Этот раздел предназначен для системного администратора, ответственного за обеспечение защиты системы.
Внимание: В конкретной операционной среде могут предъявляться особые требования к защите, которые не учтены в этом руководстве. Возможно, системному администратору потребуется предпринять дополнительные меры по защите системы, которые здесь не описаны.
Реализация описанных принципов не обеспечивает защиту любой операционной среды. Невозможно создать универсальный набор принципов защиты, учитывающий все возможные требования. Реализация описанных принципов - это не единственный способ обеспечить защиту системы.
Перед началом работы с системой полезно спланировать и реализовать стратегию ее защиты. Время, затраченное на составление стратегии защиты, окупится позднее, так как это позволит вам быстро и просто изменять защиту системы в будущем.
Основные принципы защиты можно разделить на следующие категории:
Защита каждой системы должна быть обеспечена в соответствии со следующими тремя стратегиями.
В учетной записи пользователя задается множество атрибутов, в том числе пароль и имя, указываемое при входе в систему. (Список настраиваемых атрибутов приведен в разделе Глава 5, Система распределения ресурсов диска книги Руководство по управлению системой AIX 5L версии 5.1: Операционная система и устройства. Рекомендуется придерживаться следующих правил:
С новым файлом всегда связывается действующий ИД владельца процесса, создавшего файл. При этом ИД группы файла совпадает с действующим ИД группы процесса или с ИД группы каталога, содержащего файл, в зависимости от бита установки ИД группы (SUID), связанного с каталогом.
Для изменения владельца файла предназначена команда chown.
Команда id позволяет узнать ИД текущего пользователя (UID), ИД группы (GID) этого пользователя и имена всех групп, которым он принадлежит.
В списке файлов (например, выводе команды ls) всегда указываются три группы пользователей в следующем порядке: пользователь, группа и другие. Для того чтобы узнать имя своей группы, введите команду groups, предназначенную для просмотра списка групп, которым принадлежит текущий пользователь.
Дополнительная информация о правах доступа к файлам и каталогам приведена в разделе Принадлежность файлов и групп пользователей книги Руководство пользователя AIX 5L версии 5.1: Операционная система и устройства.
Группа - это набор пользователей, которым предоставлены одинаковые права доступа к защищенным ресурсам. Перед созданием групп в системе рекомендуется спланировать их структуру. Группы позволяют упростить администрирование системы, однако после того как вы начнете применять какую-либо структуру групп, изменить ее будет сложно. Существует три типа групп:
В общем случае рекомендуется создавать минимальное число групп пользователей.
Группу нужно создать для тех пользователей, которые совместно используют файлы системы, например, для сотрудников одного отдела или участников одного проекта.
Рассмотрим небольшую инженерную фирму, все сотрудники которой делятся на три категории: обслуживающий персонал, системные администраторы и программисты. В этом случае нужно создать только две группы пользователей: OFFICE (для управляющего персонала) и ENGINEER (для программистов). Если позднее часть программистов станет работать над отдельным проектом, создайте еще одну группу PROJECT. Хотя пользователь, как и в описанном примере, может одновременно относиться к нескольким группам, в каждый момент времени он принадлежит только одной основной группе. Для изменения основной группы пользователя применяется команда newgrp.
Кроме того, в небольших системах не рекомендуется задавать параметр admin при создании группы. Если в файле /etc/security/group установлен атрибут admin=true, то изменять параметры группы может только пользователь root.
Системный администратор должен быть членом группы SYSTEM. Члены группы SYSTEM могут выполнять некоторые задачи обслуживания системы, не входя в систему под именем root.
В AIX существует несколько системных групп. Группа STAFF - это группа по умолчанию для всех пользователей системы, отличных от системных администраторов. Для изменения группы по умолчанию отредактируйте файл /usr/lib/security/mkuser.default с помощью команды chsec.
Группа SECURITY - это системная группа, членам которой выделены ограниченные права на управление защитой. Членам группы SECURITY разрешен доступ к программам и файлам из каталога /etc/security. Члены группы SECURITY могут изменять большинство атрибутов обычных пользователей и групп, например, оболочку входа в систему пользователя или владельца обычной группы.
В большинстве систем эта группа не применяется; она предназначена только для систем с большим числом пользователей. В обычных системах задачи членов группы SECURITY выполняет системный администратор, предварительно получив права пользователя root с помощью команды su.
Остальные системные группы применяются для управления некоторыми подсистемами. За информацией о том, какие пользователи должны быть членами этих групп, обратитесь к информации о подсистемах. Системные группы и пользователи описаны в файле /etc/group.
С каждым объектом файловой системы
(файлом, каталогом, специальным файлом, файлом связи, файлом символьной связи
и каналом) связан механизм его защиты. Чаще всего для этой цели
применяется список управления доступом (ACL). Кроме того, существуют
следующие дополнительные способы защиты файлов:
| Основные ACL | Задает права доступа для владельца, группы и остальных пользователей. Для изменения этих прав доступа предназначена команда chmod. Дополнительная информация приведена в разделе Права доступа к файлам и каталогам книги Руководство пользователя AIX 5L версии 5.1: Операционная система и устройства. |
| Расширенные ACL | Обеспечивает более точное управление доступом, чем основные ACL. Дополнительная информация о расширенных ACL приведена в разделе Списки управления доступом книги Руководство пользователя AIX 5L версии 5.1: Операционная система и устройства. |
| Состояние расширенных ACL | Расширенные ACL для объектов файловой системы необходимо специально подключить, иначе они будут игнорироваться. |
| ИД владельца | ИД владельца объекта файловой системы. Права владельца есть только у пользователя с этим ИД. |
| ИД группы | ИД группы, связанной с объектом. Права группы, связанной с объектом, есть только у членов этой группы. |
| Бит привязки | Если для каталога установлен бит привязки, то удалить или переименовать файл каталога может только владелец файла или каталога, даже если у остальных пользователей есть права на запись в каталог. Для установки бита привязки укажите флаг t в команде chmod. |
| Бит TCB | Если бит TCB установлен для объекта файловой системы, то этот объект - элемент Защищенной компьютерной базы (TCB). |
| umask | Переменная среды umask задает права доступа по умолчанию, которые устанавливаются для любого создаваемого файла или каталога. |
| Состояние файловой системы | Для монтируемой файловой системы могут быть установлены разрешения на чтение и запись или только на чтение. |
При работе с объектами файловой системы рекомендуется придерживаться следующих правил:
Внимание: Учетный файл пользователя root всегда должен быть защищен паролем и не может быть общим. Пароль root должен знать только один пользователь - системный администратор. Системный администратор должен входить в систему как пользователь root только для выполнения задач администрирования системы, требующих наличия прав доступа root. Все остальные операции он должен выполнять как обычный пользователь. Постоянная работа в режиме пользователя root может привести к повреждению системы, так как у пользователя root есть права на переопределение многих настроек защиты системы.
Для переключения на пользователя root с помощью команды su системный администратор должен знать пароль пользователя root. Пароль пользователя root должен быть задан сразу после установки системы.
Права доступа пользователя root должны всегда проверяться с помощью локальных файлов защиты.
Переменная среды PATH - это важный элемент защиты. В ней задаются каталоги, в которых выполняется поиск команд. По умолчанию значение системной переменной PATH задано в файле /etc/profile, при этом обычно каждый пользователь определяет собственную переменную PATH в файле $HOME/.profile. Значение PATH в файле .profile переопределяет системную переменную PATH или задает дополнительные каталоги.
Изменение переменной PATH пользователем без соответствующих прав доступа позволяет ему "подменить" любого другого пользователя (в том числе, пользователя root). Программа-имитатор (которая также называется Троянским конем) подменяет системные команды и перехватывает информацию, предназначенную для этой команды, например, пароль пользователя.
Предположим, что пользователь изменил переменную PATH так, что при запуске команды первым просматривается каталог /tmp. Затем пользователь помещает в каталог /tmp программу с именем su, которая запрашивает пароль пользователя root точно так же, как и команда su. После этого программа /tmp/su отправляет пароль пользователя root автору программы и вызывает настоящую команду su. Это позволяет узнать пароль любого пользователя root, запустившего команду su, так, что он даже не узнает об этом. Это только один из способов получения конфиденциальной информации с помощью изменения значения PATH.
Для защиты переменной PATH достаточно выполнить следующие несложные действия:
su - root
В этом случае в течение сеанса будут применяться переменные среды пользователя root. Если системный администратор работает в сеансе другого пользователя как пользователь root, то он должен указывать только полные имена команд.
Такие стратегии обеспечивают максимальный уровень защиты, но в то же время их обслуживание требует значительных усилий. В результате большинство системных администраторов применяют только часть средств защиты или не применяют их совсем.
Учет ресурсов системы не связан непосредственно с защитой, однако собираемая информация помогает обнаружить ошибки в защите системы. Активизируйте основной учет ресурсов системы, как описано в разделе Настройка системы учета ресурсов, даже если вы не планируете применять учет ресурсов диска или печати. Обе функции учета ресурсов собирают большой объем данных и не играют особой роли для защиты системы.
Для небольших систем контроль обычно не требуется. Однако в больших многопользовательских системах контроль позволяет получить полезную информацию о деятельности системы. Дополнительная информация об этом типе загрузки приведена в разделе Общие сведения о контроле.
Защищенная компьютерная база (TCB) позволяет администраторам тщательно отслеживать работу защищенных программ и улучшать защиту системы.
В большинстве систем применяется только два элемента TCB: команда tcbck и файл настройки по умолчанию /etc/security/sysck.cfg. Команда tcbck сравнивает информацию о состоянии защиты ключевых элементов системы из файла /etc/security/sysck.cfg с данными базы, которые хранятся в файле sysck.cfg. В этом случае функции администратора сводятся к защите файла sysck.cfg и регулярному запуску команды tcbck.
В больших системах TCB более тщательно отслеживает работу системы и предоставляет набор защищенных компонентов системы. Для обеспечения такой дополнительной защиты администратор должен выполнять большой объем работы. Дополнительная информация об этом типе загрузки приведена в разделе Обзор Защищенной компьютерной базы.
В системе AIX версии 4.2.1 и более поздних версиях системный администратор может выделять пользователю набор административных функций с различными правами доступа. Дополнительная информация приведена в разделе Роли - Обзор.
Полная информация о защите сетей и соединений приведена в книге Руководство по управлению системой AIX 5L версии 5.1: Сети и средства связи.