Приведенные ниже инструкции предназначены для системных администраторов, в обязанности которых входит настройка и обслуживание средств защиты системы.
Внимание: В любой операционной среде могут существовать специальные требования к защите, не упомянутые в этом руководстве. Возможно, для настройки защиты системному администратору придется предпринять дополнительные действия, не описанные в этом разделе.
В данном руководстве не рассматриваются следующие темы:
Дополнительные сведения по этим вопросам содержатся в разделах Общие сведения о контроле и Защищенная компьютерная база.
При установке системы в меню Установка и параметры задайте для опции Установить защищенную компьютерную базу значение да. Если во время установки сохранить значение нет, то в дальнейшем для повышения уровня защиты придется переустанавливать систему. Выбор значения да приводит к установке защищенного пути, защищенной оболочки и функции проверки целостности системы. После установки операционной системы и основной части пакетов программного обеспечения выполните следующие действия:
Примечание: Обычно команду skulker настраивать не нужно. Это следует делать только в особых случаях.
ls -Ra -l -a > listofallfiles
Если это возможно, напечатайте файл listofallfiles (его размер может достигать несколько тысяч строк). Сохраните печатную копию в защищенном месте, чтобы потом воспользоваться ей при возникновении неполадок в системе.
Если вы хотите запретить пользователям перезагружать компьютер, установите ключ в положение Secure. Эта мера рекомендуется для систем с несколькими пользователями.
Большинство систем с несколькими пользователями работают постоянно, хотя неиспользуемые терминалы следует отключать.
Если по окончании рабочего дня система будет отключаться, то необходимо изменить расписание задач cron, которые по умолчанию запускаются системой в 3 ночи. Среди этих заданий есть такие, которые оказывают существенное влияние на защиту системы, например, ежедневный учет ресурсов и удаление лишних файлов. С помощью команды at проверьте расписание заданий cron и измените время запуска заданий, запланированных на то время, когда компьютер будет выключен.
Если система будет находиться в рабочем состоянии круглосуточно, возможно, следует отключать удаленные и принимающие терминалы по окончании рабочего дня (или в любое время, когда они не используются). Рекомендуется настроить задание cron для автоматического выполнения этих действий.
Кроме того, убедитесь, что задания cron, запланированные системой, не запускаются одновременно. Если вывод таких заданий будет направлен в один файл, то данные разных заданий будут смешаны, что затруднит их анализ.
Ниже перечислены действия, которые следует выполнять регулярно.
Эта система регистрации ошибок активна, пока выполняется программа errdemon, которая автоматически запускается при загрузке системы. Дополнительная информация приведена в разделе Общие сведения о ведении протокола ошибок книги Messages Guide and Reference.
При добавлении пользователей выполните следующие действия:
При удалении пользователя из системы выполните следующие действия: