Руководство по управлению системой: Операционная система и устройства

Защищенная компьютерная база

Системный администратор должен определить, какую степень защиты может иметь конкретная программа. Для того чтобы решить, какие привилегии должны быть предоставлены программе, необходимо оценить значимость информационных ресурсов системы.

Проверка защищенной компьютерной базы

Состояние защищенной компьютерной базы проверяется с помощью команды tcbck. Если файлы TCB не защищены должным образом или файлы конфигурации имеют незащищенные значения, то операционная система подвергается опасности. Команда tcbck проверяет эту информацию при чтении файла /etc/security/sysck.cfg. Этот файл содержит описание всех файлов TCB, файлов конфигурации и защищенных команд.

Примечание: Если при первоначальной установке опция Установка защищенной компьютерной базы не была задана, команда tcbck работать не будет. Команда сможет правильно работать только после повторной установки системы.

Применение команды tcbck

Команда tcbck обычно применяется в следующих целях:

Для того чтобы проверить, что файлы, необходимые для осуществления защиты, установлены правильно.
Для того чтобы проверить, что дерево файловой системы не содержит файлов, явно нарушающих защиту системы.
Для обновления, добавления или удаления защищенных файлов.

Команда tcbck может быть вызвана тремя способами:

Обычным образом
- В неинтерактивном режиме при инициализации системы
- С помощью команды cron
Интерактивный режим
- Применяется для проверки отдельных файлов и классов файлов
Смешанное использование
- Файл sysck.cfg хранится в автономной памяти и периодически восстанавливается для проверки системы

Проверка защищенных файлов

Для проверки защищенных файлов при инициализации системы необходимо выполнить команду tcbck. Для того чтобы она выполнялась автоматически, а в протокол заносилась информация об ошибках, добавьте в файл /etc/rc команду:

tcbck -y ALL

Это приведет к тому, что команда tcbck будет проверять правильность установки каждого файла, описанного в файле /etc/security/sysck.cfg.

Проверка файловой системы

Каждый раз, когда вы подозреваете, что могла быть нарушена целостность системы, необходимо проверить файловую систему с помощью команды tcbck. Для этого нужно ввести:

tcbck -t tree

Если команда tcbck вызывается с параметром tree, правильность установки проверяется для всех файлов в системе (эта операция может занять значительное время). Если команда tcbck обнаруживает, что какой-либо файл представляет потенциальную угрозу для безопасности системы, вы можете изменить подозрительный файл, удалив атрибуты, содержащие ошибку. Кроме того, для всех других файлов в системе можно выполнить следующие процедуры:

Если файл принадлежит пользователю root и установлен бит setuid, то бит setuid сбрасывается.
Если файл принадлежит административной группе, является исполняемым и для него установлен бит setgid, то бит setgid сбрасывается.
Если для файла задан атрибут tcb, то этот атрибут обнуляется.
Если файл представляет собой устройство (символьный или специальный файл), то он удаляется.
Если файл является дополнительной связью с полным именем, описанным в файле /etc/security/sysck.cfg, то эта связь удаляется.
Если файл является дополнительной символьной связью с полным именем, описанным в файле /etc/security/sysck.cfg, то эта символьная связь удаляется.

Примечание: Перед тем как выполнять команду tcbck или считать систему непригодной к использованию, необходимо добавить в файл /etc/security/sysck.cfg все устройства. Для добавления защищенных устройств в файл /etc/security/sysck.cfg укажите флаг -l.

Добавление защищенной программы

Для того чтобы добавить программу в файл /etc/security/sysck.cfg, введите команду:

tcbck -a путь [атрибут=значение]

В командной строке необходимо указывать только те атрибуты, значения которых не определяются в зависимости от текущего состояния файла. Все имена атрибутов хранятся в файле /etc/security/sysck.cfg.

Например, зарегистрировать новую программу пользователя root с именем /usr/bin/setgroups, в которой есть ссылка на /usr/bin/getgroups, можно с помощью команды:

tcbck -a /usr/bin/setgroups links=/usr/bin/get
groups

После установки программы вы можете не знать, какие новые файлы должны быть зарегистрированы в файле /etc/security/sysck.cfg. Эти файлы можно найти и добавить с помощью команды:

tcbck -t tree

Эта команда выдает имена всех файлов, которые должны быть зарегистрированы в файле /etc/security/sysck.cfg.

Удаление защищенной программы

Если вы удаляете файл, описанный в файле /etc/security/sysck.cfg, то необходимо также удалить и описание этого файла. Например, если вы удалили программу /etc/cvid, то получите сообщение об ошибке при выполнении команды:

tcbck -t ALL

Будет выдано следующее сообщение:

3001-020 Файл /etc/cvid не найден.

Описание данной программы можно удалить с помощью команды:

tcbck -d /etc/cvid

Настройка программы tcbck

Команда tcbck получает список файлов, которые необходимо проверять, из файла /etc/security/sysck.cfg. Для каждой защищенной программы в файле /etc/security/sysck.cfg находится раздел с ее описанием.

В каждом разделе указываются следующие атрибуты:

class	Имя группы файлов. Этот атрибут позволяет проверять несколько файлов с одним и тем же именем класса при задании одного аргумента в команде tcbck Можно определять несколько классов, при этом они должны разделяться запятыми.
owner	ИД пользователя или имя владельца файла. Если значение этого атрибута не совпадает с именем владельца файла, то команда tcbck устанавливает для ИД владельца файла указанное значение атрибута.
group	ИД группы или имя группы файлов. Если значение этого атрибута не совпадает с именем владельца файла, то команда tcbck устанавливает для ИД владельца файла указанное значение атрибута.
mode	Список значений, разделенных запятыми. Допустимы значения SUID, SGID, SVTX и TCB. Атрибут, определяющий права доступа к файлу, должен быть последним и может задаваться как в виде восьмеричного числа, так и в виде строки из 9 символов. Например, можно задать как 755, так и rwxr-xr-x. Если указанное значение не совпадает с реальным режимом файла, команда tcbck устанавливает правильное значение.
links	Список полных имен, с которыми связан данный файл (разделенных запятыми). Если какое-либо полное имя из этого списка не связано с файлом, команда tcbck создает связь. Если команда tcbck вызывается без параметра tree, то она выдает сообщение о наличии лишних связей, но не указывает их имена. Если команда tcbck вызывается с параметром tree, то она также сообщает о существовании лишних связей, но уже с указанием их имен.
symlinks	Список полных имен символьных связей для данного файла (разделенных запятыми). Если какое-либо полное имя из этого списка не является символьной связью с данным файлом, команда tcbck создает символьную связь. Если команда tcbck вызывается с параметром tree, то она также сообщает о существовании символьных связей с этим файлом с указанием их имен.
program	Список значений, разделенных запятыми. Первое значение - это полное имя проверяющей программы. Остальные значения представляют собой аргументы, передаваемые программе при ее выполнении. Примечание: Первый аргумент всегда должен быть -y, -n, -p или -t, в зависимости от того, с каким флагом вызывается команда tcbck.
acl	Текстовая строка, представляющая собой список управления доступом к файлу. Она должна иметь тот же формат, что и вывод команды aclget. Если данная строка не совпадает со списком управления доступом к реальному файлу, команда sysck применяет это значение с помощью команды aclput. Примечание: Учтите, что атрибуты SUID, SGID и SVTX должны совпадать с атрибутами, заданными для режима.
source	Имя файла, из которого копируется данный исходный файл перед началом проверки. Если вместо значения атрибута указывается пробел, и задан либо стандартный файл, либо каталог, либо конвейер с именем, то создается новая пустая копия данного файла, если она еще не существует. Для файлов устройств создается новый специальный файл устройства того же типа.

Если раздел файла /etc/security/sysck.cfg не содержит никаких атрибутов, то проверка не выполняется.

Команда tcbck предоставляет средство для определения и поддержки конфигурации защиты программного обеспечения. Команда tcbck также гарантирует, что все файлы, поддерживаемые ее базой данных, установлены правильно и не изменялись.

Ограничение доступа к терминалу

Команды getty и shell изменяют владельца и режим терминала таким образом, что незащищенные программы не получают доступа к терминалу. Операционная система предоставляет возможность настройки для исключительного доступа к терминалу.

Применение защищенного соединения

Защищенное соединение устанавливается при нажатии последовательности клавиш SAK (Ctrl-X, Ctrl-R). Защищенное соединение необходимо устанавливать в следующих случаях:

При входе в систему.
После нажатия SAK:
- Если появляется новое меню входа в систему, то это означает, что установлено защищенное соединение.
- Если появляется приглашение защищенной оболочки, то это означает, что начальное меню входа в систему было внешней программой, которая может попытаться перехватить ваш пароль. Вы можете определить, кто в данный момент использует этот терминал, если выполните команду who и после этого выйдете из системы.
Если вы хотите, чтобы при вводе команды запускалась защищенная программа. Ниже приведены возможные ситуации:
- Вы работаете в системе как пользователь root. Вы должны начать работу в качестве пользователя root только после установления защищенного соединения. Это позволит гарантировать, что с правами пользователя root не будет запущено никаких незащищенных программ.
- Вы выполняете команды su, passwd и newgrp. Вы должны выполнять эти команды только после установления защищенного соединения.

Внимание: Пользуйтесь SAK с осторожностью; она уничтожает все процессы, которые пытаются получить доступ к терминалу, и любые ссылки на него (например, /dev/console может быть связано с /dev/tty0).

Настройка клавиши защищенного вызова

Каждый терминал может быть настроен таким образом, что при нажатии SAK на нем создается защищенное соединение. Для этого применяется атрибут sak_enabled в файле /etc/security/login.cfg. Если этот атрибут имеет значение True, то опция распознавания SAK включена.

Если для связи должен применяться какой-либо порт (например, с помощью команды uucp), то для этого порта в соответствующем разделе файла /etc/security/login.cfg необходимо указать следующую строку:

sak_enabled = false

Такая строка или отсутствие записи отключает SAK для данного терминала.

Для того чтобы включить SAK на данном терминале, добавьте в раздел его описания строку:

sak_enabled = true