Покрокова установка МСВС 3.0 з диска. Мобільна система збройних сил (ос МСВС): захищена операційна система загального призначення
Мобільна система Збройних Сил (МСВС) - захищена розрахована на багато користувачів багатозадачна операційна система (ОС) загального призначення з поділом часу, розроблена на основі ОС Red Hat Linux. ОС забезпечує багаторівневу систему пріоритетів з витісняє багатозадачність, віртуальну організацію пам'яті і повну мережеву підтримку; працює з багатопроцесорними (SMP - symmetrical multiprocessing) і кластерними конфігураціями на платформах Intel, IBM S390, MIPS (комплекси серії Багет виробництва компанії Корунд-М) і SPARC (Ельбрус-90мікро). Особливість ОС МСВС 3.0 - вбудовані засоби захисту від несанкціонованого доступу, що задовольняють вимогам Керівного документа Держтехкомісії при Президентові РФ по класу 2 засобів обчислювальної техніки. Засоби захисту включають мандатний управління доступом, списки контролю доступу, рольову модель і розвинені засоби аудиту (протоколювання подій). ОС МСВС призначена для побудови стаціонарних захищених автоматизованих систем. Розробник МСВС - Всеросійський науково-дослідний інститут автоматизації управління в непромислової сфері ім. В. В. Соломатіна (ВНІІНС). Прийнята на постачання в ВС РФ в 2002 році.
Файлова система ОС МСВС 3.0 підтримує імена файлів довжиною до 256 символів з можливістю створення російськомовних імен файлів і каталогів, символьні посилання, систему квот і списки прав доступу. Існує можливість монтування файлових систем FAT і NTFS, а також ISO-9660 (компакт-диски). Механізм квотування дозволяє контролювати використання користувачами дискового простору, кількість запускаються процесів і обсяг пам'яті, що виділяється кожному процесу. Система може бути налаштована на видачу попереджень при наближенні запитаних користувачем ресурсів до заданої квотою.
До складу ОС МСВС 3.0 входить графічна система на основі X Window. Для роботи в графічному середовищі поставляються два віконних менеджера: IceWM і KDE. Більшість програм в ОС МСВС орієнтоване на роботу в графічному середовищі, що створює сприятливі умови не тільки для роботи користувачів, але також і для їх переходу з ОС Windows на ОС МСВС.
ОС МСВС 3.0 поставляється в конфігурації, яка крім основної керуючої програми (ядра) включає набір додаткових програмних продуктів. Сама ОС використовується як базовий елемент організації автоматизованих робочих місць (АРМ) і побудові автоматизованих систем. додаткове програмне забезпечення (ПО) може встановлюватися за вибором, і орієнтоване на максимальну автоматизацію управління і адміністрування домену, що дозволяє зменшити витрати на обслуговування АРМов і сконцентруватися на виконанні користувачами їх цільової завдання. Програма інсталяції дозволяє встановити ОС з завантажувального компакт-диска або по мережі по протоколу FTP. Зазвичай спочатку з дисків встановлюється і налаштовується інсталяційний сервер, а потім по мережі відбувається інсталяція інших комп'ютерів. Інсталяційний сервер в працюючому домені виконує завдання оновлення і відновлення ПО на робочих місцях. Нова версія викладається лише на сервері і потім відбувається автоматичне оновлення ПО на робочих місцях. При пошкодженні ПО на робочих місцях (наприклад, при видаленні файлу програми або розбіжності контрольних сум виконуваних або конфігураційних файлів), автоматично відбувається повторна установка відповідного програмного забезпечення.
При інсталяції адміністратору пропонується вибрати або один зі стандартних типів інсталяції, або настроюється інсталяцію. Стандартні типи використовуються при установці на стандартні робочі місця і охоплюють основні типові варіанти організації робочих місць на базі ОС МСВС 3.0. Кожен стандартний тип визначає набір інстальоване програмних продуктів, конфігурацію диска, набір файлових систем і ряд системних налаштувань. Настроюється інсталяція дозволяє явно задати всі зазначені характеристики кінцевої системи аж до вибору індивідуальних програмних пакетів. При виборі настроюється інсталяції можна встановити ОС МСВС 3.0 на комп'ютер з уже встановленою інший ОС (наприклад, Windows NT).
До складу ОС МСВС 3.0 входить єдина система документації (ЕСД) з інформацією про самих різних аспектах функціонування системи. ЕСД складається з сервера документації та бази даних, що містить тексти описів, доступ до яких можливий через браузери. При установці додаткового ПЗ в базу даних ЄСД встановлюються відповідні довідкові розділи. ЕСД може розміщуватися локально на кожному робочому місці, або в домені ОС МСВС може бути виділений спеціальний сервер документації. Останній варіант корисно використовувати в доменах ОС МСВС великої розмірності для економії сумарного дискового простору, спрощення процесу управління і поновлення документації. Доступ до документації з інших робочих місць можливий через Web-браузер, який постачається разом з ОС МСВС 3.0.
ОС МСВС 3.0 русифікована як в алфавітно-цифровому, так і в графічному режимах. Підтримуються віртуальні термінали, перемикання між якими здійснюється за допомогою комбінації клавіш.
Ключовим моментом з точки зору цілісності системи є операція реєстрації нових користувачів ОС МСВС, коли визначаються атрибути користувача, включаючи атрибути безпеки, відповідно до яких система управління доступом буде надалі контролювати роботу користувача. Основу для мандатної моделі становить інформація, що вводиться при реєстрації нового користувача.
Для реалізації дискреційного управління доступом використовуються традиційні для Unix механізми біт прав доступу і списків прав доступу (ACL - access control list). Обидва механізми реалізуються на рівні файлової системи ОС МСВС 3.0 і служать для завдання прав доступу до об'єктів файлової системи. Біти дозволяють визначати права для трьох категорій користувачів (власник, група, інші), однак, це не досить гнучкий механізм і застосовується при завданні прав для більшості файлів ОС, однаковим чином використовуваних основною частиною користувачів. За допомогою списків ACL можна задавати права на рівні окремих користувачів і / або груп користувачів, і, тим самим, досягти суттєвої деталізації в завданні прав. Списки застосовуються при роботі з файлами, для яких потрібно, наприклад, задати різні права доступу для декількох визначених користувачів.
Технічні характеристики ОС МСВС 3.0:
| параметр | характеристика |
| Система захисту інформації | Вбудована |
| Модель захисту інформації | Дискреційна модель, мандатна модель, рольова модель |
| Сумісність СЗІ з іншими ОС | «ОМОН-390ВС», «Олівія», МСВС 5.0 |
| ядро | 2.4.32 (2.4.37.9 фактично) |
| Файлова система мандатна | EXT2, EXT3 |
| Підтримка інших файлових систем | FAT16, FAT32, NTFS (ro), ISO9660 |
| Довжина імені файлів | до 256 символів |
| графічна підсистема | X-Window |
| графічна система | Xorg-x11-7.3 |
| Тип | Клієнт - серверна |
| віконний менеджер | Elk, TWM, KDE, IceWM |
| графічна оболонка | Elk-1.9.9 |
| Підтримка багатопроцесорних систем | До 32 процесорів |
| ОЗУ | 64 Гб |
| вбудовані сервіси | DNS, FTP, Telnet, NTP, FTP, TFTP, SFTP, DHCP, RIP, BGP, OSPF, PPP, PPTP |
| Підтримувані шини | ISA, все PCI, SCSI, IDE, SATA, SAS, AGP, USB 2.0 |
| Засоби розробки в складі: | |
| Мови програмування | C / C ++, Perl, Python, Shell, Tcl |
| Компілятор С / С ++ | 2.95.4, 3.3.6, 4.1.3 |
| системна бібліотека | glibc-2.3.6 |
| QT | 4.6.3 |
| отладчик | gdb ver 6.8 |
| варіанти інсталяції | CD-ROM, НЖМД, Мережа |
Установка ОС МСВС 3.0
На практичному занятті буде розглядатися процес установки ОС МСВС на ПК або сервер комп'ютерної мережі. Процес установки ОС МСВС 3.0 складається з наступних етапів:
- Завантаження ПК або сервера комп'ютерної мережі з носія інформації, на якому розташовується дистрибутив з ОС МСВС 3.0. Після завершення процесу завантаження з носія буде виведено на екран зображення, представлене на рис. 2.1. Для продовження необхідно натиснути клавішу<Ввод> (
).
Малюнок 2.1. Екран запуску майстра установки ОС МСВС 3.0.
- Здійснюється ініціалізація ядра ОС МСВС і виявлення обладнання, після чого виводиться на екран зображення, представлене на рис. 2.2. Для продовження необхідно натиснути кнопку<Готово>.
Малюнок 2.2. Екран виявлених пристроїв.
- На екран виводиться «Привітання», представлене на рис. 2.3. Для продовження необхідно натиснути кнопку<Да>.
Малюнок 2.3. Екран «вітання».
- Вибір моделі миші, підключеної до комп'ютера (рис. 2.4). У зв'язку з тим, що маніпулятор «миша» в подальшій роботі використовуватися не буде, слід вибрати пункт «Немає миші» і натиснути кнопку<Да>.
Малюнок 2.4. Вибір моделі миші, підключеної до комп'ютера.
- розмітка жорсткого диска - один з найвідповідальніших моментів в ході установки ОС МСВС. Чи не тому, що розмітка жорсткого диска так складна, а тому, що допущені в ході її помилки можуть бути виправлені лише з великими труднощами і процес цей може бути чреватий втратою даних.
У цьому розділі розглядаються такі питання:
користувачі;
Відмінності між привілейованими і непривілейованими користувачами;
Файли входу в систему;
Файл / etc / passwd;
Файл / etc / shadow;
Файл / etc / gshadow;
Файл /etc/login.defs;
Модифікація відомостей про старіння паролів;
В основі безпеки МСВС лежать концепції користувачів і груп. Всі рішення про те, що дозволяється або забороняється робити користувачеві, приймаються на підставі того, ким є увійшов в систему користувач з точки зору ядра операційної системи.
Загальний погляд на користувачів
МСВС є багатозадачного багатокористувацької системою. В обов'язки операційної системи входять ізоляція і захист користувачів один від одного. Система стежить за кожним з користувачів і, виходячи з того, ким є цей користувач, визначає, чи можна надати йому доступ до того чи іншого файлу або дозволити запуск тієї чи іншої програми.
При створенні нового користувача йому ставиться в відповідність унікальне ім'я
ПРИМІТКА
Система визначає привілеї користувача на основі ідентифікатора користувача (userID, UID). На відміну від імені користувача, UID може і не бути унікальним, в цьому випадку для зіставлення йому імені користувача береться перше знайдене ім'я, UID якого збігається з даними.
Кожному новому реєструється в системі користувачеві ставляться у відповідність певні елементи системи.
Привілейовані і непривілейованих користувачі
При додаванні нового користувача в систему йому виділяється спеціальний номер, званий ідентифікатором користувача (UserID, UID). У Caldera МСВС виділення ідентифікаторів новим користувачам починається з 500 і триває в сторону великих чисел, аж до 65 534. Номери до 500 зарезервовані для системних облікових записів.
У загальному і цілому ідентифікатори з номерами, меншими 500, нічим не відрізняються від інших ідентифікаторів. Часто програмі для нормального функціонування потрібен спеціальний користувач з повним доступом до всіх файлів.
Нумерація ідентифікаторів починається з 0 і триває до 65 535. UID 0 - це особливий UID. Будь-який процес або користувач з нульовим ідентифікатором є привілейованим. Така людина або процес має необмежену владу над системою. Ніщо не може служити для нього забороною. Обліковий запис root (обліковий запис, UID якої дорівнює 0), також звана обліковим записом суперкористувача, робить увійшов з її використанням якщо не власником, то як мінімум його довіреною особою.
Залишається UID, рівний 65 535. Він теж не з простих. Цей UID належить користувачеві nobody (Ніхто).
Колись одним із способів злому системи було створення користувача з ідентифікатором 65 536, в результаті чого він отримував повноваження супер. Дійсно, якщо взяти будь-який UID і перевести відповідне число в двійкову форму, то вийде комбінація з шістнадцяти двійкових розрядів, кожен з яких дорівнює або 0, або 1. Переважна кількість ідентифікаторів включають в себе як нулі, так і одиниці. Винятком є \u200b\u200bнульовою UID суперкористувача, що складається з одних нулів, і UIDnobody, рівний 65535 і складається з 16 одиниць, тобто 1111111111111111. Число 65 536 можна розмістити в 16 розрядах - для подання цього числа в двійковій формі потрібно використовувати вже 17 розрядів. Найстарший розряд буде дорівнювати одиниці (1), всі інші дорівнюють нулю (0). Так що ж відбувається при створенні користувача з ідентифікатором довжиною в 17 двійкових розрядів - 10000000000000000? Теоретично, користувач з нульовим ідентифікатором: оскільки під ідентифікатор відводиться лише 16 двійкових розрядів, 17 розряд зберігати ніде, і він відкидається. Стало бути, єдина одиниця ідентифікатора втрачається, і залишаються одні нулі, а в системі з'являється новий користувач з ідентифікатором, а значить, і привілеями, суперкористувача. Але тепер же в МСВС немає програм, які дозволили б вам встановити UID в 65 536.
ПРИМІТКА
Користувачів з ідентифікаторами, що перевищують 65 536, створювати можна, але використовувати їх без підміни / bin / login не вийде.
Будь-зломщик обов'язково постарається отримати повноваження супер. Як тільки він їх отримає, подальша доля системи повністю буде залежати від його намірів. Можливо, він, задовольнившись самим фактом злому, чи не зробить з неї нічого поганого і, пославши вам лист з описом знайдених їм дірок в системі безпеки, назавжди залишить її в спокої, а можливо, і ні. Якщо наміри зламав хакера не настільки чисті, то тоді краще, на що можна сподіватися, - це виведення системи з ладу.
Файл / etc / passwd
Той, хто бажає увійти в систему повинен ввести ім'я користувача і пароль, які перевіряються по базі даних користувачів, що зберігається в файлі / etc / passwd. У ньому, крім усього іншого, зберігаються паролі всіх користувачів. При підключенні до системи введений пароль звіряється з паролем, відповідним даному імені, і в разі збігу користувач допускається в систему, після чого запускається програма, зазначена для даного імені користувача в файлі паролів. Якщо це командна оболонка, користувач отримує можливість вводити команди.
Розглянемо лістинг 1.1. Це файл passwd в старому стилі.
Лістинг 1.1. Файл / etc / passwd в старому стилі
root: *: 1i DYwrOmhmEBU: 0: 0: root :: / root: / bin / bash
bin: *: 1: 1: bin: / bin:
daemon: *: 2: 2: daemon: / sbin:
adm: *: 3: 4: adm: / var / adm:
lp: *: 4: 7: lp: / var / spool / lpd:
sync: *: 5: 0: sync: / sbin: / bin / sync
shutdown: *: 6: 11: shutdown: / sbin: / sbin / shutdown
halt: *: 7: 0: halt: / sbin: / sbin / halt
mail: *: 8: 12: mail: / var / spool / mail:
news: *: 9: 13: news: / var / spool / news:
uucp: *: 10: 14: uucp: / var / spool / uucp:
operator: *: 11: 0: operator: / root:
games: *: 12: 100: games: / usr / games:
gopher: *: 13: 30: gopher: / usr / 1ib / gopher-data:
ftp: *: 14: 50: FTP User: / home / ftp:
man: *: 15: 15: Manuals Owner: /:
majordom: *: 16: 16: Majordomo: /: / bin / false
postgres: *: 17: 17: Postgres User: / home / postgres: / bin / bash
mysql: *: 18: 18: MySQL User: / usr / local / var: / bin / false
silvia: 1iDYwrOmhmEBU: 501: 501: Silvia Bandel: / home / silvia: / bin / bash
nobody: *: 65534: 65534: Nobody: /: / bi n / false
david: 1iDYwrOmhmEBU: 500: 500: David A. Bandel: / home / david: / bin / bash
Файл паролів має жорстко задану структуру. Вміст файлу являє собою таблицю. Кожен рядок файлу - це запис таблиці. Кожен запис складається з декількох полів. Поля файлу passwd, розділяються двокрапкою, тому двокрапки можна використовувати ні в одному з полів. Всього є сім полів: ім'я користувача, пароль, ім'я користувача, ідентифікатор групи, поле GECOS (воно ж поле коментарів), домашній каталог і командна оболонка входу в систему.
Детальніше про / etc / passwd
У першому полі вказується ім'я користувача. Воно повинно бути унікальним - не можна, щоб два користувачі системи мали одне і те ж ім'я. Поле імені є єдиним полем, значення якого повинно бути унікальним. У другому полі зберігається пароль користувача. Для того щоб забезпечити захист системи, пароль зберігається в хешірованного вигляді. Термін «хешірованного» в даному контексті означає «зашифрований». У випадку з МСВС пароль шифрується за алгоритмом DES (DataEncryptionStandard). Довжина хешірованного пароля в цьому полі завжди дорівнює 13 символам, причому деякі з символів, такі як двокрапка і одинарна лапка, ніколи не зустрічаються серед них. Будь-яке інше значення поля, відмінне від правильного хешірованного 13-символьного пароля, унеможливлює вхід даного користувача в систему, за одним надзвичайно важливим винятком: поле пароля може бути порожнім.
У другому полі не варто нічого, навіть пробілу, це означає, що відповідним користувачеві не потрібний пароль для входу в систему. Якщо змінити пароль, що зберігається в поле, додавши до нього який-небудь символ, наприклад одинарні лапки, То дана обліковий запис виявиться заблокованою, а відповідний користувач не зможе увійти в систему. Справа в тому, що після додавання в 14-символьний хешірованного пароль нелегального символу система відмовлялася аутентифицировать користувача з таким паролем.
В даний час довжина пароля обмежена вісьмома символами. Користувач може вводити і довші паролі, однак значущими будуть тільки перші вісім символів. Перші два символи хешірованного пароля є затравкой (Salt). (Затравки називається число, яке використовується для ініціалізації алгоритму шифрування. При кожній зміні пароля запал вибирається випадковим чином.) В результаті число всіх можливих перестановок досить велике, тому з'ясувати, чи є в системі користувачі з однаковими паролями, простим порівнянням хешірованних паролів можна.
ПРИМІТКА
Атака по словнику (dictionaryattack) відноситься до методів злому паролів грубою силою і має на увазі використання словника і відомої затравки. Атака полягає в переборі всіх слів словника, шифрування їх з даної запалом і порівнянні результату з зламувати паролем. При цьому крім слів зі словника зазвичай розглядаються і деякі їх модифікації, наприклад, всі букви заголовні, тільки перша буква заголовна і додавання чисел (зазвичай тільки 0-9) в кінець всіх цих комбінацій. Подібним чином можна зламати досить багато легко вгадується паролів.
У третьому полі вказується ідентифікатор користувача. Ідентифікатор користувача не зобов'язаний бути унікальним. Зокрема, крім користувача root, може бути як завгодно інших користувачів з нульовим ідентифікатором, і всі вони будуть володіти привілеями суперкористувача.
Четверте поле містить ідентифікатор групи (GroupID, GID). Група, зазначена в цьому полі, називається первинної групою користувача (Primarygroup). Користувач може належати до декількох груп, але одна з них обов'язково повинна бути первинною групою.
П'яте поле тепер називають полем коментарів, але початкове його назва - GECOS, від «GEConsolidatedOperatingSystem». При запиті інформації про користувача через finger чи іншу програму вміст даного поля тепер повертається як справжнє ім'я користувача. Поле коментарів може бути порожнім.
Шосте поле задає домашній каталог користувача. У кожного користувача повинен бути свій домашній каталог. Зазвичай користувач, увійшовши в систему, виявляється в своєму домашньому каталозі, але якщо такого не існує, то він потрапляє в кореневий каталог.
Сьоме поле задає командну оболонку входу в систему. Не всяку оболонку можна вказати в цьому полі. Залежно від налаштувань системи в ньому може бути вказана тільки оболонка зі списку допустимих оболонок. У МСВС список допустимих оболонок знаходиться за замовчуванням в файлі / etc / shells.
Файл / etc / shadow
Власником файлу / etc / shadow є користувач root і тільки він має право читати цей файл. Для його створення потрібно взяти імена користувачів і хешірованние паролі з файлу passwd і помістити їх в файл shadow, замінивши при цьому все хешірованние паролі в файлі passwd символами х. Якщо подивитися на файл passwd системи, то можна побачити, що на місці хешірованних паролів там стоять символи х. Даний символ вказує системі на те, що пароль слід дивитися не тут, а в файлі / etc / shadow. Перехід від простих паролів до тіньових і назад здійснюється за допомогою трьох утиліт. Для переходу до тіньових паролів спочатку запускається утиліта pwck. Вона перевіряє файл passwd на предмет всяких аномалій, через які наступний крок може закінчитися невдачею або просто зациклитися. Після того як відпрацює pwck, запускається утиліта pwconv для створення / etc / shadow. Зазвичай це робиться після ручного оновлення файлу / etc / passwd. Для повернення до звичайних паролів запускається pwuncov.
Файл тіньових паролів у багатьох відношеннях схожий з файлом звичайних паролів. Зокрема, перші два поля цих файлів однакові. Але крім цих полів в ньому, природно, є і додаткові поля, відсутні у файлі звичайних паролів. Лістинг 1.2. показує вміст типового файлу / etc / shadow.
Лістинг 1.2. Файл / etc / shadow
root: 1iDYwrOmhmEBU: 10792: 0 :: 7: 7 ::
bin: *: 10547: 0 :: 7: 7 ::
daemon: *: 10547: 0 :: 7: 7 ::
adm: *: 10547: 0 :: 7: 7 ::
lp: *: 10547: 0 :: 7: 7 ::
sync: *: 10547: 0 :: 7: 7 ::
shutdown: U: 10811: 0: -1: 7: 7: -1: 134531940
halt: *: 10547: 0 :: 7: 7 ::
mail: *: 10547: 0 :: 7: 7 ::
news: *: 10547: 0 :: 7: 7 ::
uucp: *: 10547: 0 :: 7: 7 ::
operator: *: 10547: 0 :: 7: 7 ::
games: *: 10547: 0:: 7: 7 ::
gopher: *: 10547: 0 :: 7: 7 ::
ftp: *: 10547: 0 :: 7: 7 ::
man: *: 10547: 0 :: 7: 7 ::
majordom: *: 10547: 0 :: 7: 7 ::
postgres: *: 10547: 0 :: 7: 7 ::
mysql: *: 10547: 0 :: 7: 7 ::
si1via: 1iDYwrOmhmEBU: 10792: 0: 30: 7: -l ::
nobody: *: 10547: 0 :: 7: 7 ::
david: 1iDYwrOmhmEBU: 10792: 0 :: 7: 7 ::
Подробнеео / etc / shadow
Призначення першого поля файлу shadow таке ж, як і у першого поля файлу passwd.
Друге поле містить хешірованного пароль. Реалізація тіньових паролів в МСВС допускає хешірованние паролі довжиною від 13 до 24 символів, проте програма шифрування паролів crypt вміє видавати тільки 13-символи-ні хешірованние паролі. Символи, які використовуються в хеше, беруться з набору, що складається з 52 букв алфавіту (малих і великих), цифр 0-9, точки і похилій риси вправо (/). Разом виходить 64 символу, допустимих в поле хешірованного пароля.
Запал, таким чином, що, як і раніше, являє собою перші два символи, може вибиратися з 4096 можливих комбінацій (64x64). Для шифрування використовується алгоритм DES з 56-бітовим ключем, тобто простір ключів цього алгоритму налічує 2 56 ключів, що приблизно дорівнює 72 057 590 000 000 000 або 72 квадрильйонів. Число виглядає вражаюче, проте перебрати всі ключі з простору такого розміру можна насправді за вельми короткий час.
З третього поля починається інформація про старіння пароля. У ньому зберігається число днів, що пройшли з 1 січня 1970 року до дня останньої зміни пароля.
Четверте поле задає мінімальне число днів, які повинні пройти, перш ніж можна буде знову змінювати пароль. Поки з дня останньої зміни пароля не пройде стільки днів, скільки вказано в цьому полі, знову змінювати пароль не можна.
П'яте поле задає максимальне число днів, протягом яких можна використовувати пароль, після чого він підлягає обов'язковій зміні. При позитивному значенні цього поля спроба користувача увійти в систему після закінчення терміну дії пароля призведе до того, що команда password буде запущена не як зазвичай, а в режимі обов'язкової зміни пароля.
Значення з шостого поля визначає, за скільки днів до закінчення терміну дії пароля слід почати видавати попередження про це. Отримавши попередження, користувач може почати придумувати новий пароль.
Сьоме поле задає число днів, починаючи з дня обов'язкової зміни пароля, після закінчення яких дана обліковий запис блокується.
У передостанньому поле зберігається день блокування облікового запису.
Останнє поле зарезервовано і не використовується.
Детальніше про / etc / group
Кожен запис файлу / etc / group складається з чотирьох полів, розділених двокрапкою. Перше поле задає ім'я групи. Подібно імені користувача.
Друге поле зазвичай завжди пусте, так як механізм паролів для груп зазвичай не використовується, однак якщо дане поле не порожньо і містить пароль, то до групи може приєднатися будь-який користувач. Для цього потрібно виконати команду newgrp з ім'ям групи в якості параметра, після чого ввести правильний пароль. Якщо пароль для групи не заданий, то приєднатися до неї можуть лише користувачі, перераховані в списку членів групи.
Третє поле задає ідентифікатор групи (GroupID, GID). Сенс його такий же, як і у ідентифікатора користувача.
Останнє поле являє собою список імен користувачів, що належать до цієї групи. Імена користувачів перераховуються через кому без пробілів. Первинна група користувача вказується (в обов'язковому порядку) в файлі passwd і призначається при підключенні користувача до системи виходячи з цієї інформації. Відповідно, якщо змінити первинну групу користувача в файлі passwd, то користувач більш не зможе приєднатися до своєї колишньої первинної групі.
файл /etc/login.defs
Додати нового користувача в систему можна кількома способами. У МСВС для цього використовуються такі програми: coastooL, LISA, useradd. Підійде будь-яка з них. Утиліта COAS використовує свій власний файл. А програми useradd і LISA беруть інформацію про значеннях за замовчуванням для полів файлів passwd і shadow з файлу /etc/login.defs. Вміст цього файлу в скороченій формі показано в лістингу 1.4.
Лістинг 1.4. Скорочений файл /etc/login.defs
# Максимальна кількість днів, протягом якого дозволяється використовувати пароль:
# (- 1 - зміна пароля не обов'язкова) PASS_MAX_DAYS-1
Мінімальна кількість днів між змінами пароля: PASS_MIN_DAYSО
# За скільки днів до дати зміни пароля має видаватися попередження: PASS_WARN_AGE7
# Яка кількість днів має пройти після закінчення допустимого терміну використання пароля, перш ніж обліковий запис буде блокована: PASS_INACTIVE-1
# Форсувати закінчення строку використання пароля в заданий день:
# (Дата ідентифікується кількістю днів після 70/1/1, -1 \u003d не форсувати) PASS_EXPIRE -1
# Значення полів створюваної облікового запису для програми useradd
# Група за замовчуванням: GROUP100
# Домашній каталог користувача:% s \u003d ім'я користувача) Ноmе / home /% s
# Командна оболонка за замовчуванням: SHELL / bin / bash
# Каталог, в якому розташований скелет домашнього каталогу: SKEL / etc / skel
# Мінімальне і максимальне значення для автоматичного вибору gid в groupaddGID_MIN100
Вміст цього файлу задає значення за замовчуванням для полів файлів passwd і shadow. Якщо не перевизначити їх з командного рядка, будуть використані саме вони. Як відправна точка, ці значення цілком підійдуть, однак для реалізації старіння паролів деякі з них потрібно буде змінити. Значення, рівне -1, означає відсутність обмежень.
У програмі COAS дистрибутива Caldera використовується графічний інтерфейс користувача л то
Для зміни інформації про старіння пароля для одного або двох користувачів можна скористатися командою chage (changeaging - змінити старіння). Непривілейованих користувачі можуть запускати chage тільки з параметрами -l і власним ім'ям користувача, тобто запитувати інформацію про старіння тільки власного пароля. Для зміни інформації про старіння досить вказати ім'я користувача, інші параметри будуть запитані в діалоговому режимі. Виклик chage без параметрів видасть коротку довідку про використання.
Програма COAS може використовуватися з метою зміни параметрів старіння паролів для кожної з облікових записів окремо. При цьому значення вказуються в днях. Інтерфейс програми очевидний.
ПРИМІТКА -
Для отримання інформації про старіння пароля користувача або форсування цього процесу можна скористатися командою expiry.
Система безпеки РАМ
Основна ідея РАМ полягає в тому, що завжди можна написати новий модуль безпеки, який би звертався до файлу або пристрою за інформацією і повертав результат виконання процедури авторизації: УСПІХ (SUCCESS), НЕВДАЧА (FAILURE) або ІГНОРУВАТИ (IGNORE). А РАМ, в свою чергу, поверне УСПІХ (SUCCESS) або НЕВДАЧА (FAILURE) викликала її службі. Таким чином, неважливо, які паролі, тіньові або звичайні, використовуються в системі, якщо в ній є РАМ: все підтримують РАМ програми будуть прекрасно працювати і з тими і іншими.
Перейдемо тепер до розгляду основних принципів роботи РАМ. Розглянемо лістинг 1.6. В каталозі /etc/pam.d містяться файли конфігурації і для інших служб, таких як su, passwd і т. П., В залежності від того, яке програмне забезпечення встановлено у системі. Кожній службі з обмеженням доступу (restrictedservice) відповідає свій файл конфігурації. Якщо такого немає, то дана служба з обмеженням доступу потрапляє в категорію «other», з файлом конфігурації other.d. (Службою з обмеженням доступу називається будь-яка служба або програма, для використання якої потрібно пройти авторизацію. Іншими словами, якщо при нормальних умовах служба запитує у вас ім'я користувача і пароль, вона є службою з обмеженням доступу.)
лістинг 1.6. Файлконфігурацііслужби login
auth required pam_securetty.so
auth required pam_pwdb.so
auth required pam_nologin.so
#auth required pam_dialup.so
auth optional pam_mail.so
account required pam_pwdb.so
session required pam_pwdb.so
session optional pam_lastlog.so
password required pam_pwdb.so
Як видно з лістингу, файл конфігурації складається з трьох стовпців. Рядки, що починаються з символу решітки (#), ігноруються. Стало бути, модуль pam_dialup (четвертий рядок лістингу 1.6.) Буде пропущений. У файлі є рядки з однаковим третім полем - pam_pwd.so, і першим - auth. Використання декількох рядків з однаковим першим полем називається накопиченням (stacking) модулів і дозволяє отримувати багатокроковому авторизацію (стек модулів), що включає кілька різних процедур авторизації.
Перший стовпець є стовпцем типу. Тип визначається однією з чотирьох символьних міток: auth, account, session і password. Вміст всіх стовпців розглядається без урахування регістру.
Тип auth (authentication - аутентифікація) використовується для з'ясування, чи є користувач тим, за кого він себе видає. Як правило, це досягається порівнянням введеного і зберігається паролів, але можливі й інші варіанти.
Тип account (обліковий запис) перевіряє дозволено використовувати службу даному користувачеві, на яких умовах, чи не застарів пароль і т. Д.
Тип password (пароль) використовується для поновлення маркерів авторизації.
Тип session (сеанс) виконує певні дії при вході користувача в систему і при виході користувача з системи.
керуючі прапори
Другий стовпець є полем керуючого прапора, визначальним, що робити після повернення з модуля, тобто реакцію РАМ на значення УСПІХ (SUCCESS), ІГНОРУВАТИ (IGNORE) і НЕВДАЧА (FAILURE). Дозволені значення: requisite, required, sufficient і optional. Від значення в цьому полі залежить, чи будуть оброблені інші рядки файлу.
Прапор requisite (обов'язковий) задає найбільш жорстку поведінку. Обробка будь-якого рядка з прапором requisite, модуль якої повернув значення НЕВДАЧА (FAILURE), буде припинена і викликала її службі буде повернений статус НЕВДАЧА (FAILURE). Ніякі інші рядки розглядатися не будуть. Цей прапор використовується досить рідко. Справа в тому, що якщо позначений їм модуль виконується найпершим, то наступні за ним модулі можуть і не виконатися, в тому числі і відповідають за забезпечення реєстрації, тому замість нього зазвичай застосовується прапор required (необхідний).
Прапор required (необхідний) не перериває виконання модулів. Який би не був результат виконання позначеного їм модуля: УСПІХ (SUCCESS), ІГНОРУВАТИ (IGNORE) або НЕВДАЧА (FAILURE), РАМ завжди переходить до обробки наступного модуля. Це найбільш часто використовуваний прапор, так як результат виконання модуля не повертається до тих пір, поки не відпрацюють всі інші модулі, а значить, модулі, що відповідають за забезпечення реєстрації, обов'язково виконуватися.
Прапор sufficient (достатній) призводить до негайного завершення обробки рядка і повернення значення УСПІХ (SUCCESS) за умови, що позначений їм модуль повернув значення УСПІХ (SUCCESS) і раніше не зустрічалося модуля з прапором required, що повернув статус НЕВДАЧА (FAILURE). Якщо такий модуль зустрічався, то прапор sufficient ігнорується. Якщо позначений цим прапором модуль повернув значення ІГНОРУВАТИ (IGNORE) або НЕВДАЧА (FAILURE), то прапор sufficient розглядається аналогічно прапору optional.
Результат виконання модуля з прапором optional (необов'язковий) береться до уваги лише тоді, коли він є єдиним модулем в стеці, які повернули значення УСПІХ (SUCCESS). В іншому випадку результат його виконання ігнорується. Таким чином, неуспішне виконання позначеного їм модуля не тягне за собою неуспіх всього процесу авторизації.
Щоб користувач зміг отримати доступ до системи, модулі, помічені прапорами requisite і required, не повинні повертати значення НЕВДАЧА (FAILURE). Результат виконання модуля з прапором optional приймається до розгляду, лише якщо він є єдиним модулем в стеці, які повернули УСПІХ (SUCCESS).
модулі РАМ
Третій стовпець містить повне ім'я файлу модуля, пов'язаного з даною рядком. В принципі, модулі можуть розташовуватися де завгодно, проте якщо вони розміщені в зумовленому каталозі для модулів, то можна вказувати одне лише ім'я, в іншому випадку потрібен ще й шлях. У МСВС визначеним каталогом є / lib / security.
Четвертий стовпець призначений для передачі в модуль додаткових параметрів. Не у всіх модулів є параметри, а якщо є, то вони можуть і не використовуватися. Передача параметра модулю дозволяє змінити його поведінку тим чи іншим чином.
Лістинг 1.7 містить список модулів РАМ, що входять до складу МСВС.
Лістинг 1.7. Список модулів РАМ, що входять до складу МСВС
pam_rhosts_auth.so
pam_securetty.so
pam_unix_acct.so
pam_unix_auth.so
pam_unix_passwd.so
pam_unix_session.so
Про модулях докладніше
Модуль pam_access.so використовується для надання / заборони доступу на підставі файлу /etc/security/access.conf. Рядки цього файлу мають такий вигляд:
права: користувачі: звідки
Права - або + (дозволити), або - (заборонити)
Користувачі - ALL, ім'я користувача або користувач @ вузол, де вузол відповідає імені локальної машини, інакше запис ігнорується.
Звідки - одне або кілька імен файлів терміналів (без префікса / dev /), імена вузлів, доменні імена (що починаються з крапки), IP адреси, ALL або LOCAL.
Модуль pam_cracklib.so перевіряє паролі за словником. Він призначений для перевірки нового пароля і дозволяє запобігти використанню в системі легко зламувати паролі, якими вважаються загальновживані слова, паролі, що містять повторювані символи, і занадто короткі паролі. Є необов'язкові параметри: debug, type \u003d і retry \u003d. Параметр debug включає занесення налагоджувальної інформації в файл журналу. Параметр type, за яким слідує рядок, змінює в виведеному за замовчуванням запрошенні NewUnixpassword: слово Unix на зазначену рядок. Параметр retry задає число спроб, що надаються користувачеві для введення пароля, після вичерпання яких повертається помилка (за замовчуванням дається одна спроба).
Розглянемо лістинг 1.8. У ньому показано вміст файлу / etc / pam.d / other. У цьому файлі міститься конфігурація, яка використовується механізмом РАМ щодо служб, які не мають своїх власних конфігураційних файлів в каталозі /etc/pam.d. Іншими словами, цей файл застосовується по відношенню до всіх служб, невідомих системі РАМ. У ньому представлені всі чотири типи авторизації, auth, account, password і session, кожна з яких викликає позначений прапором required модуль pam_deny.so. Таким чином, виконання невідомої служби забороняється.
Лістинг 1.8. файл /etc/pam.d/other
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
password required pam_deny.so
password required pam_warn.so
session required pam_deny.so
Модуль pam_dialup.so перевіряє, чи потрібно вказувати пароль для доступу до віддаленого терміналу або терміналам, для чого використовується файл / etc / security / ttys.dialup. Модуль можна застосувати не тільки до ttyS, а взагалі до будь-якого tty-терміналу. Коли пароль потрібен, він звіряється з прописаним в файлі / etc / security / passwd.dialup. Зміни файлу passwd.dialup здійснюються програмою dpasswd.
Модуль pam_group.so займається перевірками відповідно до вмісту файлу /etc/security/group.conf. У цьому файлі вказуються групи, членом яких може стати зазначений у файлі користувач при виконанні певних умов.
Модуль pam_lastlog.so заносить в файл lastlog відомості про те, коли і звідки ви увійшли в систему. Зазвичай цей модуль позначається типом session і прапором optional.
Модуль pam_limits.so дозволяє накладати різні обмеження на користувачів, які увійшли в систему. Ці обмеження не розповсюджуються на абонентів root (або будь-якого іншого користувача з нульовим ідентифікатором). Обмеження встановлюються на рівні входу в систему і не є глобальними або постійними, діючи тільки в межах одного входу.
Модуль pam_lastfile.so приймає деяку запис (item), порівнює її зі списком в файлі і на підставі результатів порівняння повертає УСПІХ (SUCCESS) або НЕВДАЧА (FAILURE). Параметри цього модуля такі:
Item \u003d [термінал користувач | удаленний_узел | удаленний_пользователь | група | оболонка]
Sense \u003d (статус для повернення; коли запис знайдений в списку, в іншому випадку повертається статус, протилежний зазначеному)
filе \u003d / повний / шлях / і / имя_файла - onerr \u003d (який статус повертати в разі виникнення помилки)
Арр1е \u003d [користувач | @ група] (задає користувача або групу, щодо якої застосовуються обмеження. Має сенс тільки для записів виду item \u003d [термінал | удаленний_узел | оболонка], для записів виду item \u003d [користувач | удаленний_пользователь | група] ігнорується)
Модуль pam_nologin.so використовується при авторизації типу auth з прапором required. Цей модуль перевіряє, чи існує файл / etc / nologin, і якщо немає, то повертає значення УСПІХ (SUCCESS), інакше вміст файлу показується користувачеві і повертається значення НЕВДАЧА (FAILURE). Цей модуль зазвичай використовується в тих випадках, коли система ще не до кінця введена в лад або тимчасово закрита для обслуговування, але не від'єднана від мережі.
Модуль pam_permit.so є додатковим до модуля pam_deny.so. Він завжди повертає значення УСПІХ (SUCCESS). Будь-які передані параметри модулем ігноруються.
Модуль pam_pwdb.so надає інтерфейс до файлів passwd і shadow. Можливі наступні параметри:
Debug - запис налагоджувальної інформації в файл журналу;
Audit - додаткова налагоджувальна інформація для тих, кому недостатньо звичайної налагоджувальної інформації;
Use_first_pass - ніколи не запитувати пароль у користувача, а брати його у попередніх модулів стека;
Try_first_pass - спробувати отримати пароль у попередніх модулів, в разі невдачі запросити у користувача;
Use_authtok - повернути значення НЕВДАЧА (FAILURE) в разі, якщо pam_authtok ні встановлено, що не запитувати пароль у користувача, а брати його у попередніх модулів стека (тільки для стека модулів типу password);
Not_set_pass - не встановлювати пароль з цього модуля в якості пароля для наступних модулів;
Shadow - підтримувати систему тіньових паролів;
Unix - поміщати паролі в файл / etc / passwd;
Md5 - при наступній зміні паролів використовувати паролі md5;
Bigcrypt - при наступній зміні паролів використовувати паролі DECC2;
Nodelay - відключити односекундного затримку при невдалій авторизації.
Модуль pam_rhosts_auth.so дозволяє / забороняє використання файлов.rhosts або hosts.equiv. Крім того, він також дозволяє / забороняє використання «небезпечних» записів в цих файлах. Параметри цього модуля такі:
No_hosts_equiv - ігнорувати файл /etc/hosts.equiv;
No_rhosts - ігнорувати файл / etc / rhosts або ~ / .rhosts;
Debug - протоколювати зневадження;
Nowarn - не виводити попередження;
Suppress - не виводити ніяких повідомлень;
Promiscuous - дозволити використовувати знаки підстановки «+» в будь-якому полі.
Модуль pam_rootok.so повертає значення УСПІХ (SUCCESS) для будь-якого користувача з нульовим ідентифікатором. Будучи позначений прапором sufficient, даний модуль дозволяє отримувати доступ до служби без вказівки пароля. Параметр у модуля всього один: debug.
Модуль pam_securetty.so можна використовувати тільки в відношенні суперкористувачем. Цей модуль працює з файлом / etc / securetty, дозволяючи суперкористувачеві входити в систему тільки через перераховані в цьому файлі термінали. Якщо потрібно дозволити вхід суперкористувача в систему за допомогою telnet (псевдотермінал ttyp), то слід або додати в цей файл рядки для ttyp0-255, або закомментировать виклик pam_securetty.so в файлі для служби login.
Модуль pam_shells.so повертає значення УСПІХ (SUCCESS), якщо оболонка користувача, зазначена в файлі / etc / passwd, присутній в списку оболонок з файлу / etc / shells. Якщо файл / etc / passwd не призначить користувачеві ніякої оболонки, то запускається / bin / sh. Якщо у файлі / etc / passwd для користувача вказана оболонка, відсутня в списку / etc / shells, модуль повертає значення НЕВДАЧА (FAILURE). Правом на запис в файл / etc / shells повинен володіти тільки привілейований користувач.
Модуль pam_stress.so використовується для управління паролями. У нього досить багато параметрів, в тому числі і незмінний debug, але в загальному випадку з усіх параметрів інтерес представляють тільки два:
Rootok - дозволити суперкористувачеві міняти паролі користувачів без введення старого пароля;
Expired - з цим параметром модуль виконується, як якщо б термін дії пароля користувача уже закінчився.
Інші параметри модуля дозволяють відключити будь-який з цих двох режимів, використовувати пароль від іншого модуля або передати пароль іншому модулю і т. П. Тут я не буду розглядати всі параметри модуля, тому якщо у вас виникне потреба у використанні спеціальних можливостей цього модуля, прочитайте їх опис в документації модуля.
У МСВС модуль pam_tally.so в файлах з /etc/pam.d за замовчуванням не використовується. Цей модуль проводить підрахунок спроб проходження авторизації. При успішному проходженні авторизації лічильник числа спроб можна обнуляти. Якщо кількість невдалих спроб підключення перевищило деяке порогове значення, доступ можна заборонити. За замовчуванням відомості про спроби поміщаються в файл / var / log / faillog. Глобальні параметри такі:
Onerr \u003d - що робити, якщо виникла помилка, наприклад не вдалося відкрити файл;
Filе \u003d / повний / шлях / і / имя_файла - якщо відсутня, то використовується файл за умовчанням. Наступний параметр має сенс тільки для типу auth:
No_magic_root - включає підрахунок числа спроб для суперкористувача (за замовчуванням не ведеться). Корисно, якщо дозволено вхід суперкористувача в систему через telnet. Наступні параметри мають сенс тільки для типу account:
Deny \u003d n - відмовити в доступі після n спроб. При використанні цього параметра поведінку модуля reset / no_reset за замовчуванням змінюється з no_reset на reset. Це відбувається для всіх користувачів, за винятком користувача root (UID 0), якщо тільки не використовується параметр no_magic_root;
No_magic_root - не ігнорувати параметр deny для спроб доступу, здійснюваних користувачем root. При використанні спільно з параметром deny \u003d (див. Раніше) для користувача root за замовчуванням встановлюється поведінка reset, як і для всіх інших користувачів;
Even_deny_root_account - дозволяє блокування облікового запису суперкористувача при наявності параметра no_magic_root. При цьому видається попередження. Якщо параметр no_magic_root не використовується, то незалежно від числа невдалих спроб обліковий запис суперкористувача, на відміну від записів звичайних користувачів, ніколи не буде заблокована;
Reset - обнуляти лічильник числа спроб при успішному вході;
No_reset - НЕ обнуляти лічильник числа спроб при успішному вході; використовується за умовчанням, якщо тільки не вказано параметр deny \u003d.
Модуль pam_time.so дозволяє обмежити доступ до служби в залежності від часу. Всі інструкції по його налаштування можна знайти в файлі / etc / security / time.conf. Параметрів у нього немає: все задається у файлі конфігурації.
Модуль pam_unix займається питаннями звичайної авторизації МСВС (зазвичай замість цього модуля використовується pam_pwdb.so). Фізично даний модуль складається з чотирьох модулів, кожен з яких відповідає одному з типів РАМ: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so і pam_unix_passwd.so. Модулі для типів account і auth параметрів не мають. У модуля для типу passwd параметр всього один: strict \u003d false. При його наявності модуль не перевіряє паролі на стійкість до злому, дозволяючи використовувати довільні, в тому числі і небезпечні (легко вгадуються або підбираються) паролі. Модуль для типу session розуміє два параметри: debug і trace. Отладочная інформація параметра debug поміщається в файл журналу налагоджувальної інформації, як зазначено в syslog.conf, а інформація параметра trace через її чутливості - в журнал authpriv.
Модуль pam_warn.so заносить повідомлення про своє виклик до syslog. Параметрів не має.
Модуль pam_wheel.so дозволяє ставати суперкористувачем тільки членам групи wheel. Група wheel - це спеціальна системна група, члени якої мають великі привілеї, ніж звичайні користувачі, але менші, ніж привілейований користувач. Її наявність дозволяє зменшити число користувачів системи з привілеями суперкористувача, зробивши їх членами групи wheel і тим самим підвищивши безпеку системи. Якщо привілейований користувач може входити в систему тільки за допомогою терміналу, то даний модуль можна використовувати для того, щоб зробити недоступною для користувачів роботу через telnet з привілеями суперкористувача, відмовивши їм у доступі, якщо вони не належать до групи wheelМодуль використовує такі параметри:
Debug - протоколювання налагоджувальної інформації;
Use_uid - визначення приналежності на підставі поточного ідентифікатора користувача, а не того, що був призначений йому при вході в систему;
Trust - в разі належності користувача до групи wheel повертати значення УСПІХ (SUCCESS), а не ІГНОРУВАТИ (IGNORE);
Deny - змінює зміст процедури на протилежний (повернення неуспішних). У комбінації з group \u003d дозволяє відмовляти в доступі членам даної групи.
ПРИМІТКА -
Каталог / etc / security має безпосереднє відношення до каталогу /etc/pam.d, оскільки містить файли конфігурації різних модулів РАМ, що викликаються в файлах з /etc/pam.d.
Записи РАМ в файлах журналів
лістинг 1.9. Вміст / var / log / secure
Jan 11 16:45:14 chiriqui PAM_pwdb: (su) session opened for user root
Jan 11 16:45:25 chiriqui PAM_pwdb: (su) session closed for user root
Jan 11 17:18:06 chiriqui login: FAILED LOGIN 1 FROM (null) FOR david,
Authentication failure
Jan 11 17:18:13 chiriqui login: FAILED LOGIN 2 FROM (null) FOR david.
Authentication failure
Jan 11 17:18:06 chiriqui login: FAILED LOGIN 1 FROM (null) FOR david.
Authentication failure
Jan 11 17:18:13 chiriqui login: FAILED LOGIN 2 FROM (null) FOR david,
Authentication failure
Jan 11 17:18:17 chiriqui PAM_pwdb: (login) session opened for user david
Jan 11 17:18:17 chiriqui - david: LOGIN ON ttyl BY david
Jan 11 17:18:20 chiriqui PAM_pwdb: (login) session closed for user david
Кожен запис починається з дати, часу та імені вузла. Після чого слід ім'я модуля РАМ і ідентифікатор процесу, укладений у квадратні дужки. Потім, в круглих дужках, йде ім'я служби з обмеженням доступу. Для лістингу 1.9 це або su, або login. Після імені служби слід або «sessionopened» (сеанс відкритий), або «sessionclosed» (сеанс закритий).
Запис, наступна безпосередньо за записом з «sessionopened», є повідомленням про вхід в систему, з якого можна дізнатися, хто і звідки увійшов в систему.
Розглядаються наступні питання:
Що таке для користувача група за замовчуванням і приватні призначені для користувача групи;
Зміна користувача / групи;
Як зміна користувача / групи впливає на графічний інтерфейс;
Безпека і користувачі;
Безпека і паролі;
Захист паролів;
Вибір хорошого пароля;
Злом паролів.
Група за замовчуванням
В даний час обмеження на одночасну приналежність користувача лише до однієї групи більше не існує. Будь-який користувач може належати одночасно до декількох груп. За командою newgrp користувач стає членом зазначеної в команді групи, при цьому дана група стає для даного користувача групою входу в систему (Logingroup). При цьому користувач продовжує залишатися членом тих груп, в які він входив до виконання команди newgrp. Група входу в систему є групою, яка стає груповим власником файлів, що створюються користувачем.
Різниця між групою за замовчуванням і приватними групами користувачів полягає в ступені відкритості цих двох схем. У разі схеми з групою за замовчуванням будь-який користувач може читати (а часто і змінювати) файли іншого користувача. З приватними ж групами читання або запис файлу, створеного іншим користувачем, можливі лише, якщо його власник явно надав права на ці операції іншим користувачам.
Якщо потрібно, щоб користувачі могли приєднуватися і залишати групу без втручання системного адміністратора, то цій групі можна призначити пароль. Користувач може користуватися привілеями певної групи тільки в разі, якщо він належить до неї. Тут є два варіанти: або він належить до групи з моменту входу в систему, або він стає членом групи згодом, уже після того, як він почав роботу з системою. Щоб користувач міг приєднатися до групи, до якої він не належить, цій групі повинен бути призначений пароль.
За замовчуванням в МСВС групові паролі не використовуються, тому файлу gshadow в каталозі / etc немає.
Якщо для виконання рутинних завдань адміністрування користувачів ви постійно використовуєте тільки одну з програм - useradd, LISA або COAS, - файли налаштувань користувачів виходять більш узгодженими і більш легкими в супроводі.
Перевага схеми з групою за замовчуванням полягає в тому, що вона полегшує спільне використання файлів, так як при її використанні не потрібно піклуватися про права доступу до них. Ця схема має на увазі відкритий підхід до системи за принципом «дозволено все, що не заборонено».
Налаштування параметрів користувачів за замовчуванням - це високопріоритетних завдання, яке слід виконати відразу ж після того, як ви встановите систему.
Приватні групи користувачів
Приватні групи користувачів мають іменами, що збігаються з іменами користувачів. Приватна група робиться групою входу в систему, тому за замовчуванням, тобто якщо атрибути каталогу не пропонують нічого іншого, вона призначається в якості групи-власника всіх файлів даного користувача.
Перевага приватних груп користувача полягає в тому, що користувачам не потрібно думати про обмеження доступу до своїх файлів: за замовчуванням доступ до призначених для користувача файлів з самого моменту їх створення буде обмежений. У МСВС, при використанні приватних груп користувач може читати або змінювати тільки належні йому файли. Крім того, створювати файли він може тільки в своєму домашньому каталозі. Така поведінка за замовчуванням може бути змінено системним адміністратором або користувачем, причому як на рівні окремого файлу, так і на рівні каталогу.
Є кілька команд, за допомогою яких користувач може управляти своїм ім'ям і / або групою, до якої він належить, або ім'ям або групою, від імені яких виконується програма. Одна з таких програм newgrp.
Команда newgrp може бути виконана будь-яким користувачем. Вона дозволяє йому приєднатися до групи, до якої він не належав, але тільки якщо цій групі призначений пароль. Дана команда не дозволить вам приєднатися до групи без пароля, якщо ви не є членом цієї групи.
Команду newgrp можна використовувати щодо групи, членом якої вже є користувач. В цьому випадку newgrp робить зазначену групу групою входу в систему. Групи користувача поділяються на два типи: група входу в систему і всі інші групи, до яких належить цей користувач. Користувач може належати до декількох груп, однак групою-власником файлів, що створюються користувачем, завжди буде призначатися група входу в систему цього користувача.
Крім newgrp для управління приналежністю файлу того чи іншого користувачеві або групі можна використовувати також команди chown і chgrp.
Область дії команди newgrp в середовищі XWindow обмежується програмою xterm, в якій вона була виконана: в контексті нової групи будуть виконуватися лише програми, запущені через цей термінал, а значить, користувач не може змінювати з її допомогою групу входу в систему для програм, запущених за допомогою диспетчера вікон. Програму, яку завжди потрібно виконувати в контексті вторинної групи, можна запускати через сценарій, який встановлює для неї потрібну групу входу в систему.
Система XWindow завжди привносить в життя користувачів додаткові труднощі. В даному випадку труднощі ці не пов'язані безпосередньо з X, а випливають з логіки роботи / etc / groups і / etc / gshadow. Тим, хто не використовує тіньові паролі для груп, турбуватися особливо нема про що. У випадку з X встановити групу, захищену паролем, з простого сценарію не вийде, проте для вторинних груп користувача, що не вимагають введення пароля, зміна групи здійснюється гранично просто. Досить наступного сценарію:
sg - gifs -з / usr / X11R6 / bin / xv &
В результаті запуску цього сценарію буде запущена програма xv, первинної групою якої буде зроблена група gifs. Що й треба було отримати.
Найважче тим, хто використовує тіньові групові паролі, оскільки в цьому випадку при виконанні даного сценарію на екрані з'явиться повідомлення про помилку. Коли в файлі / etc / groups перераховані входять в групу користувачі, будь-який з них автоматично вважається її членом безпосередньо після входу в систему. Однак в разі тіньових паролів список користувачів групи переміщений в файл / etc / gshadow, так що увійшов в систему користувач не зараховується автоматом в її члени, але може приєднуватися до неї за допомогою команди newgrp або ж виконувати від її імені будь-яку програму за допомогою команди sg. Проблема в тому, що з точки зору X даний користувач (Який не обов'язково є користувачем, котра ініціювала робочий сеанс X) не має права на установку з'єднання. Тому для незахищених паролем груп наведений раніше сценарій внести такі зміни:
xhosts + lосаlhost
sg - gifs -c / usr / X11R6 / bin / xv &
Додана рядок дозволяє отримувати доступ до екрану нову групу (Gifs). Для більшості робочих станцій це не повинно привести до яких-небудь істотних проблем з безпекою, оскільки дана рядок всього лише надати їм доступ до екрану користувачам локального вузла (для отримання додаткової інформації про X і xhost зверніться до хорошого керівництва системного адміністратора Linux).
ПРИМІТКА
Використання Х-сервера (особливо совместо з xdm або kdm) тягне за собою цілий ряд своїх тонкощів, ще більш посилюються графічними додатками, оскільки їх можна запускати не тільки через командний рядок, а й за допомогою значка на графічному робочому столі.
зміна користувача
ПРИМІТКА
Звичайний користувач не в силах завдати системі стільки шкоди, скільки може зробити необережний привілейований користувач. Наслідки вашої помилки як суперкористувача можуть бути вельми фатальними, аж до того, що всім вашим системних файлів (А то і взагалі всіх файлів, що зберігаються в системі) можна буде сказати «прощавай». У деяких компаніях після цього можуть сказати «прощавай» і вам.
Перетворенням одного користувача в іншого займається команда su. Свою назву команда отримала від « substitute user » (Підстановка користувача), але так як найчастіше вона використовується, щоб стати суперкористувачем ..
Команда su, викликана без аргументів, запросить у користувача пароль, після чого (отримавши у відповідь правильний пароль) зробить вас користувачем root. Дана команда є службою з обмеженням доступу, тому всі аспекти її безпеки можна налаштувати через файл /etc/pam.d/su.
ПРИМІТКА -
Звернення su без вказівки імені користувача (з дефісом або без) трактується, як вказівка \u200b\u200bзробити вас користувачем root.
Дана команда sudo дозволяє обраним користувачам виконувати деякі програми на правах суперкористувача, причому в людини яка звернулася до цієї команди користувача виконувати не пароль суперкористувача, а його власний пароль. Використовується sudo подібно команді sg. Користувач вводить sudo команда_для_виполненія, потім свій пароль, і якщо йому це дозволено, зазначена команда виконується в контексті привілеїв суперкористувача.
Безпека і користувачі
Користувачі зазвичай цікавляться тільки тим, як увійти в систему і запустити потрібні їм програми. Інтерес до безпеки з'являється у них лише після втрати важливих файлів. Але триває він недовго. Дізнавшись, що заходи прийняті, користувачі швидко забувають про будь-якої обережності.
Взагалі кажучи, не їхня це турбота - безпека. Системний адміністратор повинен продумати, реалізувати і підтримувати політику безпеки, яка дозволила б користувачам робити свою роботу, не відволікаючись на сторонні для них питання захисту.
Основна небезпека для системи, як правило, виходить зсередини, а не зовні. Її джерелом (особливо в великих системах) може стати, наприклад, розсерджений користувач. Слід, однак, уникати зайвої підозрілості, коли шкоду, завдану через незнання, приймається за злий умисел. Про те, як захистити користувачів від ненавмисного пошкодження своїх і чужих файлів, розповідається в першій частині книги. Як показує практика, середньостатистичний користувач не в змозі зашкодити систему. Турбуватися треба лише про тих користувачів, які в змозі знайти лазівку в механізмах захисту і дійсно здатні заподіяти цілеспрямований шкоди системі. Але таких користувачів зазвичай мало і з часом вони стають відомі, особливо якщо знати, на що звертати увагу. До групи ризику відносяться користувачі, які в силу свого положення або завдяки своїм зв'язкам можуть отримати доступ на рівні привілеїв root. У міру того як ви будете опановувати матеріалом даної книги, ви будете дізнаватися, що саме слід розцінювати як ознаки наближення лиха.
За замовчуванням користувачі отримують повний контроль над своїми домашніми каталогами. Якщо ви використовуєте групу за замовчуванням, всі користувачі системи належать до однієї групи. Будь-який користувач має право доступу до домашніх каталогів інших користувачів і розташованим в них файлів. При використанні схеми з приватними групами користувачів будь-який з користувачів системи отримує доступ тільки до свого власного домашнього каталогу, а домашні каталоги інших користувачів йому не доступні.
Якщо для всіх користувачів системи потрібно забезпечити загальний доступ до деякого набору загальних файлів, рекомендується створити де-небудь загальний каталог спеціально для цих цілей, завести групу, членами якої були б усі користувачі (це може бути група users або будь-яка інша створена вами група), і надати цій групі відповідні права доступу до даного загальному каталогу. Якщо користувач бажає зробити деякі зі своїх файлів доступними для інших користувачів, він може просто скопіювати їх в цей каталог і забезпечити, щоб ці файли належали до тієї самої групи, членами якої є всі користувачі.
Деякі користувачі потребують використання або просто не можуть обійтися без програм, що не входять в комплект МСВС. Більшість користувачів з часом обзаводиться безліччю власних файлів: документи, конфігураційні файли, сценарії і т. П. Система OpenLinux не надає користувачам особливої \u200b\u200bдопомоги в справі організації своїх файлів, залишаючи цю задачу системного адміністратора.
Структура каталогів, створюваних в домашньому каталозі кожного нового користувача, визначається вмістом каталогу / etc / skel. У типовому / etc / skel зазвичай присутні наступні каталоги:
Ці каталоги використовуються для зберігання (відповідно) бінарних файлів, вихідних файлів, файлів документів та інших різноманітних файлів. Багато програм за замовчуванням пропонують зберігати файли тих чи інших типів в одному з цих підкаталогів. Отримавши роз'яснення про призначення наявних в їх розпорядженні каталогів, користувачі зазвичай охоче починають користуватися ними, оскільки це позбавляє їх від необхідності придумувати щось своє. Не забудьте тільки зробити каталог ~ / bin одним з останніх рейтингів, що перераховуються в змінної PATH користувачів.
Безпека і паролі
Кажуть, що де тонко, там і рветься, - цей вислів часто згадують, коли мова заходить про значимість паролів в системі безпеки. Взагалі кажучи, надійність системи безпеки визначається безліччю факторів, зокрема тим, які служби МСВС-система робить доступними для зовнішніх користувачів (використовується вона як web-сервера, чи можна увійти в неї за допомогою telnet і т. Д.). Іншим визначальним фактором є паролі користувачів, що підводить нас до ще одного фактору - дотримання користувачами політик безпеки. Простий користувач знати нічого не бажає про безпеку. Якщо ми поважаємо користувача і не хочемо міняти його ставлення до безпеки примусовими методами, нам слід зробити систему безпеки зручною та зрозумілою для нього. Найважче забезпечити зручність. Все безпечне зазвичай не надто зручно (оскільки за зручністю стоять не поєднуються з безпекою передбачуваність і елементарність) і тому входить в конфлікт зі звичайною поведінкою людей, що віддають перевагу всіх можливих способів найзручніший. Зрештою, користувачі працюють з системою для того, щоб виконати покладену на них роботу, а не додати собі нової. Щоб користувачі свідомо не йшли по шляху найменшого опору при роботі з паролями, я зазвичай намагаюся пояснити їм, для чого взагалі потрібні паролі і чому так важливо підтримувати їх безпеку. Важливо не з загальних позицій типу «систему з низькою безпекою можуть зламати і вкрасти або пошкодити важливі файли», а з позицій особистих інтересів користувача.
Більшість користувачів розуміють всю важливість електронної пошти для своєї роботи. Тим не менш, вони не усвідомлюють, що будь-який увійшов в систему під їх ім'ям отримує можливість використовувати їх електронну пошту від їх імені проти них. Запитайте у користувача, чи використовує він електронну пошту в особистих цілях. Швидше за все, він відповість, що так. Потім запитаєте його, чи доводилося йому вирішувати по електронній пошті важливі ділові питання. Таких, які дадуть відповідь «ні», з кожним днем \u200b\u200bстає все менше і менше. Але навіть у разі негативної відповіді деякі з діловими партнерами цілком можуть вважати угоду по електронній пошті так само зобов'язує, як угода по телефону.
Після чого пояснити користувачеві, що його електронні листи часом мають таку ж важливістю, як і його особистий підпис. І хоча заголовок електронного послання можна підмінити, в більшості випадків подібна підміна так само протизаконна, як і підробка підпису. Але якщо хтось, тим або іншим способом дізнавшись пароль іншого користувача, увійде в систему під його ім'ям, то тим самим він, образно кажучи, отримає можливість підписуватися підписом іншої людини. Будь-яка пошта, відправлена \u200b\u200bїм, буде технічно не відрізняється від пошти, відправленої самим користувачем. Практика надання кому-небудь можливості входу в систему під іншим ім'ям є небажаною і її слід уникати (винятком є \u200b\u200bсистемні адміністратори, які використовують цю можливість для тестування сценаріїв входу в систему і параметрів користувача, але для цього їм не потрібно знати пароль користувача). До небажаних явищ слід віднести і вхід в систему під чужим ім'ям (навіть з дозволу іншого користувача). Наскільки це небажано? Відповідь на це питання визначається строгістю політики безпеки підприємства.
Користувачі повинні розуміти, що є й інші не менш небезпечні способи отримати несанкціонований доступ до їх облікового запису. Найбільш поширений випадок, коли користувач, побоюючись забути пароль, робить його простим для запам'ятовування, а значить, і вгадування, або ж записує пароль на папірець, яка часто просто прикріплюється до монітора. Система пральний безпеки грунтується на двох речах: постійне ім'я користувача і періодично змінюється пароль. Більшість людей нікому не скажуть PIN-код для доступу до свого банківського рахунку, однак свій пароль користувача вони оберігають далеко не настільки ревно. Хоча на відміну від ситуації з банківським рахунком, де постійна частина, тобто кредитна карта, є фізичним об'єктом, доступ до якого ще потрібно отримати, постійна частина системи пральний безпеки, тобто ім'я користувача, відома всім (принаймні, всім в межах компанії і тим, з ким цей користувач вів листування по електронній пошті). Тому якщо змінна частина десь записана або легко вгадується або підбирається програмою, перебирає слова зі словника, то таку обліковий запис не можна вважати добре захищеною.
Нарешті, користувачі повинні знати про існування такого методу отримання пароля, як «соціальна інженерія» (socialengineering). Більшість з нас траплялося в своєму житті хоча б з однією людиною, про який можна сказати «слизький як вже». Такі люди мають здатність переконувати інших людей, вдаючись до логічно побудованої аргументації, надати потрібну їм інформацію. Але це не єдино можливий спосіб дізнатися чужий пароль. Іноді досить просто підглянути.
Засобом протидії подібним казусів є регулярна зміна пароля. Можна, звичайно, міняти пароль раз в десять років, але краще не робити проміжки між змінами занадто довгими, так само як краще не робити їх і занадто короткими, наприклад, раз на годину. Не змінювати пароль занадто довго означає наражатися на ризик злому.
ПРІМЕЧАНІЕ-
Проникнення стороннього в систему під виглядом звичайного користувача може мати сумні наслідки не тільки для файлів цього користувача, але і для всієї системи в цілому, оскільки, чим більше цей сторонній знатиме про вашу систему, тим легше йому буде знайти діри в її захисті.
Зверніть увагу, що перед початком роботи сценарій здійснює деякі перевірки: чи виконується він на рівні привілеїв root, чи не зайнятий початковий UID і т. Д. Проте, не можна сказати, що він перевіряє всі.
Злом паролів
Один із способів перевірки безпеки системи має на увазі, що поставити себе на місце зловмисника і намагатися думати і діяти так, як діяв би людина, що намагається отримати несанкціонований. Це означає, що необхідно прогулювати серед користувачів, підглядаючи, що не прикріплений чи до якогось монітора записаний пароль, чи не залишив хтось на столі папірець із записаними на ній ідентифікаційними даними, або ж «проходите мимо» якраз в той ранковий час , коли користувачі входять в систему (можливо, вдасться помітити, як хто-небудь з них буде набирати пароль на клавіатурі).
Це також означає, що повинні звертати увагу на орієнтацію монітора користувача, що має доступ до чутливої \u200b\u200bінформації, щоб з'ясувати, чи видно вона кому-небудь ще. Далі, коли ці користувачі відлучаються від свого робочого місця, запускають вони заблоковану паролем програму-заставку (screensaver), а може, виходять з системи або ж не роблять нічого?
Однак найкращий спосіб перевірити на міцність систему пральний безпеки і ставлення користувачів до неї - спробувати зламати паролі користувачів. Регулярне виконання програми злому паролів здатне дати досить хорошу оцінку фортеці вашої системи парольного захисту.
Як визначити чи підтримується операційною системою обладнання даного комп'ютера?
Які варіанти установки надає ОС МСВС 3.0?
Які мережеві протоколи підтримуються програмним забезпеченням установки?
У яких випадках потрібне створення завантажувальних дискет?
Перерахуйте основні етапи установки?
Який завантажувач використовується для завантаження ядра ОС?
Перерахуйте основні етапи завантаження ядра?
Що таке lilo і lilo.conf?
Як видалити LILO і відновити вихідний завантажувач?
Для чого використовується механізм модулів ядра?
У яких випадках потрібно використовувати RAM-диск?
Як налаштувати використання RAM-диска при завантаженні?
У чому полягає різниця завантажувальні дискети boot, bootnet і drivers? Як їх створити? Як їх перевірити?
Що таке програмний пакет, залежно пакетів?
Які можливості надають менеджери пакетів?
Який менеджер пакетів використовується для управління програмним забезпеченням?
Як встановити пакет з компакт-диска, по мережі?
Установка ОС МСВС 3.0
Основні етапи установки
Установка з компакт-диска включає наступні кроки:
запрошення до установки і нагадування про документації;
вибір маніпулятора «миша»;
розбиття диска на розділи;
настройка завантажувача;
налаштування мережі;
установка імені комп'ютера;
вибір часового поясу;
вибір комплексів для установки;
установка пакетів;
установка пароля користувача root;
створення завантажувальних дискет;
настройка відеокарти і монітора;
При установці по мережі з використанням сервера необхідно зробити кілька додаткових попередніх кроків:
виготовлення комплекту дискет для завантаження комп'ютера і організації мережевого доступу до сервера;
вибір варіанту мережевий установки;
настройка мережі і організація мережевого доступу до сервера.
Установка з компакт-диска
Перед початком установки потрібно налаштувати BIOS комп'ютера так, щоб першим в списку завантажувальних пристроїв був компакт-диск, і вставити компакт-диск з завантажувальним модулем ОС МСВС 3.0 в привід компакт-дисків.
Якщо BIOS не підтримує завантаження з компакт-диска, необхідно додатково вставити в дисковод дискету boot і налаштувати BIOS комп'ютера так, щоб першим в списку завантажувальних пристроїв була дискета. Сучасні комп'ютери як правило поддержісают завантаження з компакт-диска, тому необхідність в завантажувальної дискеті може виникнути тільки при установці ОС МСВС 3.0 на «старий» комп'ютер.
Потім слід перезавантажити комп'ютер. На екрані монітора з'явиться запрошення:
У форматі даного запрошення існує можливість передачі додаткових параметрів програми установки. Наприклад, команда:
boot: MCBC mem \u003d 128M
повідомляє програмі установки, що обсяг оперативної пам'яті даного комп'ютера дорівнює 128 Мбайт.
Для початку завантаження програми установки потрібно натиснути клавішу. Почнеться завантаження ядра ОС МСВС 3.0, супроводжувана діагностичними повідомленнями, потім стартує програма установки, яка в автоматичному режимі завантажить драйвери приводу компакт-дисків і контролерів жорстких дисків, присутніх в комп'ютері і підтримуваних ОС МСВС 3.0.
Якщо ініціалізація завершилася помилкою, це означає, що для даного типу приводу компакт-дисків або жорсткого диска необхідно завантажити додатковий драйвер. Програма установки запропонує список драйверів, в якому потрібно вибрати відповідний драйвер, і натиснути кнопку «Так».
Якщо завантаження проводилася з дискети boot, після запуску програми установки з'явиться діалогове вікно «Диск драйверів» із зазначенням вставити дискету drivers з драйверами в дисковод. При цьому дискету boot необхідно витягти і вставити дискету drivers.
Після завантаження потрібних драйверів на екрані монітора з'явиться запрошення (рис. 9-1).
1.1.41.Вибор маніпулятора «миша»
Наступним після запрошення ОС МСВС 3.0 з'явиться діалогове вікно «Вибір миші» (рис. 9-2).Вибрати вид «миші», наприклад, «Звичайна миша PS / 2» і, якщо «миша» має дві кнопки, то можна задіяти емуляцію трьохкнопкова режиму. Для цього потрібно включити емуляцію третьої кнопки і натиснути кнопку «Так».
1.1.42.Разбіеніе жорсткого диска на розділи
З'явиться діалогове вікно «Розбиття диска» (рис. 9-3) і буде запропонований вибір утиліти розбивки розділів жорстких дисків: «Автоматичне розбиття», Disk Druid або fdisk.У більшості випадків розбиття жорстких дисків, дискових масивів, томів LVM відбувається в програмі Disk Druid. Причому режим «Автоматичне розбиття» є окремим випадком роботи з Disk Druid з автоматичним розрахунком пропорцій дискового простору відповідно до реально встановленим обладнанням. У разі необхідності низкоуровневой роботи з жорстким диском потрібно використовувати утиліту fdisk.
Виділити Disk Druid і натиснути клавішу.
У діалоговому вікні «Розбиття» (рис. 9-4) з'явиться список доступних дисків і існуючих розділів.
Також в цьому вікні є кнопки для роботи з розділами: «Новий», «Редагувати», «Видалити», «RAID», «Так», «Назад».
У нижньому рядку наведені підказки для використання гарячих клавіш: «F1-Допомога, F2-Новий, F3-Правка, F4-Видалити, F5-Скидання, F12-Да».
У загальному випадку ОС МСВС 3.0 встановлюється на комп'ютер з чистим жорстким диском. В цьому випадку можна зробити розбиття або використовуючи програму Disk Druid, або вибравши автоматичне розбиття.
Для успішної установки ОС МСВС 3.0 досить створити два розділи: кореневий розділ «/» і розділ свопінгу (swap). Розмір кореневого розділу повинен становити не менш як 1200 Мбайт.
На окремі розділи можна винести каталоги / boot, / home, / var, / tmp та інші. Це дозволяє ізолювати, наприклад, домашні каталоги користувачів від кореневої файлової системи.
УВАГА. В ОС МСВС 3.0 можна розміщувати на окремому розділі каталог / usr!
Для винесення каталогу на окремий розділ необхідно створити розділ з файловою системою «ext3» і призначити йому точку монтування, відповідну назвою каталогу.
Для створення розділу вибрати кнопку «Новий» і натиснути клавішу. У діалоговому вікні «Додати розділ» (редагування нового розділу) (ріс.9-5):
вибрати тип файлової системи (для розділу свопінгу - «swap», в інших випадках - «ext3»).
розмір розділу в мегабайтах (при необхідності можна «розтягнути» розділ на весь диск);
точку монтування, для кореневого розділу - це «/», для розділу свопінгу завдання точки монтування не потрібно.
По завершенні роботи по створенню розділів, у вікні «Розбиття» натиснути кнопку «Так».
На екрані монітора з'явиться діалогове вікно «Зберегти зміни».
Натиснути кнопку «Так».
Наступний крок - форматування створених розділів. На екрані мнітора з'явиться діалогове вікно з заголовком «Увага!» і переліком розділів, які будуть відформатовані при натисканні кнопки «Так» (рис. 9-6).
1.1.43.Настройка завантажувача
На екрані з'явиться діалогове вікно «Налаштування завантажувача» (рис. 9-7). У цьому вікні необхідно вибрати варіант установки системи з завантажувачем або без нього. Завантажувач дозволяє мати в системі декілька варіантів її старту, або здійснює вибір завантажується ОС (якщо їх більше однієї). У режимі без завантажувача ядро \u200b\u200bОС МСВС 3.0 буде монопольно завантажуватися в даній системі.
Натиснути кнопку «Так».
Далі на екрані з'явиться діалогове вікно (рис. 9-8) з пропозицією ввести додаткові параметри, які будуть використовуватися при завантаженні. За замовчуванням в даному вікні встановлений прапор використання режиму LBA32 (використання 32-бітових логічних адрес блоків жорсткого диска), так як цей режим в більшості випадків потрібно для підтримки дисків великої ємності.
У разі наявності в комп'ютері пише IDE-приводу компакт-дисків, в поле введення параметрів програма установки помістить рядок виду «hdc \u003d ide-scsi» (наприклад, якщо привід підключений в режимі Master до другого IDE-контролера).
Якщо ніяких інших параметрів ні завантажувачу LILO, ні ядру передавати не потрібно, рекомендується не змінювати параметри, запропоновані програмою установки, і натиснути кнопку «Так».
Наступна процедура в налаштуванні завантажувача - це завдання пароля на доступ до зміни стартових параметрів системи. Так як при наявності завантажувача існує можливість передачі спеціалізованих параметрів ядра з клавіатури при старті системи, то для забезпечення необхідного рівня безпеки дана можливість захищається паролем. У наступному діалоговому вікні (рис. 9-9) введіть пароль, розмір якого не повинен бути менше 8-ми символів. Підтвердіть пароль повторним введенням його на наступному рядку вікна.
Натиснути кнопку «Так».
На екрані з'явиться діалогове вікно вибору завантажувальних розділів (ріс.9-10), з пропозицією вказати інші завантажувальні розділи, Які можна буде завантажувати за допомогою завантажувача ОС МСВС 3.0. Наприклад, якщо на комп'ютері є інша ОС, можна присвоїти їй мітку і завантажувати за допомогою завантажувача ОС МСВС 3.0.
Ввести необхідні дані у відповідних рядках і натиснути кнопку «Так».
У наступному вікні (Рис. 9-11) задається розташування завантажувача на диску. Можливі два варіанти: основний завантажувальний запис (MBR) жорсткого диска (рекомендується в більшості випадків), або завантажувальний сектор (boot record) відповідного розділу, куди проводиться установка.
Зробити вибір і натиснути кнопку «Так».
1.1.44.Настройка мережі
У разі виявлення програмою установки хоча б однієї мережевої карти, На екрані з'явиться послідовність діалогових вікон «Налаштування мережі для ethX» (рис. 9-12), де X - порядковий номер, в яких здійснюється настройка параметрів для кожної мережевої карти.
протоколи автоматичної настройки мережевих параметрів BOOTP і DHCP використовуються при наявності в мережі спеціального сервера, який надає службу автоматичної конфігурації за запитом клієнтської машини.
Якщо DHCP-сервер відсутній, необхідно встановити мережеві параметри явно, для чого виберіть «Активізувати при завантаженні». Після цього у вікні будуть підсвічені кілька рядків, в яких потрібно вказати параметри підключення до мережі.
Мережеві адреси представляються у форматі десятково-точкової записи (наприклад, 192.168.1.1). Інформація щодо заповнення полів повинна бути надана адміністратором мережі.
Мережевий адреса - IP-адреса комп'ютера в мережі.
Мережева маска - параметр, що характеризує клас сегмента мережі.
Шлюз за замовчуванням - вузол, обслуговуючий комунікації даної локальної мережі з зовнішніми сегментами мережі.
Первинний сервер імен - вузол, що підтримує службу розв'язання доменних імен по протоколу DNS в IP-адреси. У відповідних полях ввести IP-адреси додаткових серверів імен (DNS). Якщо в мережі використовується один сервер імен, ці поля можна залишити порожніми.
Натиснути кнопку «Так».
|
|
| Мал. 9-13. Установка імені комп'ютера. |
|
|
| Мал. 9-14. Вибір часового поясу. |
Потім необхідно зазначити ім'я комп'ютера. На екрані з'явиться наступне діалогове вікно «Установка імені комп'ютера» (рис. 9-13), в якому слід заповнити відповідне поле. Ім'я також має бути узгоджено з адміністратором мережі.
Натиснути кнопку «Так».
1.1.45.Вибор часового поясу
На екрані з'явиться наступне діалогове вікно «Вибір часового поясу», в якому проводиться настройка параметрів часу системи. В ОС МСВС 3.0 відлік часу здійснюється в локальному режимі, тобто апаратні годинник системи однозначно визначають її час без додаткового перетворення щодо різних точок відліку типу UTC.
У вікні слід вибрати найближче відповідає місцю розташування комп'ютера часового поясу Росії, із зазначенням різниці поясного часу щодо «нульового» пояса - Європа / Москва (рис. 9-14).
Натиснути кнопку «Так».
1.1.46.Вибор і установка пакетів
На екрані з'явиться діалогове вікно «Вибір комплексів» (рис. 9-15).
У цьому діалоговому вікні пропонується вибрати такі комплекси:
Базова конфігурація ОС;
Підсистема графічного інтерфейсу;
Засоби розробки.
Вибір групи «Базова конфігурація ОС» обов'язковий, в ньому містяться всі необхідні компоненти для функціонування ОС МСВС 3.0 в базовому варіанті (без додаткових коштів).
Режим установки "Все (включаючи необов'язкові)" означає установку всіх пакетів дистрибутива, включаючи модифікації ядра ОС, неспецифічні для даного комп'ютера і набір пакетів, необхідних для виготовлення завантажувального диска ОС МСВС 3.0.
Для більш детального вибору пакетів (можливо, для економії дискового простору, займаного ОС) потрібно відзначити опцію «Індивідуальний вибір пакетів» та натиснути кнопку «Так». З'явиться вікно «Вибір пакетів» (рис. 9-16) зі списком груп пакетів і самих пакетів.
Групу можна згорнути / розгорнути, якщо підвести до неї лінію підсвічування і натиснути клавішу. Для отримання інформації про пакет потрібно підвести до нього лінію підсвічування і натиснути клавішу. Включення / вимикання пакетів в список для установки здійснюється натисканням на клавішу.
Після завершення вибору пакетів натиснути кнопку «Так».
Якщо був обраний індивідуальний список пакетів для установки, може виникнути ситуація, коли серед них з'являться незадоволені залежності. Це означає, що в обраному списку присутні пакети, для установки яких потрібні інші пакети з завантажувального диска ОС МСВС 3.0, які не були зазначені. Дозвіл залежностей пакетів буде вироблено автоматично програмою установки.
Після завершення вибору пакетів на екрані з'явиться діалогове вікно «Початок установки». У цьому вікні буде міститися інформація про фото / root / log, в який програма установки після закінчення роботи збереже список встановлених пакетів.
Реальне розбиття диска і установка пакетів почнеться тільки після натискання кнопки «Так» у вікні «Початок установки». При необхідності до цього моменту ще можна перервати процес установки шляхом перезавантаження комп'ютера. В цьому випадку всі дані на жорстких дисках залишаться без змін.
Для початку установки пакетів натиснути кнопку «Так».
На екрані з'явиться вікно «Установка пакета» (рис. 9-17).
На цьому етапі можна спостерігати процес установки обраних пакетів, який проводиться автоматично. Для кожного пакету виводиться його короткий опис, а також відображається статистична інформація про процес установки поточного пакета і всіх пакетів разом.
1.1.47.Установка пароля користувача root
На екрані з'явиться діалогове вікно «Пароль користувача root» (рис. 9-18). Визначити пароль в рядку «Пароль» і підтвердити його введення в рядку «Підтвердіть пароль» (обмеження на вид і розмір пароля визначаються вимогами безпеки, що пред'являються до системи; за замовчуванням, розмір пароля - не менше восьми символів). При завданні пароля з клавіатури, з міркувань забезпечення безпеки, замість символів, що вводять на екран виводяться зірочки. Натиснути кнопку «Так».
1.1.48.Созданіе завантажувальних дискет
На екрані з'явиться наступне діалогове вікно «Комплект завантажувальних дискет» (рис. 9-19). Комплект завантажувальних дискет може знадобитися в разі пошкодження завантажувального запису на жорсткому диску.
Для створення завантажувальних дискет натиснути кнопку «Так». Далі слідувати інструкціям, що пропонуються в діалогових вікнах.
Якщо створення завантажувального комплекту не потрібно, натиснути кнопку «Ні». Надалі можна буде створити завантажувальний диск за допомогою графічної утиліти або команди mkbootdisk.
1.1.49.Настройка відеокарти і монітора
На наступній стадії потрібно налаштувати графічну систему. Для цього в діалогових вікнах, слідуючи інструкціям, ввести інформацію про відеокарту і монітор.
Якщо програма установки автоматично визначить тип відеокарти, з'явиться інформація про неї (рис. 9-20).
 |
| Мал. 9-19. Створення завантажувальних дискет. |
|
|
| Мал. 9-20. Вибір відеокарти. |
Інакше, з'явиться діалогове вікно «Виберіть карту». Вибрати її тип зі списку. Якщо в списку немає потрібної відеокарти, вибрати «Незазначені карта».
У вікні «Вибір сервера» вибрати X-сервер, з яким здатна працювати наявна відеокарта.
Після цього з'явиться діалогове вікно «Налаштування монітора» (рис. 9-21). Якщо програма установки автоматично не з'ясує тип монітора, вибрати відповідний монітор зі списку «Змінити».
При необхідності можна вказати параметри монітора «вручну». Для цього вибрати в списку пункт тип «Інший» і задати робочу частоту розгортки зображення по вертикалі і горизонталі (60 ~ 100 Гц).
Натиснути кнопку «Так».
Після вибору монітора на екрані з'явиться вікно «Додатково» (рис. 9-22). Вибрати у вікні необхідну глибину кольору і дозвіл монітора. Крім цього, в даному вікні можна вибрати режим входу в систему «Графічний» (рекомендується) або «Текстовий». У разі вибору графічного входу в систему система графічного інтерфейсу буде запускатися за замовчуванням. Зробити вибір і натиснути кнопку «Так».
Після настройки графічної системи з'явиться інформаційне вікно «Установка завершена» (Рис. 9-23) з повідомленням «Вітаємо, установка ОС МСВС 3.0 завершена».
Натиснути кнопку «Так» для перезавантаження. Комп'ютер почне перезавантажуватися. Під час перезавантаження лоток з компакт-диском автоматично висунеться. Зніміть диск з лотка.
 |
| Мал. 9-23. Установка завершена. |
|
|
| Мал. 9-24. метод установки |
У цьому огляді я спробую встановити копію RedHat Enterprice Linux для потреб МО РФ, щоб подивитися як воно працює на сучасному залозі. Останній випуск МСВС був аж в 2011 році, але він все ще продовжує бути "корисним" в армії РФ:
Приступаємо до установки
Встановлювати будемо на ноутбук FUJITSU LIFEBOOK N532, який у мене працює стабільно в Лінукс і в Віндовс. Цей ноутбук випущений в 2012 році, всього на рік пізніше МСВС 5.0.
Завантажувальний вікно - урізана копія RedHat Enterprice Linux:
Вони навіть полінувалися зробити нормальне завантажувальний вікно, поміняли фон / логотип, видалили непотрібні кнопки і все.
Для продовження установки просто натискаємо Enter:
Завантажився установник в ретро-стилі MS-DOS, але до випуску МСВС 5 вже майже всі дистрибутиви мали графічний інсталятор. У Дебіане теж є текстовий инсталлер, але він набагато простіше і зрозуміліше ніж цей. Від нас запитують, перевірити інсталяційний DVD чи ні. Давайте перевіримо на всякий випадок:
Диск записаний нормально, помилок немає. Далі нас запитують перевірити додаткові носії, але їх у мене немає.
Інструмент розмітки дисків завантажився з обраної опцією видалення всіх розділів. А раптом офіцер, понадіявшись на розум вітчизняної ІТ-індустрії просто натисне Enter?
Тепер приступаємо до розмітки диска. На цьому комп'ютері встановлено дві інші ОС і я вибрав "Створити власне розбиття"
У нас є 30Гб невикористаного неформатований простору, вибираємо "Використовувати вільне місце і створити розбиття за замовчуванням" і отримуємо помилку розбиття: неможливо розподілити запитані розділи
Натискаємо "Так" і отримуємо помилку автоматичного розбиття:
Натискаємо "Так" і вибираємо "Створити власне розбиття"
Так як цей "ДОСовскіх fdisk» не показує скільки та Вільна, щоб випадково нічого не видалити я вирішив переглянути розділи в інший ОС і натиснув перезавантаження (alt + ctrl + del пам'ятаю з МСДОС).
Комп'ютер просто завис на цих словах, але реагує на CapsLock. Чекаємо ще хвилин 15 і просто тиснемо ресет. Завантажуємо іншу ОС, переконуємося в правильності вибору вільного розділу, продовжуємо установку і доходимо до етапу розмітки дисків. Вибір файлових систем тут не багатий, тільки ext2, ext3 і vfat (яка не вмістився на екрані).
Залишимо все за замовчуванням, тобто будемо використовувати grub:
Просто тиснемо Enter
Далі нас просять створити пароль на зміну параметрів завантаження grub
довелося ввести довгий пароль
Тепер приступаємо до установки завантажувача. На ноутбуці встановлено останні версії Дебіан і Убунту, але инсталлер не знайшов їх. В результаті після установки МСВС, пропаде меню вибору операційних систем і доведеться відновлювати grub через LiveCD.
Повзунок списку операційних систем в самому низу, як би кажучи що ще щось є. Я намагався перемістити його натискаючи TAB, Ctrl, Ctrl + tab і інші поєднання клавіш. Але повзунок в якому становищі був, в такому і залишився:
Натискаємо Та й продовжуємо установку:
Вибираємо куди встановити завантажувач. Я у всіх Лінукс встановлюю завантажувач в головну завантажувальний запис MBR, тобто на / dev / sda, але для недавніх користувачів вінди це складне питання. Або все військові РФ знають Юнекс?
Далі йде настройка мережі.
Ніяких здійснювати підключення до мережі у нас немає, вибираємо "Ні" і тиснемо Enter
відкрилося віконце з проханням ввести додаткові параметри налаштування мережі:
Як бачите, кнопок "скасування" і "не треба", тут немає. Є тільки "так" і "назад". Це було б логічно, якби ми встановлювали систему по мережі, але у нас DVD-диск з повним комплектом програм. Тиснемо Enter.
Ви залишили незаповненим поле "шлюз". Залежно від вашого мережевого оточення, в подальшому можуть бути проблеми
натискаємо продовжити і нас знову просять ввести додаткові параметри мережі. Загалом повертаємося до першого вікна настройки мережі і вказуємо що потрібно налаштувати мережевий інтерфейс, хоча його у нас немає.
Просять ввести ім'я мережі. Вибираємо "Вручну" і придумуємо ім'я мережі
Вибираємо свій часовий пояс:
Вибираємо пароль користувача root (не менш шести символів):
Вибираємо список пакетів для установки. Я вибрав все
Далі йде перевірка залежностей, після чого відкрилося віконце з адресою журналу установки:
Процес установки:
Я не зрозумію, це проблеми з шрифтами або з кодуваннями?
Установка доходить до 100% і инсталлер радісно вітає нас про завершення установки, просить відключити знімні носії і натиснути Enter для перезавантаження. Натискаємо Enter і комп'ютер просто зависає, як в минулий раз.
Натискаємо кнопку Power, чекаємо кілька хвилин і о, жах, все англійською. Чи це такий російську мову в російській армії?
Де наші Дебіан і Убунту? Тут тільки один МСВС. Але нічого страшного, це можна виправити перевстановлення завантажувача Grub через LiveCD.
Просто натискаємо Enter для завантаження
Система тупить 15 сек і показує помилки: Memory for crash kernel (0x0 to 0x0) notwithin permissable; unable to query Synaptics hardware (не можу опитати тачпад)
і продовжує завантаження, в процесі завантаження відкривається меню налаштувань
Просто вибираємо "Вихід" і тиснемо Enter. Через 10 секунд відкривається ось такий екран, де немає жодного натяку на графіку. Вводимо логін і пароль і система готова до роботи:
До речі, зверніть увагу, тут встановлено ядро \u200b\u200b2.6.18. Це ядро \u200b\u200bвийшло, на п'ять років раніше ніж МСВС 5.0. Так за п'ять років можна було цілі галузі промисловості побудувати, як в сталінські п'ятирічки, але вже пройшло майже 10 років! У той далекий час я тільки починав цікавитися Лінукс. Хоча може вони п'ять років проводили аудит безпеки коду.
Гаразд, спробуємо користуватися тим що є.
Намагаємося запустити графіку. У Нікс для запуску графіки, зазвичай потрібно вводити startx, вводимо startx:
#startx
і отримуємо помилки:
Тут я спеціально відкрив лог помилок /var/log/Xorg.0.log, щоб було зрозуміло в чому справа: система не може завантажити стандартні драйвера fbdev і vesa.
Нам залишається тільки перезавантажити систему і повернутися в робочі ОС, вводимо reboot і знову отримуємо зависання при перезавантаженні:
Пробуємо встановити через VirtualBox:
Так само вводимо логін root, пароль і startx
Звичайно ж, ВНІІНС в цілях безпеки не рекомендує запускати ікси від адміністратора. Та й чому тоді після першого запуску або в самому Інсталлер не було запропоновано з метою безпеки створити простих користувачів, як у багатьох інших дистрибутивах?
О_о, воно виявляється працює.
Робочий стіл МСВС 5.0
Отже, що ми бачимо - красивий легкий робочий стіл, що симулює старі Windows і KDE. Але це всього лише прикрашений опенсорсний десктоп
Файловий менеджер, випущений 11 років тому, сильно схожий на урізаний konquerror
У системному треї індикатор часу з календарем, перемикач розкладки клавіатури і індикатор рівнів доступності (але це вже швидше від розробників МСВС).
Налаштування МСВС 5.0
В Лінуксі, деякі програми (наприклад Chromium) з метою безпеки не запускаються від користувача root, з цього ми насамперед створимо нового користувача і зайдемо в систему через нього:Пуск - настройки - панель управління ELK, управління користувачами - додати нового користувача:
Пароль повинен бути не менше 8 символів!
Атрибути безпеки вражають, але ми не будемо їх чіпати:
Аккаунт було створено успішно. Виходимо з сесії і потрапляємо прямо в консольний аккаунт root, де нас вітає купа помилок:
Виходимо з цього аккаунта натисканням Ctrl + D, логіном під новим користувачем і запускаємо startx. Ікси запустилися, але на рух миші і на клавіатурні поєднання не реагують. Перезапуск віртуальної машини не допоміг, ікси в цей обліковий запис теж не працюють. Гаразд, доведеться працювати від root, що є порушенням безпеки.
Дозвіл екрану у нас 800x600, пробуємо змінити його. Переходимо в "Панель управління" і вибираємо значок "Монітор". Відкривається віконце з повідомленням що у нас немає файлу xorg.conf і що під час його створення екран буде темним. Створити його чи ні?
Натискаємо "Так"
Помилка ініціалізації конфігурації:
Після чого відкривається вікно з настройками монітора. Пробуємо що-небудь змінити але ніякої реакції. Примітно, що в цьому вікні показаний приклад екрану Windows 95. А при натисканні кнопок "Так" і "Скасувати" вікно не закривається і нічого не відбувається. Закрити вікно можна тільки натисненням на хрестик.
В меню "Системні" є пункт "Перемикання дозволів екрану". Вибираємо його і нам відкривається програма в треї з усього двома пунктами: 800x600 і 640x480 і частотою 60 Гц. А зате в ОС FreeDOS у мене виходило виставити і вище і навіть міняти частоту. Звідси висновок що в ОС МСВС графіка гірше ніж в ДОС!
Дивимося інформацію про обладнанні:
Після натискання "ОК" відкривається ось таке вікно:
Програми МСВС 5.0
Цікаво, що коли ми переводимо курсор миші з програм EDE в KDE, колір покажчика миші змінюється.Це тому що робочий стіл МСВС є сумішшю робочих столів EDE і KDE.
Мережа. Всього десять програм в цій категорії, серед яких ELK-оглядач, IRC, Wireshark, GFTP, поштовий монітор, мережевий монітор і настройка PPP і управління пристроями мережі.
Управління пристроями мережі
Поштовий клієнт не починається:
Браузер ELK-оглядач являє собою точну копію браузера Aurora. Дивіться, вони перейменували його на ELK, але забули поміняти логотип:
ELK-браузер:
утиліти
В утиліти аж 4 термінали: ELK-terminal, X-термінал, Консоль і термінал в режимі суперкористувача. А знаєте чому їх так багато? Тому що робочий стіл МСВС - це суміш EDE з KDE. Вони навіть недодуманої видалити непотрібні утиліти, все як за замовчуванням ставилося так вони і залишили.
З цієї причини тут багато програм з двох різних робочих столів, але з однаковими можливостями. Це особливо стосується перегляду картинок, документів (PDF, DJVU тощо) і текстових редакторів.
Текстовий редактор Emacs в МСВС:
наукові. У наукових тільки калькулятор KDE, який випущений в 2005 році:
Графіка. В цьому розділі всі програми з KDE + Xsane 2007 року випуску.
Ігри. В іграх набір ігор з KDE, серед яких військові ігри Сапер і Парашути:
Мультимедіа. Простий медіапрогравач, програвач аудіодисків, K3b (запис CD / DVD), регулятор звуку і програма для звукозапису.
Для перевірки звуку, потрібно завантажити в віртуальну систему який-небудь фільм .. Звук і відео тут взагалі не працюють. Ставив в налаштуваннях VirtualBOX Alsa, Oss, SoundBlaster16 - нічого не працює. Пробував ogv, ogg, mp4 - в одних випадках вимагає встановити кодеки, в інших - показує помилку:
Спробуємо встановити ffmpeg:
Відкриваємо Пуск - Панель управління ELK - Менеджер програм
перед запуском кілька секунд перевіряються списки пакетів
спробуємо знайти ffmpeg
Ось це такий російськи мову в російській армії!
ffmpeg виявився в списку встановлених пакетів. А пошук за запитами oss і alsa (звукові системи) не дав взагалі ніяких результатів. Запити office і firefox теж не дали ніяких результатів.
k3b при запуску видає помилку, що не вдається знайти тип Mime. Потрібно натиснути 10 разів OK і тоді він запуститися:
Вимкнення системи:
Виводь ...
1. На сучасно обладнанні МСВС не працює
2. Ядро системи як і весь софт випущено 11 років тому, відповідно сучасне устаткування не підтримується
3. Розширення екрану встановлено в 800x600 і не змінюється
4. Відеосистема працює тільки в емуляторі, але показує помилки після завершення роботи.
5. Звук взагалі не працює
6. Графіка працює тільки у користувача root, що є порушенням безпеки
7. Команди виключення і перезавантаження за замовчуванням доступні тільки через консоль і працюють тільки в емуляторі.
Загальний висновки.
МСВС5.0 - скопійований в 2011 році RedHat Enterprice Linux5.0 (2007 року), некоректно працює вже на комп'ютерах випущених в 2011 році. Так в Російській Армії взагалі помітна тяга до глибокої старовини, наприклад, авіаносний крейсер "Адмірал Кузнєцов" з своїм трампліном замість катапульти, через якого літаки змушені літати з неповним боєзапасом і іноді падають в воду при зльоті для літаків і з мазутної силовою установкою, яка потребує дозаправки під час походу ...
Напевно хоча б деякі з наших читачів замислювалися про те, яку операційну систему використовують в наших Збройних Силах. Адже ми ж всі розуміємо, що не може на якомусь ракетному комплексі, що знаходиться на бойовому чергуванні, стояти Windows. Сьогодні ми трохи відкриємо завісу таємниці і розповімо про ОС МСВС. Це так звана Мобільна система Про сфері застосування говорить її назва, а ось про те, як вона в загальних рисах влаштована, ми і розповімо.
передумови створення
Вперше критерії безпеки комп'ютерних систем були сформульовані ще в кінці 60-х років минулого століття. В середині 80-х років в США всі ці напрацювання були зібрані в один документ. Так народилася "Помаранчева книга" Міноборони - перший стандарт безпеки комп'ютерних систем. Слідом подібні документи з'явилися в європейський країнах і Канаді. У 2005 році на їх основі був підготовлений міжнародний стандарт безпеки ISO / IEC 15408 "Загальні критерії захищеності".
У Росії аналогічні дослідження проводилися в 22-м Центральному НДІ Міністерства оборони. Кінцевим результатом розробок стало надходження в 2002 році ОС МСВС в Збройні Сили РФ. Варіант державного стандарту на основі вимог ISO / IEC був прийнятий в 2008 році.
Навіщо військовим своя ОС
Оперативні системи, які ми використовуємо щодня, не підходять для використання в держструктурах за параметрами забезпечення безпеки. Гостехкомиссией при президенті РФ сформулювала їх наступним чином:
- Інформація належна бути захищена від несанкціонованого доступу, причому як зсередини, так і зовні.
- Система не повинна містити недокументованих можливостей, іншими словами, ніяких «крашанок» в коді ОС бути не повинно.
Крім того, захищена операційна система повинна володіти багаторівневої ієрархічної структурою доступу і мати розділені функції адміністрування.
Таким чином, завдання створення спеціалізованої закритої ОС виявляється не такою простою, як здається на перший погляд. Відсутність документованих можливостей передбачає, що вихідний код і технічний опис всіх процедур роботи будуть досконально вивчені в центрі сертифікації. А це - область комерційної таємниці корпорацій власників або інтелектуальна власність розробників. Такий парадокс змушує звернути погляди в бік відкритих ОС, тому як отримати повну технічну документацію на власницьке програмне забезпечення практично неможливо.
Вимоги ГОСТ Р
ФСТЕК, як службою, відповідальною за інформаційну безпеку в масштабах всієї країни, встановлено поділ ОС по мірі захисту оброблюваної інформації. Для зручності всі дані зведені в одну таблицю.
З таблиці видно, що, по ряду вимог, встановлено три групи і дев'ять класів захищеності від несанкціонованого доступу, а вже за ними проводиться подальший поділ для допуску до різного роду конфіденційної інформації.
В основі Linux
Чим же так зручний Linux, що його охоче беруть на службу в державний апарат? Адже в більшості своїй прості користувачі бояться його, як чорт ладану. Давайте розберемося. Для початку звернемо увагу на ліцензію, під якою поширюється "Лінукс". Це так звана GPL2 - універсальна публічна, або вільна, ліцензія. Будь-хто може отримати вихідний код і на його основі створити свій продукт. Іншими словами, ніхто не заважає взяти кращі дистрибутиви Linux і використовувати їх в розробці власної захищеної ОС.
Світовий досвід роботи державних установ показує, що перехід на вільне програмне забезпечення відбувається повсюдно, ідея затребувана і цілком себе виправдовує. Провідні країни світу, такі як США, Німеччина, Японія і стрімко наближаються до них Китай і Індія, активно використовують Linux в держсфери та освіті.
МСВС і її вміст
Мобільна система версії 3.0 пропрацювала у військах півтора десятка років, на зміну їй зараз приходить більш досконалий продукт, а ми можемо спокійно заглянути "під капот" ветерану. Отже, це мережева ОС, яка працює в многопользовательском режимі з використанням графічного інтерфейсу користувача. Підтримує апаратні платформи:
- Intel.
- IBM System / 390.
SPAPC / "Ельбрус".
В основі її лежать кращі дистрибутиви Linux, доступні в той час. Багато модулі системи були запозичені у RedHat Linux і перекомпіліровать з урахуванням вимог Міністерства оборони. Іншими словами, мобільна система Збройних Сил є RPM-дистрибутив Linux з усіма супутніми прикладними програмами і засобами розробки.
Підтримка файлових систем знаходиться на рівні початку століття, але оскільки найбільш поширені з них тоді вже існували, цей показник не є критичним.
версії МСВС
Незважаючи на те що це мережева ОС, у неї немає звичних будь-якому линуксоидов репозиторіїв програмного забезпечення. Все ПО поставляється в комплекті на настановних компакт-дисках. Будь-яка програма, яка використовується в цій системі, попередньо проходить сертифікацію в Міністерстві оборони. А оскільки процедура це далеко не швидка, за все півтора десятка років роботи було випущено обмежену кількість версій і змін до них.
Розробником МСВС є Всеросійський НДІ автоматизації управління в непромислової сфері. На його офіційній сторінці можна знайти дані про версіях МСВС, які підтримуються в даний час і мають належні сертифікати безпеки від Міністерства оборони.
Мобільна система Збройних Сил на 2017 рік представлена \u200b\u200bдвома підтримуваними збірками:
- ОС МСВС 3.0 флір 80001-12 (зміна № 6).
ОС МСВС 3.0 флір 80001-12 (зміна № 4).
Версія 5.0, що знаходиться на сайті ВНІІНС, має сертифікат безпеки МО, але офіційно на постачання у війська так і не була прийнята.
спадкоємиця МСВС
Наступною захищеної ОС, яку представили як заміну відслужив півтора десятка років МСВС, стала ОС Astra Linux. На відміну від попередниці, що отримала сертифікат безпеки тільки від Міністерства оборони, "Астра" отримала всі можливі сертифікати в Росії, а це документи від МО, ФСБ і ФСТЕК. Завдяки цьому вона може використовуватися в будь-яких органах, а наявність кількох версій, адаптованих під різні апаратні платформи, ще більше розширює сферу її застосування. У підсумку вона може об'єднувати під своїм управлінням всі пристрої - від мобільних до стаціонарного серверного обладнання.
Astra Linux являє собою сучасний Linux-дистрибутив на основі deb-пакетів, в ньому використовується свіжа версія ядра і актуальне програмне забезпечення. Перелік підтримуваних процесорів і їх архітектур також розширено і включає сучасні зразки. Список офіційно видаваних версій дозволяє сподіватися на успіх цього програмного продукту як мінімум в держсфери і оборонці.
На закінчення
У цьому матеріалі ми розповіли про ОС МСВС - основної операційної системи Збройних Сил РФ, вірою і правдою прослужила "в строю" 15 років і до сих пір ще знаходиться на "бойовому посту". Крім того, коротко охарактеризували її наступницю. Можливо, когось із наших читачів це підштовхне подивитися, що таке Linux, і скласти про продукт неупереджену думку.
Розширення для роботи з файлами в веб-клієнті
Виправлення помилки "Сервер відмовив у доступі за протоколом POP3" при підключенні пошти Gmail!
1 цієї статті не запускається на windows 10