Правильная стратегия администрирования играет очень важную роль в
обеспечении защиты информационных ресурсов системы. Защита определяется
стратегией управления доступом и стратегией учета ресурсов.
Администратор отвечает за настройку следующих параметров защиты:
| Работа с защищенными ресурсами с помощью средств управления доступом | Обеспечивает секретность, целостность и доступность информации, хранящейся в системе |
| Идентификация пользователей | Определяет алгоритм идентификации пользователей |
| Обзор Защищенной компьютерной базы | Обеспечивает применение стратегии защиты системы |
| Общие сведения о контроле | Позволяет регистрировать и анализировать события, происходящие в системе. |
Основная задача средств защиты системы - это обнаружение и предотвращение попыток несанкционированного доступа. При этом используются следующие основные понятия:
Администрирование пользователей включает создание новых пользователей и групп, а также определение их атрибутов. Основным атрибутом пользователя является способ идентификации. Пользователи - это основные субъекты, действующие в системе. Атрибуты пользователей определяют права доступа, среду, способ идентификации, а также ограничения на время работы пользователя в системе и устройства, с которыми он может работать.
Группа - это набор пользователей, которым предоставлены одинаковые права доступа к защищенным ресурсам. Каждой группе присваивается идентификатор. В состав групп входят обычные пользователи и администраторы. Пользователь, создавший группу, как правило, является ее первым администратором.
Операционная система поддерживает
стандартные атрибуты пользователей, которые обычно хранятся в файлах /etc/passwd и /etc/group:
| Информация об идентификации | Пароль пользователя |
| Основные сведения | Идентификатор пользователя, ИД основной и дополнительной групп |
| Среда | Среда домашнего каталога или оболочки. |
Кроме того, если это необходимо, операционная система позволяет осуществлять более строгий контроль с помощью дополнительных атрибутов. Существует возможность ограничения доступа к информации о защите.
Некоторым пользователям и группам может быть присвоен статус администраторов. Создание и изменение таких пользователей и групп разрешено только пользователю root.
С каждым учетным файлом
пользователя связан набор атрибутов. При создании пользователя с
помощью команды mkuser этим атрибутам
присваиваются значения по умолчанию. Значения атрибутов можно изменить
командой chuser. Ниже приведены примеры
атрибутов.
Полный набор атрибутов пользователя определен в файлах /usr/lib/security/mkuser.default, /etc/security/user , /etc/security/limits, и /etc/security/lastlog. Часть атрибутов управляют входом пользователя в систему; с их помощью можно настроить блокировку учетной записи пользователя (запрет на вход в систему) при выполнении определенных условий.
Если учетная запись пользователя блокирована, то пользователь не сможет войти в систему до тех пор, пока системный администратор не присвоит атрибуту unsuccessful_login_count в файле /etc/security/lastlog значение, которое меньше максимального числа попыток входа в систему. Это можно сделать с помощью команды chsec:
chsec -f /etc/security/lastlog -s имя_пользователя -a
unsuccessful_login_count=0
Для изменения значений по умолчанию необходимо изменить с помощью команды chsec раздел default в одном из файлов /etc/security/user, /usr/lib/security/mkuser.default или /etc/security/limits. Большая часть значений по умолчанию ориентирована на выполнение стандартных действий.
Идентификация обеспечивает проверку прав доступа пользователя. При входе в систему каждый пользователь должен зарегистрироваться. Пользователь вводит имя учетной записи и пароль, если он определен для данной учетной записи. В защищенных системах учетная запись, для которой не задан пароль, считается недействительной. Если пользователь указал правильный пароль, то он входит в систему и получает права доступа в соответствии со своей учетной записью. Файлы /etc/passwd и /etc/security/passwd предназначены для обслуживания пользовательских паролей.
Для применения альтернативных способов идентификации служит атрибут SYSTEM в файле /etc/security/user. Например, в среде распределенного выполнения (DCE) также применяется идентификация с помощью паролей, но алгоритм шифрования в этом случае отличается от применяемого в файлах etc/passwd и /etc/security/passwd. Для пользователей, применяющих идентификацию DCE, соответствующий раздел в файле /etc/security/user должен содержать строку SYSTEM=DCE.
Кроме того, атрибут SYSTEM может принимать значения compat, files и NONE. Ключевое слово compat используется в тех случаях, когда преобразование имен (и последующая идентификация) выполняется в соответствии с информацией, хранящейся в локальной базе данных; если преобразование осуществить не удается, то используется база данных службы информации о сети (NIS). Ключевое слово files означает, что в процессе идентификации будут использоваться только локальные файлы. Наконец, значение NONE отключает идентификацию. Для полного отключения идентификации в строках SYSTEM и auth1 пользовательского раздела необходимо указать значение NONE.
Другие значения атрибута SYSTEM задаются в файле /usr/lib/security/methods.cfg.
Примечание: Для пользователя root идентификация всегда выполняется с помощью локального системного файла. Для этого пользователя значение атрибута SYSTEM в файле /etc/security/user устанавливается равным SYSTEM = "compat".
Дополнительная информация о защите с помощью паролей приведена в книге Руководство пользователя AIX 5L версии 5.1: Операционная система и устройства.
В обеспечении защиты системы с помощью паролей ключевую роль играет обучение пользователей. Однако для обеспечения дополнительной защиты в операционной системе предусмотрена возможность задания ограничений на пароли. Таким образом, администратор может ограничить выбор пользовательских паролей и обеспечить их регулярное изменение. Данные ограничения хранятся в файле атрибутов /etc/security/user и вступают в силу при определении нового пароля для пользователя. Все ограничения определяются отдельно для каждого пользователя. Если сохранить эти ограничения в разделе default (значения по умолчанию) файла /etc/security/user, то они будут действовать для всех пользователей. Для обеспечения полной защиты все пароли должны быть защищены одинаково.
Кроме того, операционная система позволяет администраторам накладывать на пароли дополнительные ограничения. С помощью атрибута pwdchecks в файле /etc/security/user администратор может добавлять новые подпрограммы в процедуру проверки ограничений. Таким образом, правила локальной стратегии защиты могут быть добавлены в операционную систему, которая обеспечит их выполнение. Дополнительная информация об этом приведена в разделе Дополнительные правила проверки паролей.
Ограничения должны быть разумными. Слишком жесткие ограничения, например задание небольшой максимальной длины пароля (что упрощает его угадывание) или выбор правил, заставляющих пользователей придумывать трудно запоминаемые пароли (которые приходится записывать), снижают надежность защиты. Вообще говоря, надежность защиты системы с помощью паролей сильно зависит от пользователей. Наилучшая стратегия - это выбор простых ограничений в сочетании с созданием необходимых инструкций для пользователей и контролем (т.е. проверкой уникальности текущих паролей).
Можно применять следующие
ограничения:
Примечание: Минимальная длина пароля в системе равна наибольшему из чисел minlen и (minalpha + minother). Максимальная длина пароля составляет восемь символов. Сумма значений minalpha и minother не должна превышать восьми. В противном случае параметру minother присваивается значение (8 - minalpha).
Примечание: Если одновременно установлены значения параметров histexpire и histsize, то система будет сохранять пароли, пытаясь выполнить оба этих ограничения, однако общее число сохраненных паролей для каждого пользователя не может превышать 50. Пустые пароли не учитываются.
| Значения Ограничения | Рекомендуемые Значения | Значения по умолчанию | Максимальные Значения |
| minage | 0 | 0 | 52 |
| maxage | 8 | 0 | 52 |
| maxexpired | 4 | -1 | 52 |
| minalpha | 4 | 0 | 8 |
| minother | 1 | 0 | 8 |
| minlen | 6 | 0 | 8 |
| mindiff | 3 | 0 | 8 |
| maxrepeats | 1 | 8 | 8 |
| histexpire | 26 | 0 | 260* |
| histsize | 0 | 0 | 50 |
| dictionlist | НД | НД | НД |
| pwdchecks | НД | НД | НД |
| *Сохраняется не более 50 паролей. НД = не доступно | |||
Следует применять такие ограничения, чтобы пароль было трудно угадать, но легко запомнить. Как правило, трудно запоминаемые пароли приходится записывать, что приводит к снижению уровня защиты системы.
Если в системе установлен текстовый редактор, то в качестве словаря dictionlist может применяться файл /usr/share/dict/words. В этом случае администратор должен присвоить параметру minother значение 0. Так как в большинстве слов этого словаря нет символов из категории minother, то присвоение этому параметру ненулевого значения приведет к тому, что большинство слов, перечисленных в словаре, нельзя будет использовать в качестве пароля.
Системные администраторы могут добавлять дополнительные правила в программу проверки паролей. Для этого необходимо добавить подпрограммы, или методы, которые должны вызываться при изменении пароля. Эти методы задаются в атрибуте pwdchecks в файле /etc/security/user.
В книге AIX 5L Version 5.1 Technical Reference приведено описание интерфейса pwdrestrict_method, которому должны соответствовать методы, задающие дополнительные ограничения на пароли. При написании метода для задания дополнительных ограничений системный администратор должен руководствоваться описанием этого интерфейса. При применении дополнительных ограничений на пароли необходимо повышенно внимание. Данные ограничения непосредственно влияют на команды login, passwd, su и другие программы. При использовании ошибочного или намеренно деструктивного кода защита системы может быть нарушена. Применяйте только проверенный код.
Этим идентификатором снабжаются все записи о контрольных событиях, регистрируемых для данного пользователя. Дополнительная информация об идентификаторах пользователей приведена в книге Руководство пользователя AIX 5L версии 5.1: Операционная система и устройства.