bezpečnostný systém pohodlný a zrozumiteľný pre to. Najťažšie poskytovať pohodlie. Všetko bezpečné zvyčajne nie je príliš pohodlné (keďže pohodlie predvídateľnosti a elementality nie sú kombinované s bezpečnosťou), a preto vstupuje do konfliktu s obvyklým správaním ľudí, ktorí uprednostňujú všetky možné spôsoby, ktorý je najvhodnejší. Nakoniec používatelia pracujú so systémom s cieľom vykonať ich zvertenú prácu a nepridávajú novú. V poriadku, užívatelia zámerne nešli pozdĺž cesty najmenej odporu pri práci s heslami, zvyčajne sa snažím vysvetliť, pre ktoré sú potrebné heslá a prečo je dôležité zachovať ich bezpečnosť. Je dôležité nie zo všeobecných pozícií, ako je "nízky bezpečnostný systém môže hack a ukradnúť alebo poškodiť dôležité súbory" a z pozície osobných záujmov užívateľa.
Väčšina používateľov pochopí dôležitosť e-mailu na ich prácu. Napriek tomu si neuvedomujú, že všetky zadané do systému pod ich menom dostane možnosť využiť svoj e-mail v ich mene proti nim. Opýtajte sa používateľa, či už používa e-mail na osobné účely. S najväčšou pravdepodobnosťou odpovie na to áno. Potom sa ho opýtajte, či musel vyriešiť e-mail Dôležité obchodné otázky. Nie je to menej ako tí, ktorí každý deň odpovedajú "nie". Aj v prípade negatívnej reakcie môžu niektorí obchodní partneri dobre zvážiť transakciu e-mailom ako záväznou ako transakcia telefonicky.
Potom vysvetliť používateľovi, že jeho e-maily majú niekedy rovnaký význam ako svoj osobný podpis. A hoci titulok elektronickej správy môže byť vo väčšine prípadov nahradený takáto substitúcia tiež nezákonná ako falošný podpis. Ale ak niekto, jedným alebo druhým, naučil sa heslo iného používateľa, vstúpi do systému pod jeho menom, potom to je, obrazne hovoriť, bude môcť prihlásiť podpisu inej osoby. Akákoľvek poštová zásielka poslaná bude technicky nerozoznateľná od pošty poslaného užívateľom sám. Prax poskytovania vstupných možností v rámci iného mena je nežiaduca a treba sa vyhnúť (výnimka je správcovia systému, ktorí používajú túto funkciu na testovanie prihlasovacích scenárov a užívateľských parametrov, ale na to nemusia poznať heslo používateľa). Nežiaduce javy by sa mali pripísať systému pod názvom niekoho iného (dokonca aj s povolením iného používateľa). Ako je to nežiaduce? Odpoveď na túto otázku je určená závažnosťou bezpečnostnej politiky podniku.
Užívatelia však musia pochopiť, že existujú aj iné nemenej nebezpečné spôsoby, ako získať neoprávnený prístup k svojmu účtu. Prípad je najbežnejší, keď užívateľ, obávajúci sa zabudnúť na heslo, robí to jednoduché zapamätať si, čo znamená hádať, alebo zaznamenáva heslo na kus papiera, ktorý je často pripojený k monitoru. Bezpečnostný systém hesiel je založený na dvoch veciach: konštantné užívateľské meno a periodicky sa meniace heslo. Väčšina ľudí nepovedie kódu kódu pre prístup k svojmu bankovým účtom, ale ich užívateľské heslo je ďaleko od toho, či je tak žiarliť. Aj keď na rozdiel od situácie s bankovým účtom, kde je konštantná časť, to znamená, že kreditná karta je fyzickým objektom, prístup, ktorý je stále potrebný na získanie konštantnej časti bezpečnostného systému heslom, to znamená, že používateľské meno je Známe každému (aspoň každý v rámci spoločností, s ktorými tento užívateľ uskutočnil korešpondenciu e-mailom). Preto, ak je variabilná časť zaznamenáva niekde alebo ľahko uhádne alebo je vybraný programom, ktorý prehltne slová zo slovníka, potom takýto účet nemožno považovať za dobre chránený.
Nakoniec, používatelia by si mali byť vedomí existencie tohto spôsobu prijímania hesla ako "sociálne inžinierstvo" (SOCIAALEGINEING). Väčšina z nás sa stretla vo svojom živote aspoň s jednou osobou, ktorá môže povedať "klzký ako už." Títo ľudia majú schopnosť presvedčiť ostatných ľudí, že sa uchyľujú na logické argument, aby im poskytli informácie, ktoré potrebujú. Ale toto nie je jediný možná metóda Zistite heslo niekoho iného. Niekedy to stačí rozliať.
Prostredníctvom opozície voči takýmto incidentom je pravidelná zmena hesla. Samozrejme, môžete zmeniť čas hesla za desať rokov, ale je lepšie nebrať medzery medzi zmenami príliš dlho, rovnako ako lepšie, aby ich a príliš krátke, napríklad raz za hodinu. Nemeňte heslo pre príliš dlhé prostriedky, ktoré sa vystavia riziku hackingu.
POZNÁMKA-
Penetrácia outsiderov v systéme pod zámienkou pravidelného používateľa môže mať smutné následky nielen pre súbory tohto používateľa, ale aj pre celý systém ako celok, pretože tým viac tento outsider bude vedieť o vašom systéme, Jednoduchšie bude nájsť škrty v jeho ochrane.
Upozorňujeme, že pred začatím práce, skript vykoná niektoré kontroly: či už beží na úrovni privilégií root, či už počiatočná uid je zaneprázdnený a tak ďalej. Avšak nie je možné povedať, že kontroluje všetko.
Hacking Heslo
Jedným zo spôsobov, ako overiť bezpečnosť systému, znamená to, že sa umiestni do miesta útočníka a pokúsil sa myslieť a konať ako človek, ktorý sa snaží rozbiť obranu. To znamená, že je potrebné chodiť medzi užívateľmi, kontrola, či nie je zaznamenané heslo pripojené k žiadnemu monitoru, nikto nechal nikoho na stole s kusom identifikačných dát na ňom, alebo "prejdú" len v tom rázore Používatelia vstupujú do systému (možno, bude možné si všimnúť, ako sa niektorý z nich vytočí heslo na klávesnici).
To tiež znamená, že by ste mali venovať pozornosť orientácii monitora používateľa, s prístupom k citlivým informáciám, aby ste zistili, či je viditeľná pre niekoho iného. Ďalej, keď títo užívatelia odchádzajú z ich pracoviska, či už spustia program šetriča obrazovky zablokovaný heslom a možno vyjsť zo systému alebo nerobiť nič?
ale najlepší spôsob, ako Skontrolujte, či silou heslom zabezpečenia a používateľské vzťahy k nej - skúste hack používateľských hesiel. Pravidelné vykonanie programu Hacking Heslo môže poskytnúť pomerne dobré hodnotenie pevnosti vášho systému ochrany heslom.
Ako zistiť, či je operačný systém podporovaný tento počítač?
Aké možnosti inštalácie poskytuje ASS 3.0 OS?
Aké sieťové protokoly podporujú inštalačný program?
V akich prípadoch je potrebné vytvoriť zavádzacie diskety?
Uveďte hlavné kroky inštalácie?
Aký bootloader sa používa na načítanie jadra OS?
Zoznam hlavných etáp načítania jadra?
Čo je lilo a lilo.conf?
Ako odstrániť Lilo a obnoviť zdrojový nakladač?
Aký je mechanizmus modulov jadra?
V ktorých prípadoch sú potrebné na používanie disku RAM?
Ako konfigurovať používanie disku RAM pri načítaní?
Čo sa líši zavádzacie diskety, bootnet a ovládače? Ako ich vytvoriť? Ako ich skontrolovať?
Aký je softvérový balíček, paketové závislosti?
Aké sú schopnosti manažérov balíkov?
Aký manažér balíka sa používa na správu softvéru?
Ako nainštalovať balík z disku CD v sieti?
Inštalácia OS MSVS 3.0
Hlavné štádiá inštalácie
Inštalácia z CD obsahuje nasledujúce kroky:
pozvánka na inštaláciu a pripomienku dokumentácie;
výber myšacieho manipulátora;
rozdeľovací disk do sekcií;
ladenie nakladač;
konfigurácia siete;
inštalácia názvu počítača;
výber časového pásma;
výber komplexov na inštaláciu;
inštalácia balíkov;
inštalácia hesla používateľa root;
vytvorenie zavádzacích disketov;
nastavenie grafickej karty a monitora;
Pri inštalácii siete pomocou servera musíte vytvoriť niekoľko ďalších predvolieb:
výroba sady disketových diskov a organizácie prístupový prístup na server;
výber možnosti inštalácie siete;
nastavenie siete a prístup k serveru.
Inštalácia z CD
Pred spustením inštalácie musíte nakonfigurovať bios počítača tak, že prvý v zozname načítavania zariadenia je CD a vložte disk CD s bootovacím modulom ISWS 3.0 do jednotky CD-ROM.
Ak BIOS nepodporuje topánku z disku CD, musíte dodatočne vložiť zavádzaciu disketu a nakonfigurujte BIOS počítača tak, aby prvá v zozname nakladacieho zariadenia bola disketa. Moderné počítače majú tendenciu podporovať topánku z disku CD, takže potreba zavádzacej diskety sa môže vyskytnúť len pri inštalácii ISP 3.0 na "starý" počítač.
Potom by ste mali reštartovať počítač. Na obrazovke monitora sa zobrazí pozvánka:
Vo formáte tejto výzvy je možné preniesť ďalšie nastavenia pre inštalačný program. Napríklad tím:
zavedenie: MCBC MEM \u003d 128m
informuje inštalačný program, ktorý hlasitosť náhodný vstup do pamäťe Tento počítač je 128 MB.
Ak chcete spustiť načítanie inštalačného programu, musíte stlačiť tlačidlo. Načítanie jadra MSA 3.0, nasledované diagnostickými správami, potom spustí inštalačný program, ktorý automaticky načíta ovládače jednotiek CD a ovládače pevného disku prítomné v počítači a podporované zadok 3.0.
Ak inicializácia skončila s chybou, znamená to, že pre tento typ jednotky CD alebo pevného disku musíte načítať ďalší ovládač. Inštalačný program ponúkne zoznam ovládačov, v ktorých chcete vybrať príslušný ovládač a kliknite na tlačidlo "Áno".
Ak sa stiahne vykonalo zo zavádzacej diskety, po spustení inštalačného programu sa zobrazí dialógové okno Disc Driver indikujúce disketu vodiča s ovládačmi na jednotku. Zároveň musí byť zavádzacia disketa odstránená a prilepte disketovou disketou.
Po stiahnutí požadovaných ovládačov sa na obrazovke monitora zobrazí pozvánka (obr. 9-1).
1.1.41. Mouset manipulátor
Nasledujúci text po pozvaní OS 3.0 sa zobrazí dialógové okno "Mouse Selection" (Obr. 9-2).Vyberte typ "myš", napríklad "normálna myš PS / 2" a ak "myš" má dve tlačidlá, môžete použiť emuláciu trojposchodového režimu. Ak to chcete urobiť, musíte aktivovať emuláciu tretieho tlačidla a kliknite na tlačidlo "Áno".
1.1.42. Odpojenie pevného disku k sekciám
Zobrazí sa dialógové okno "Rozhodnutie" (Obr. 9-3) a vyberie sa výber z nástroja pevného disku: "Automatické rozdelenie", disk DruId alebo FDISK.Vo väčšine prípadov sa vyskytne rozdelenie pevných diskov, diskových polí, objemy LVM v programe DRUID. Okrem toho je režim "AUTOMATICKÝ PRIEBEŽNÝ ROKTÍVNÝ" špeciálnym prípadom práce s Disk Druid s automatickým výpočtom proporcií miesta na disku v súlade s skutočne inštalovaným zariadením. Ak je to potrebné, nízkoúrovňová práca s pevným diskom je potrebné použiť nástroj FDISK.
Vyberte disk DruId a stlačte tlačidlo.
Zobrazí sa dialógové okno "Breiging" (Obr. 9-4), zobrazí sa zoznam dostupných diskov a existujúcich sekcií.
Aj v tomto okne sú tlačidlá na prácu s časťami: "NOVÉ", "EDIT", "Delete", "RAID", "áno", "späť".
V spodnom riadku sú uvedené rady pre používanie klávesov: "F1-HELP, F2-NEW, F3-EDIT, F4-Delete, F5-RESET, F12-YES."
Vo všeobecnom prípade je MSVS 3.0 nainštalovaný na počítači s čistým pevným diskom. V tomto prípade sa môžete rozbiť alebo používať program disku Druid alebo výber automatického oddielu.
Pre úspešnú inštaláciu zadku 3,0 stačí vytvoriť dva oddiely: koreňová časť "/" a sekcia swap (swap). Veľkosť koreňovej reze by mala byť najmenej 1 200 MB.
Katalógy / Boot, / Home, / Var, / TMP a iné môžu byť zlikvidované na samostatných sekciách. To vám umožňuje izolovať, napríklad, domáce užívateľské adresáre z koreňového súboru systému.
Pozornosť. V zadku 3.0 nie je možné umiestniť na samostatnú sektor adresár / usr!
Ak chcete, aby sa adresár do samostatnej časti, musíte vytvoriť sekciu s súborovým systémom "EXT3" a priradiť ho namontovaný bod zodpovedajúci katalógu.
Ak chcete vytvoriť sekciu, vyberte nové tlačidlo a stlačte tlačidlo. V dialógovom okne "Pridať časť", ktorá sa zobrazí (upravovať novú časť) (Obr. 9-5):
vyberte typ súborového systému (pre sekciu Swap - "Swap", v iných prípadoch - "EXT3").
veľkosť sekcie v megabajtoch (ak je to potrebné, môžete "roztiahnuť" oddiel na celý disk);
montážny bod, pre koreňovú sekciu - to je "/", pre sektor swap nie je požadovaný bod nastavenia.
Po ukončení práce na vytvorení oddielov v okne "Break" kliknite na tlačidlo "Áno".
Dialógové okno Uložiť zmeny sa zobrazí na obrazovke monitora.
Stlačte tlačidlo "ÁNO".
Ďalším krokom je formátovanie vytvorených sekcií. Dialógové okno s názvom "Pozor!" Sa zobrazí na obrazovke MNIT. a zoznam oddielov, ktoré budú naformátované, keď je stlačené tlačidlo "áno" (obr. 9-6).
1.1.43. Možnosť zavádzača
Na obrazovke sa zobrazí dialógové okno Konfigurácia "Loader" (Obr. 9-7). V tomto okne musíte vybrať možnosť inštalácie s nakladačom alebo bez neho. Bootloader umožňuje mať niekoľko možností pre jeho štart v systéme, alebo vyberie načítaný OS (ak je viac ako jeden). V režime bez nakladača bude jadro ISP 3.0 monopultivo zaťaženie v tomto systéme.
Stlačte tlačidlo "ÁNO".
Ďalej sa na obrazovke zobrazí dialógové okno (obrázok 9-8) s návrhom na zadanie dodatočných parametrov, ktoré sa použijú pri načítaní. V predvolenom nastavení je režim LBA32 nainštalovaný v tomto okne (pomocou 32-bitových logických adries blokov pevného disku), pretože tento režim vo väčšine prípadov je potrebný na podporu veľkého kontajnerového disku.
Ak máte spisovateľ IDE-Drive IDE, v oblasti vstupu parametrov, inštalátor umiestni reťazec typu "HDC \u003d IDE-SCSI" (napríklad v prípade, ak je jednotka pripojená do hlavného režimu na druhý IDE Controller ).
Ak žiadne iné parametre nemusia prenášať žiadne iné parametre, odporúča sa nemeniť parametre navrhnuté inštalačným programom a kliknite na tlačidlo "Áno".
Nasledujúci postup v nastavení zavádzača je úloha hesla na zmenu prístupu. spustenie parametrov Systémy. Keďže ak máte bootloader, je možné preniesť špecializované parametre jadra z klávesnice, keď sa systém spustí, potom zabezpečiť požadovanú úroveň bezpečnosti táto funkcia Chráni heslo. V nasledujúcom dialógovom okne, ktoré sa zobrazí (obr. 9-9) zadajte heslo, ktorej veľkosť by nemala byť menšia ako 8 znakov. Potvrďte heslo opätovným zavedením na nasledujúci riadok okna.
Stlačte tlačidlo "ÁNO".
Na obrazovke sa zobrazí dialógové okno Výber dialógového okna (Obr. 9-10), s návrhom na určenie druhého topánkyktorý je možné stiahnuť pomocou bootloader ASWS 3.0. Napríklad, ak je na počítači iný operačný systém, môžete ho priradiť etiketu a nahrať pomocou zadok 3.0 OS Bootloader.
Zadajte potrebné údaje do príslušných riadkov a kliknite na tlačidlo YES.
V ďalšom okne (Obr. 9-11), umiestnenie zavádzača je nastavené na disk. Možné sú dve možnosti: Hlavný zavádzací záznam (MBR) pevného disku (odporúča sa vo väčšine prípadov), alebo zavádzací sektor (zavádzací záznam) zodpovedajúceho oddielu, kde sa inštalácia vykonáva.
Vyberte a stlačte tlačidlo "ÁNO".
1.1.44. Sieťová sieť
V prípade detekcie inštalačného programu aspoň jeden internetová kartaObrazovka sa zobrazí postupnosť dialógového okna "Nastavenie siete pre EthX" (obr. 9-12), kde X je poradové číslo, v ktorom sú parametre nakonfigurované pre každú sieťovú kartu.
Protokoly automatické nastavenie Sieťové parametre BOOTP A DHCP sa používajú, ak je v sieťovej konfiguračnej službe, ktorý poskytuje automatickú konfiguračnú službu na požiadanie klientskeho počítača.
Ak chýba server DHCP, musíte explicitne nainštalovať parametre siete, pre ktoré vyberte možnosť "Aktivovať pri zavádzaní". Potom sa v okne zvýrazní viacerí riadky, v ktorom musia byť špecifikované parametre sieťového pripojenia.
Sieťové adresy sú prezentované vo formáte desaťročia (napríklad 192.168.1.1). Informácie o plnení poľa musia poskytnúť správca siete.
Sieťová adresa - IP adresa počítača v sieti.
Sieťová maska \u200b\u200bje parameter charakterizujúci triedu segmentu siete.
Predvolená brána je uzol, ktorý slúži komunikácie tejto lokálnej siete s externými sieťovými segmentmi.
Primárny názov servera - uzol, ktorý podporuje službu REZERVOVANIA DOMÁNYCH NÁZOV VIA DNS PROTOKOLU V IP Adrese. Vo vhodných poliach zadajte IP adresy ďalších serverov (DNS). Ak sa v sieti používa jedno meno server, tieto polia môžu byť prázdne.
Stlačte tlačidlo "ÁNO".
|
|
| Obr. 9-13. Inštalácia názvu počítača. |
|
|
| Obr. 9-14. Výber časovej zóny. |
Potom musíte nastaviť názov počítača. Na obrazovke sa zobrazí dialógové okno "Install Computer Názov" (Obr. 9-13), v ktorom by malo byť zodpovedajúce pole naplnené. Názov musí byť tiež koordinovaný so správcom siete.
Stlačte tlačidlo "ÁNO".
1.1.45. Výber remeňa
Na obrazovke sa zobrazí nasledujúce dialógové okno voľby časového pásma, ktoré používa nastavenia systému. V zadore 3.0 sa odpočítavanie vykonáva v miestnom režime, t.j. Systémové hardvérové \u200b\u200bhodiny určite určujú svoj čas bez dodatočnej konverzie v porovnaní s rôznymi bodmi odpočítavania typu UTC.
V okne by ste si mali vybrať najviac vhodné pre umiestnenie časového pásu počítača, čo označuje rozdiel času pásového času vzhľadom na pás "nulový" - Európa / Moskva (obr. 9-14).
Stlačte tlačidlo "ÁNO".
1.1.46. Výber a inštalácia balíkov
Na obrazovke sa zobrazí dialógové okno "Select Complex" (Obr. 9-15).
V tomto dialógovom okne si môžete vybrať nasledujúce komplexy:
Základná konfigurácia OS;
Subsystém grafického rozhrania;
Vývojové nástroje.
Vyžaduje sa výber skupiny "Základná konfigurácia", obsahuje všetky potrebné komponenty pre prevádzku Ass 3.0 OS v základnej verzii (bez dodatočných finančných prostriedkov).
Montážny režim "All (vrátane voliteľných)" znamená inštaláciu všetkých distribučných balíkov, vrátane modifikácií jadra OS, nešpecifického pre tento počítač a súbor paketov potrebných na výrobu zavádzacieho disku ISWS 3.0.
Pre podrobnejší výber balíkov (možno, na uloženie miesta na disku obsadené OS), je potrebné všimnúť si možnosť "Individuálny výber balíkov" a kliknite na tlačidlo "Áno". Okno "Select Package" (Obr. 9-16) Zobrazí sa zoznam skupín balíkov a samotných paketov.
Skupina môže byť zložená / nasadená, ak k nej uvediete riadok podsvietenia a stlačte tlačidlo. Ak chcete získať informácie o balíku, musíte na ňu priviesť riadok podsvietenia a stlačte tlačidlo. Zapnutie / vypnutie paketov do zoznamu pre inštaláciu sa vykonáva stlačením tlačidla.
Po dokončení výberu balíkov kliknite na tlačidlo "Áno".
Ak bol na inštaláciu vybraný individuálny zoznam balíkov, môže sa vyskytnúť situácia, keď sa objavia neuspokojené závislosti. To znamená, že vo zvolenom zozname existujú balíky, ktoré vyžaduje iné balíky z bootovacieho disku ISWS 3.0, ktoré neboli označené. Rozlíšenie závislostí paketov sa automaticky vyrába inštalačným programom.
Po dokončení výberu balíka sa na obrazovke zobrazí dialógové okno Štart Setup. Toto okno bude obsahovať informácie o súbore / root / log, v ktorom inštalátor po skončení práce uloží zoznam nainštalované balíky.
Skutočné rozdelenie disku a inštalácia balíkov sa spustí len po stlačení tlačidla "ÁNO" v okne "Spustiť inštaláciu". Ak je to potrebné, do tohto bodu môžete stále prerušiť proces inštalácie reštartovaním počítača. V tomto prípade zostanú všetky údaje o pevných diskoch nezmenené.
Ak chcete spustiť inštaláciu balíkov, kliknite na tlačidlo "Áno".
Okno "Inštalácia balíka" sa zobrazí na obrazovke (obr. 9-17).
V tomto štádiu môžete sledovať proces inštalácie vybraných balíkov, ktorý sa automaticky vyrába. Pre každý balík sa zobrazí stručný popis a štatistické informácie o procese inštalácie aktuálneho balíka a všetky balíčky sa zobrazia.
1.1.47. Inštalácia hesla superuser
Na obrazovke sa zobrazí dialógové okno Heslo používateľa root používateľa (obr. 9-18). Nastavte heslo do riadku "Heslo" a potvrďte jeho záznam v riadku "Potvrdiť heslo" (obmedzenia na zobrazenie a veľkosť hesla sú určené bezpečnostnými požiadavkami pre systém; štandardne je veľkosť hesla najmenej osem znaky). Keď zadáte heslo z klávesnice, z bezpečnostných dôvodov, namiesto vstupných znakov sa zobrazia hviezdičky. Stlačte tlačidlo "ÁNO".
1.1.48. Vytvorenie zavádzacích disketových diskov
Na obrazovke sa zobrazí nasledujúce dialógové okno "Sada zavádzacích disketov" (obr. 9-19). Ak dôjde k poškodeniu zavádzacieho záznamu pevného disku, môže byť potrebná súprava zavádzacej diskety.
Ak chcete vytvoriť zavádzacie diskety, stlačte tlačidlo "ÁNO". Ďalej postupujte podľa pokynov ponúkaných v dialógových oknách.
Ak sa nevyžaduje vytvorenie zavádzacej súpravy, kliknite na tlačidlo "NO". V budúcnosti môžete vytvoriť zavádzací disk pomocou grafického utility alebo príkazu MKBOOTDISK.
1.1.49. Zvýšené grafické karty a monitor
V ďalšom kroku musíte konfigurovať grafický systém. Ak to chcete urobiť, v dialógových oknách podľa pokynov zadajte informácie o grafickej karte a monitore.
Ak inštalátor automaticky určuje typ grafickej karty, zobrazia sa informácie o nej (Obr. 9-20).
 |
| Obr. 9-19. Vytvorenie zavádzacích disketov. |
|
|
| Obr. 9-20. Vyberte kartu. |
V opačnom prípade sa zobrazí dialógové okno "Select Map". Vyberte ho za typ zo zoznamu. Ak zoznam nemá požadovanú grafickú kartu, vyberte "nešpecifikovanú kartu".
V okne Výber servera vyberte server X, ktorý je schopný pracovať ako existujúca grafická karta.
Zobrazí sa dialógové okno Nastavenie monitora (obr. 9-21). Ak inštalačný program automaticky určuje typ monitora, vyberte príslušný monitor zo zoznamu Zmeniť.
V prípade potreby môžete zadať parametre manuálneho monitora. Ak to chcete urobiť, vyberte položku Typ "Iné" v zozname a nastavte prevádzkovú frekvenciu obrazu vertikálne a horizontálne (60 ~ 100 Hz).
Stlačte tlačidlo "ÁNO".
Po výbere monitora sa na obrazovke zobrazí okno "Rozšírené" (obr. 9-22). V okne vyberte požadovanú hĺbku farieb a monitor. Okrem toho, v tomto okne si môžete vybrať prihlasovací režim na systém "grafický" (odporúčaný) alebo "text". Ak vyberiete grafické prihlásenie do systému, systém grafického rozhrania sa spustí štandardne. Vyberte a stlačte tlačidlo "ÁNO".
Po nastavení grafického systému sa zobrazí správa "Inštalácia dokončená" (Obr. 9-23) so správou "Gratulujeme, inštalácia ISWS 3.0 je dokončená."
Stlačte tlačidlo "ÁNO" na reštartovanie. Počítač sa začne reštartovať. Počas reštartu sa zásobník s CD automaticky postúpi. Odstráňte disk zo zásobníka.
 |
| Obr. 9-23. Inštalácia dokončená. |
|
|
| Obr. 9-24. Metóda inštalácie |
V tejto recenzii sa budem snažiť vytvoriť kópiu Redhat EnterPrice Linux pre potreby RF Mo vidieť, ako to funguje na modernom hardvéri. Posledné vydanie ISWS bolo už v roku 2011, ale stále je naďalej "užitočné" v armáde Ruskej federácie:
Nainštalovať
Nainštalujeme sa na notebooku Fujitsu Lifebook N532, ktorý pracuje stabilne v Linuxe av systéme Windows. Tento notebook bol prepustený v roku 2012, len o rok neskôr ako MSVS 5.0.
Zavedenie okna - Cut-up Kopírovať Redhat EnterPrice Linux:
Dokonca aj lenivé, aby urobili normálne nakladanie okna, zmenili pozadie / logo, odstránené zbytočné tlačidlá a to je všetko.
Ak chcete pokračovať v inštalácii, stlačte ENTER:
Inštalátor bol načítaný do retro-style MS-DOS, ale pred vydaním ISWS 5, takmer všetky distribúcie mali grafický inštalačný program. V Debian je tiež text inštalatér, ale je to oveľa jednoduchšie a jasnejšie ako toto. Pýtajú sa nás, skontrolujte inštalačné DVD alebo nie. Poďme skontrolovať len v prípade:
Disk sa zaznamenáva normálne žiadne chyby. Ďalej sme požiadaní, aby sme skontrolovali ďalšie médiá, ale nemám ich.
Nástroj na označenie disku s vybraným možnosťou vymazania pre všetky sekcie. Čo ak dôstojník, dúfal, že v mysli domáceho IT priemyslu jednoducho stlačte ENTER?
Teraz pokračujte na značku disku. Na tomto počítači nainštaloval dva ďalšie operačné operácie a ja som si vybral "Vytvoriť vlastný oddiel"
Máme 30 GB nepoužitého neformátovaného priestoru, vyberte možnosť "Použiť voľné miesto a vytvoriť predvolený oddiel" a získať chybu prerušenia: nie je možné distribuovať požadované časti
Kliknite na tlačidlo "Áno" a získajte chybu automatického oddielu:
Kliknite na tlačidlo "Áno" a zvoľte "Vytvoriť vlastný oddiel"
Vzhľadom k tomu, že "Dosovský FDISK" sa neukazuje, koľko zaneprázdnení a slobodní, takže som omylom odstrániť čokoľvek, som sa rozhodol prezerať časti v inom OS a stlačiť reštart (ALT + Ctrl + Del Pamätám si z MSSO).
Počítač je jednoducho zavesený na týchto slovách, ale reaguje na papieru. Čakáme na ďalších 15 minút a stačí kliknúť na tlačidlo RESET. Načítame iný OS, sme presvedčení o správnosti voľby voľného oddielu, pokračujeme v inštalácii a reagujeme na krok označovania disku. Výber súborových systémov nie je tu bohatý, iba EXT2, EXT3 a VFAT (ktorý nie je namontovaný na obrazovke).
Nechajme všetko štandardne, to znamená, že budeme používať GRUB:
Stačí stlačiť kláves ENTER.
Ďalej sme požiadaní o vytvorenie hesla na zmenu parametrov grub nakladania
musel som zadať dlhé heslo
Teraz pokračujte v inštalácii zavádzača. Na nainštalovanej notebooku najnovšie verzie Debiana a Ubunti, ale inštalatér ich nenašiel. V dôsledku toho, po inštalácii MSVA zmizne menu výberu operačného systému a budete musieť obnoviť grub cez LiVECD.
Posuvník zoznamu operačných systémov na samom dne, ako keby povedal, že niečo iné je. Snažil som sa ho presunúť stlačením karty, CTRL, CTRL + Tab a ďalšie kľúčové kombinácie. Ale posuvník v akej pozícii bol v tomto a zostal:
Kliknite na tlačidlo Áno a pokračujte v inštalácii:
Vyberte, kde chcete nainštalovať bootloader. Nastavil som nakladač vo všetkých Linuxe zavádzací záznam MBR, to znamená, že na / dev / sda, ale pre posledných používateľov systému Windows je to ťažká otázka. Alebo všetci vojenskí Rusi poznajú Unixes?
Ďalej je nastavenie siete.
Nemáme žiadne sieťové pripojenia, zvoľujeme "NO" a kliknite na tlačidlo ENTER
okno sa otvorí s požiadavkou zadať ďalšie nastavenia siete:
Ako môžete vidieť, tlačidlá "Zrušiť" a "NO" nie sú potrebné, nie je. Existuje len "áno" a "späť". Bolo by logické, ak by sme nainštalovali systém cez sieť, ale máme DVD s kompletným súborom programov. Kliknite na položku ENTER.
Opustili ste prázdne pole "Gateway". V závislosti od vášho sieťového prostredia môžu existovať problémy v budúcnosti
kliknutím pokračujte a znova sa opýtajte, aby ste zadali ďalšie parametre siete. Vo všeobecnosti sa vrátime do prvého okna Nastavenie siete a zadajte, že musíte nakonfigurovať sieťové rozhranie, hoci to nemáme.
Požiadajú o zadanie názvu siete. Vyberte "Manuálne" a vymyslieť názov siete
Vyberte si časové pásmo:
Vyberte heslo používateľa root (nie menej ako šesť znakov):
Vyberte zoznam balíkov na inštaláciu. Vybral som si všetko
Ďalšia závislosť je zapnutá, po ktorej sa okno otvorilo s adresou inštalácie:
Proces inštalácie:
Nechápem, že tieto problémy s fontami alebo so kódmi?
Inštalácia prichádza až do 100% a inštalatér nás spokojne víta o dokončení inštalácie, požiada sa o vypnutie vymeniteľných médií a stlačte ENTER, aby ste reštartovali. Stlačte ENTER a počítač jednoducho visí ako naposledy.
Stlačte tlačidlo POWER, počkajte niekoľko minút a oh, horor, všetko je v angličtine. Alebo je to taký ruský jazyk v ruskej armáde?
Kde sú naše Debian a Ubunta? Existuje len jeden MSVS. Ale nič hrozné, môže byť opravené preinštalovaním grub nakladača cez LIVECD.
Stačí stlačiť kláves ENTER na stiahnutie
Systém je hlúpy 15 sekúnd a vykazuje chyby: pamäť pre havárie jadro (0x0 až 0x0) bez prípustného; Nepodarilo sa použiť hardvér Synaptics (nemôžem rozhovor s TouchPad)
a pokračuje v sťahovaní, menu nastavení sa otvorí počas procesu preberania.
Stačí vybrať "výstup" a kliknite na tlačidlo ENTER. Po 10 sekundách sa táto obrazovka otvorí, kde neexistuje žiadny odkaz na harmonograme. Zadajte prihlasovacie meno a heslo a systém je pripravený na prácu:
Mimochodom, venovať pozornosť, jadro je tu nainštalované 2.6.18. Toto jadro vystúpilo, päť rokov staršie ako MSVS 5.0. Áno, za päť rokov bolo možné stavať celé priemyselné odvetvia, rovnako ako v Stalin päťročné dosky, ale takmer 10 rokov prešli! V tomto vzdialenom čase som sa práve začínala zaujímať o Linux. Hoci môžu päť rokov strávili bezpečnostný audit kódexu.
Dobre, skúste použiť čo je.
Snažíme sa spustiť grafiku. V Nixes na spustenie grafiky, zvyčajne potrebujete zadať STARTX, zadajte STARTX:
#startx
a získať chyby:
Tu som špecificky otvoril chybu log /var/log/xorg.0.log tak, že bolo jasné, čo sa deje: Systém si nemôže stiahnuť štandardné ovládače FBDEV a VESA.
Systém musíme len reštartovať a vrátiť sa do pracovného systému, zadajte reštartu a znova zamrznúť pri reštarte:
Snažíme sa inštalovať cez VirtualBox:
Zadajte aj prihlasovacie koreň, heslo a štartx
Samozrejme, Vniins z bezpečnostných dôvodov neodporúčajú prevádzkovať dutiny správcu. A prečo potom po prvom spustení alebo v samotnom inštalácii nebolo navrhnuté na bezpečnostné účely na vytvorenie jednoduchých používateľov, ako v mnohých iných distribúcii?
O_O, Ukazuje sa, že funguje.
Pracovný stôl MSVS 5.0
Takže, čo vidíme, sú krásne ľahké pracovné plochy, simulujú staré okná a KDE. Ale je to len ozdobený dessert desktop
Správca súborov, vydaný pred 11 rokmi, je veľmi podobný Trimmed Konquerror
V systéme TRE, časový indikátor s kalendárom, spínačom rozloženia klávesnice a indikátor úrovne dostupnosti (ale je to skôr z vývojárov MSVS).
Nastavenia MSVS 5.0.
V Linuxe, niektoré programy (napríklad chróm) nie sú spustené od užívateľa root, na to najprv vytvoríme nového používateľa a prejdite do systému prostredníctvom neho:Štart - Nastavenia - ELK Ovládací panel, User Management - Pridať nový používateľ:
Heslo musí byť najmenej 8 znakov!
Atribúty bezpečnosti sú impozantné, ale nedotýkame sa ich:
Užívateľ bol úspešne vytvorený. Opustime reláciu a dostaneme priamo do koreňového účtu, kde nás banda chýb víta:
Odchádzame z tohto účtu stlačením klávesov Ctrl + D, prihláste sa novým používateľom a spustite štartx. Začali IKERS, ale myši sa pohybuje a kombinácie klávesnice nereagujú. Reštart virtuálneho stroja nepomohol, dutiny na tomto účte tiež nefungujú. Budete musieť pracovať z koreňa, ktorý je bezpečnostnou poruchou.
Rozlíšenie obrazovky z US 800x600, skúste to zmeniť. Prejdite na "Ovládací panel" a vyberte ikonu "Monitor". Okno sa otvára so správou, že nemáme súbor Xorg.conf a že obrazovka bude tmavá počas jeho stvorenia. Vytvorte ho alebo nie?
Kliknite na tlačidlo "Áno"
Chyba inicializácie konfigurácie:
Po tom sa otvorí okno s nastaveniami monitora. Snažíme sa niečo zmeniť, ale žiadnu reakciu. Je pozoruhodné, že toto okno zobrazuje príklad obrazovky Windows 95. A keď stlačíte tlačidlá "ÁNO" a "Zrušiť", okno sa nezatvára a nič sa nestane. Zatvorte okno je možné stlačiť len na kríži.
V ponuke "System" sa nachádza položka "Povolenia spínania obrazovky". Vyberieme si ho a ponúkame program v TRE s iba dvoma bodmi: 800x600 a 640x480 a 60Hz frekvenciou. Ale v operačnom OS, mohol som to dať hore a dokonca zmeniť frekvenciu. Preto záver, že v softvérovom programe ISWS horšie ako v DOS!
Pozeráme sa na informácie o zariadení:
Po kliknutí na tlačidlo "OK" sa otvorí toto okno:
MSVS 5.0 programy
Zaujímavé je, že keď prekladáme ukazovateľ myši z programov EDE v KDE, zmeny ukazovateľov myši.Je to preto, že Desktop HSS je zmesou desktopov EDE a KDE.
Sieť. Celkovo desať programov v tejto kategórii, vrátane pozorovateľa ELK, IRC, Wireshark, GFTP, Mailing Monitor, Network Monitor a PPP Setup a Správa siete.
Správa siete
Klient pošty sa nespustí:
Prehliadač ELK prehliadača je presná kópia prehliadača AURORA. Vidíte, premenovali to na Elk, ale zabudli sa zmeniť logo:
ELK prehliadač:
Nástroje
Vo verejných službách, ako aj 4 terminál: ELK-terminál, X-terminál, konzola a terminál v režime Superuser. Viete, prečo je toľko z nich? Pretože Desktop WSA je zmes EDE s KDE. Dokonca obývali na odstránenie nepotrebných nástrojov, všetko ako predvolené nastavenie.
Z tohto dôvodu existuje mnoho programov z dvoch rôznych desktopov, ale s rovnakými funkciami. To platí najmä pre prezeranie obrázkov, dokumentov (PDF, DJVU, atď.) A textových editorov.
Textový editor EMACS v MSVS:
Vedecký. Vo vedeckom, iba kalkulačke KDE, ktorá bola vydaná v roku 2005:
Grafika. V tejto časti všetky programy od spoločnosti KDE + XSANE 2007.
Hry. V hrách, súbor hier z KDE, medzi ktorými sú vojenské hry Sapper a padáky:
Multimédiá. Jednoduchý prehrávač médií, audio prehrávač, K3B (CD / DVD Entry), Regulátor zvuku a program nahrávania zvuku.
Ak chcete skontrolovať zvuk, musíte prevziať nejaký film do virtuálneho systému .. Zvuk a video nefungujú vôbec. Vložil som do nastavení VirtualBox Alsa, OSS, Soundblaster16 - Nič nefunguje. Snažil som sa ogv, ogg, mp4 - v niektorých prípadoch vyžaduje inštalovať kodeky, v iných - zobrazuje chybu:
Skúste nainštalovať FFMPEG:
Otvorený štart - ELK Control Panel - Správca programov
pred začiatkom niekoľkých sekúnd sa kontrolujú zoznamy paketov.
pokúsme sa nájsť FFMPEG.
Toto je taký ruský jazyk v ruskej armáde!
fFMPEG bol v zozname inštalovaných balíkov. A vyhľadávanie OSS a ALSA (zvukové systémy) neposkytli žiadne výsledky vôbec. Office a Firefox požiadavky tiež nedávali žiadne výsledky.
k3B Pri spustení vám dáva chybu, ktorú nedokáže nájsť typ MIME. Musíte stlačiť 10 krát OK a potom to spustí:
Vypnutie systému:
Výkon ...
1. Na moderné vybavenie, ISWS nefunguje
2. Jadro systému, pretože celý softvér bol prepustený pred 11 rokmi, moderné vybavenie nie je podporované
3. Rozlíšenie obrazovky je nastavené na 800x600 a nezmení sa
4. Video systém funguje len v emulátore, ale vykazuje chyby po dokončení práce.
5. Zvuk vôbec nefunguje
6. Grafika funguje len užívateľom root, ktorý je bezpečnostnou poruchou
7. Predvolené vypnutie a reštartné príkazy sú k dispozícii len prostredníctvom konzoly a pracujú len v emulátore.
Všeobecné závery.
MSVS5.0 - Redhat EnterPrice Linux5.0 (2007) kopírované v roku 2011 (2007), funguje nesprávne na počítačoch vydaných v roku 2011. Áno, v ruskej armáde, je vo všeobecnosti viditeľná na hlboké staré starožitnosti, napríklad Alient Cruiser "Admiral Kuznetsov" s jeho odrazom namiesto katapult, pretože lietadlo sú nútení lietať s neúplnou muníciou a niekedy Spadnúť do vody, keď sa zber lietadla a montáž palivového oleja, potrebovať palice počas výlet ...
Určite aspoň niektorí z našich čitateľov premýšľali o tom, ktorý operačný systém sa používa v našich ozbrojených silách. Koniec koncov, všetci chápeme, že nemôže byť na nejakom raketovej komplexe, ktorý je v boji clo, stojan. Dnes minimalizujeme oponu tajomstva a rozprávame o OS ISA. Toto je tzv. Mobilný systém o rozsahu aplikácie hovorí o svojom mene, ale o tom, ako to funguje všeobecne, povieme.
Predpoklady na vytvorenie
Po prvýkrát boli bezpečnostné kritériá pre počítačové systémy formulované koncom 60. rokov minulého storočia. V polovici osemdesiatych rokov, v USA, všetky tieto vývoj boli zhromaždené v jednom dokumente. Takže "oranžová kniha" ministerstva obrany sa narodila - prvý štandard bezpečnosti počítačových systémov. V nadväznosti na takéto dokumenty sa objavili v európskych krajinách a Kanade. V roku 2005 bola pripravená medzinárodná bezpečnostná norma ISO / IEC 15408 "všeobecné kritériá ochrany".
V Rusku sa podobné štúdie uskutočnili v 22. Ústrednom výskumnom ústave Ministerstva obrany. Konečným výsledkom rozvoja bol prijatím v roku 2002 OS OSA v ozbrojených silách Ruskej federácie. Verzia štátnej normy založená na požiadavkách ISO / IEC bola prijatá v roku 2008.
Prečo vojenský dôstojník
Prevádzkové systémy, ktoré používame denne, nie sú vhodné na použitie v štátnych skladovacích zariadeniach. Goskomissia pod predsedom Ruskej federácie ich formulovala takto: \\ t
- Informácie musia byť chránené pred neoprávneným prístupom, a to z vnútra aj vonku.
- Systém by nemal obsahovať nezdokumentované schopnosti, inými slovami, nemali by existovať žiadne "veľkonočné vajcia" v OS kódexu.
Okrem toho, chránený operačný systém musí mať viacúrovňovú hierarchickú štruktúru prístupu a má oddelené administračné funkcie.
Úlohou vytvorenia špecializovaného uzavretého systému nie je tak jednoduché, ako sa zdá na prvý pohľad. Absencia nedotknutých schopností predpokladá, že zdrojový kód a technický opis všetkých pracovných postupov budú dôkladne študované na certifikačnom centre. A toto je oblasť obchodných tajomstiev vlastníkov alebo duševného vlastníctva vývojárov. Taký paradox vás robí nakreslením očí smerom k otvorenému OS, pretože je takmer nemožné získať úplnú technickú dokumentáciu pre proprietárny softvér.
Požiadavky GOST R.
FSTEC, ako služba zodpovedná za bezpečnosť informácií o rozsahu krajiny, je stanovená oddelením OS podľa stupňa ochrany spracovaných informácií. Pre pohodlie sa všetky údaje znížia na jednu tabuľku.
Z tabuľky je možné vidieť, že pre niekoľko požiadaviek sa vytvoria tri skupiny a deväť bezpečnostných tried z neoprávneného prístupu, a už sa vykonáva ďalšie rozdelenie pre prijatie na rôzne druhy dôverné informácie.
V srdci Linuxu
Čo je tak výhodné pre Linux, čo bude radi, že bude slúžiť v štátnom prístroji? Koniec koncov, z väčšej časti jednoduchý používatelia Báli sa ho ako peklo Ladanu. Poďme na to. Začať, venovať pozornosť licencii, podľa ktorej sa distribuuje "Linux". Toto je tzv GPL2 - univerzálna verejnosť alebo slobodná licencia. Každý môže získať zdrojový kód a založený na ňom vytvoriť svoj vlastný produkt. Inými slovami, nikto nemožní vziať najvyššie distribúcie Linux a používať ich pri vývoji vlastného chráneného OS.
Svetové skúsenosti vládnych agentúr ukazujú, že prechod na slobodný softvér sa vyskytuje všade, myšlienka je v dopyte a dosť ospravedlňuje. Vedúce krajiny sveta, ako sú Spojené štáty, Nemecko, Japonsko a rýchlo sa blíži k Číne a Indie, aktívne využívajú Linux v Gosfere a vzdelávaní.
ISWS a jeho obsah
Mobilný systém Verzia 3.0 pracovala v jednotkách desiatich rokov, dokonalejší produkt prichádza nahradiť, a môžeme sa pokojne pozrieť na "Hood" veterán. Toto je sieťový operačný systém pracujúci v multiplayer pomocou grafického používateľského rozhrania. Podporuje hardvérové \u200b\u200bplatformy:
- Intel.
- IBM systém / 390.
Spapc / "Elbrus".
Je založený na najlepších distribúciach Linuxu dostupných v čase. Mnohé systémové moduly boli požičané z REDHAT LINUX a prekompilovaných s prihliadnutím na požiadavky Ministerstva obrany. Inými slovami, systém mobilných ozbrojených síl je distribúcia RPM Linux so všetkými súvisiacimi nástrojmi a vývojovými nástrojmi.
Podpora systému sú na začiatku úrovne storočia, ale pretože najčastejšie z nich potom existovalo, tento ukazovateľ nie je kritický.
Verzie MSVS
Napriek tomu, že ide o sieťový operačný systém, nemá softvérové \u200b\u200barchívy známe akéhokoľvek Linuxidu. Všetky softvér sa dodáva kompletne na inštalácii CD. Akýkoľvek program, ktorý sa používa v tomto systéme, je pred-certifikovaný v ministerstve obrany. A keďže tento postup je ďaleko od rýchlych, pre všetko a pol tucta rokov práce, bol vydaný obmedzený počet verzií a zmien na nich.
Developer ISMS je všestranný výskumný ústav automatizácie manažmentu v oblasti izolacementovej sféry. Na svojej oficiálnej stránke nájdete údaje o verziách MSVS, ktoré sú v súčasnosti podporované a majú potrebné bezpečnostné certifikáty z ministerstva obrany.
Mobilný systém ozbrojených síl na rok 2017 predstavujú dva podporované zostavy:
- OS MSVS 3.0 FLIR 80001-12 (zmena č. 6).
OS MSVS 3.0 FLIR 80001-12 (zmena č. 4).
Verzia 5.0, ktorá sa nachádza na internetovej stránke Vniins, má bezpečnostné osvedčenie MO, ale oficiálne na zásobovanie vojakov nebol prijatý.
Premier MSVS
Ďalší chránený OS, ktorý bol prezentovaný ako nahradenie desaťročný MSVS, bol ASTRA Linux. Na rozdiel od predchodcu, bezpečnostný certifikát len \u200b\u200bz Ministerstva obrany, ASTRA prijal všetky možné certifikáty v Rusku, a to sú dokumenty z MO, FSB a FSTEC. Kvôli tomu sa môže použiť v akýchkoľvek vládnych agentúrach a prítomnosť niekoľkých verzií prispôsobených rôznym hardvérovým platformám je ešte viac rozširuje rozsah jeho používania. V dôsledku toho môže kombinovať všetky zariadenia pod jeho ovládaním - z mobilných do stacionárneho serverového vybavenia.
ASTRA Linux je moderná distribúcia Linuxu založená na DEB paketoch, používa čerstvú verziu jadra a aktuálneho softvéru. Zoznam podporovaných procesorov a ich architektúry sú tiež rozšírené a zahŕňa moderné vzorky. Zoznam oficiálne publikovaných verzií vám umožňuje dúfať, že na úspech tohto softvérového produktu aspoň v Gosfere a obrane.
Nakoniec
V tomto materiáli sme hovorili o systéme ICA - hlavného operačného systému ozbrojených síl Ruskej federácie, verne pôsobil "v hodnosti" 15 rokov a stále stále na "bojovom". Okrem toho sa stručne charakterizovalo postupnosť. Možno, že niekto z našich čitateľov to zatlačí, aby ste videli, čo Linux je, a urobiť neobmedzený názor na produkt.
Štátne služby Osobný účet
Štátna dozorná skrinka - vchod na snils a telefón
Single Telefón Rescue Service v Ruskej federácii