[ Страница назад | Страница вперед | Содержание | Индекс | Библиотека | Юридическая информация | Поиск ]

Руководство по управлению системой: Операционная система и устройства


Настройка и обслуживание средств защиты

Приведенные ниже инструкции предназначены для системных администраторов, в обязанности которых входит настройка и обслуживание средств защиты системы.

Внимание: В любой операционной среде могут существовать специальные требования к защите, не упомянутые в этом руководстве. Возможно, для настройки защиты системному администратору придется предпринять дополнительные действия, не описанные в этом разделе.

В данном руководстве не рассматриваются следующие темы:

Дополнительные сведения по этим вопросам содержатся в разделах Общие сведения о контроле и Защищенная компьютерная база.

Настройка защиты во время установки системы

При установке системы в меню Установка и параметры задайте для опции Установить защищенную компьютерную базу значение да. Если во время установки сохранить значение нет, то в дальнейшем для повышения уровня защиты придется переустанавливать систему. Выбор значения да приводит к установке защищенного пути, защищенной оболочки и функции проверки целостности системы. После установки операционной системы и основной части пакетов программного обеспечения выполните следующие действия:

  1. Если в системе работает TCP/IP, то необходимую информацию об этом протоколе вы можете получить из раздела Защита в TCP/IP книги Руководство по управлению системой AIX 5L версии 5.1: Сети и средства связи.
  2. При работе с новой системой сразу после первого входа в систему измените пароль пользователя root.
  3. Включите основные функции учета с помощью процедуры, описанной в разделе Установка системы учета ресурсов. При этом не нужно выполнять инструкции по включению учета ресурсов дисковой памяти и печати. Эти функции обрабатывают большой объем данных, но не играют существенной роли в обеспечении защиты системы.
  4. При необходимости измените пользовательские атрибуты по умолчанию, отредактировав файл /usr/lib/security/mkuser.default с помощью команды chsec. Если вы не планируете использовать группу STAFF в качестве системной группы по умолчанию, то укажите в переменной pgrp группу по умолчанию. Значение по умолчанию должно соответствовать группе с наименьшими правами доступа к защищенным системным данным.
  5. Для того чтобы установить минимальные ограничения на пароль, отредактируйте раздел значений по умолчанию в файле /etc/security/user с помощью команды chsec или установите необходимые ограничения для пользователей в файле /etc/security/user с помощью команды chuser. Задайте критерии выбора паролей в соответствии с рекомендациями, приведенными в таблице Рекомендуемые, устанавливаемые по умолчанию и максимальные значения атрибутов паролей.
  6. Задайте значения для параметров TMOUT и TIMEOUT в файле /etc/profile.
  7. Введите команду tcbck для установки основных компонентов защищенной компьютерной базы (TCB). Отправьте на печать файл конфигурации /etc/security/sysck.cfg. Устраните возникшие неполадки и сохраните печатную копию файла конфигурации в защищенном месте.
  8. Введите команду errpt. Эта команда позволяет просмотреть список ошибок программного и аппаратного обеспечения, зарегистрированных системой.
  9. Если вы планируете настроить команду skulker, то измените настройку задания cron в файле /usr/spool/cron/crontabs/root, перенаправив вывод команды skulker в файл.

    Примечание: Обычно команду skulker настраивать не нужно. Это следует делать только в особых случаях.
  10. Создайте полный список файлов и каталогов, существующих в системе. С помощью команды cd перейдите в каталог / (корневой каталог), затем с помощью команды su получите права доступа пользователя root. Введите следующую команду:

    ls -Ra -l -a > listofallfiles
    

    Если это возможно, напечатайте файл listofallfiles (его размер может достигать несколько тысяч строк). Сохраните печатную копию в защищенном месте, чтобы потом воспользоваться ей при возникновении неполадок в системе.

  11. Переведите системный ключ (если он есть) в положение Normal. Выньте ключ и поместите его в безопасное место. Если ключ находится в положении Normal, то систему нельзя будет загрузить в режиме обслуживания и, следовательно, нельзя будет изменить пароль пользователя root. В системах с единственным пользователем ключ можно оставить в положении Normal.

    Если вы хотите запретить пользователям перезагружать компьютер, установите ключ в положение Secure. Эта мера рекомендуется для систем с несколькими пользователями.

  12. Создайте идентификаторы пользователей.
  13. Определите, будет ли система работать постоянно, или она будет отключаться в конце рабочего дня.

    Большинство систем с несколькими пользователями работают постоянно, хотя неиспользуемые терминалы следует отключать.

    Если по окончании рабочего дня система будет отключаться, то необходимо изменить расписание задач cron, которые по умолчанию запускаются системой в 3 ночи. Среди этих заданий есть такие, которые оказывают существенное влияние на защиту системы, например, ежедневный учет ресурсов и удаление лишних файлов. С помощью команды at проверьте расписание заданий cron и измените время запуска заданий, запланированных на то время, когда компьютер будет выключен.

    Если система будет находиться в рабочем состоянии круглосуточно, возможно, следует отключать удаленные и принимающие терминалы по окончании рабочего дня (или в любое время, когда они не используются). Рекомендуется настроить задание cron для автоматического выполнения этих действий.

    Кроме того, убедитесь, что задания cron, запланированные системой, не запускаются одновременно. Если вывод таких заданий будет направлен в один файл, то данные разных заданий будут смешаны, что затруднит их анализ.

Задачи, связанные с регулярным обслуживанием защиты системы

Ниже перечислены действия, которые следует выполнять регулярно.

Задачи защиты, связанные с добавлением пользователей

При добавлении пользователей выполните следующие действия:

  1. Включите пользователей в соответствующие группы.
  2. Назначьте начальные пароли.
  3. Объясните пользователям правила выбора паролей. Убедитесь, что после первого входа в систему пользователи изменили первоначальные пароли в соответствии с полученными инструкциями.
  4. Вручите новым пользователям документ с описанием применяемой стратегии защиты. Этот документ должен содержать следующие пункты:

Задачи защиты, связанные с удалением пользователей

При удалении пользователя из системы выполните следующие действия:

  1. Если пользователь удаляется временно, то, возможно, следует лишь запретить ему вход в систему. За дополнительной информацией обратитесь к разделу Глава 4, Пользователи и группы.
  2. Если пользователь удаляется навсегда, то нужно удалить всю связанную с ним информацию. Дополнительная информация об этом приведена в разделе Глава 4, Пользователи и группы.
  3. Получите у пользователя системный ключ (если он был выдан пользователю).
  4. Удалите все имеющиеся в системе файлы этого пользователя или передайте их другим пользователям. Для просмотра списка всех файлов, владельцем которых является данный пользователь, можно воспользоваться командой find.
  5. Удалите все задания at, запланированные пользователем. С помощью команды at пользователь может задать такое расписание запуска программ, которое позволит ему повредить данные даже после удаления пользователя из системы.


[ Страница назад | Страница вперед | Содержание | Индекс | Библиотека | Юридическая информация | Поиск ]