سیستم متحرک نظامی (OSMS): یک سیستم عامل همه منظوره امن. سیستم نیروهای مسلح متحرک (MSWS OS): یک سیستم عامل همه منظوره امن نصب گام به گام MSWS 3.0 از روی دیسک

این فصل موضوعات زیر را پوشش می دهد:

کاربران؛

تفاوت بین کاربران ممتاز و غیرمجاز؛

فایل های ورود؛

فایل /etc/passwd;

فایل /etc/shadow;

فایل /etc/gshadow.

فایل /etc/login.defs.

اصلاح اطلاعات قدیمی رمز عبور؛

امنیت WSWS بر اساس مفاهیم کاربران و گروه ها است. تمام تصمیم‌گیری‌ها در مورد اینکه کاربر چه کاری مجاز است یا نمی‌تواند انجام دهد، بر اساس اینکه کاربر وارد شده از دیدگاه هسته سیستم عامل چه کسی است، گرفته می‌شود.

نمای کلی کاربران

WSWS یک سیستم چند وظیفه ای و چند کاربره است. مسئولیت سیستم عامل جداسازی و محافظت از کاربران از یکدیگر است. این سیستم بر هر کاربر نظارت می‌کند و بر اساس اینکه این کاربر چه کسی است، تعیین می‌کند که آیا می‌توان به یک فایل خاص دسترسی داشت یا اجازه اجرای یک برنامه خاص را به او داد.

هنگامی که یک کاربر جدید ایجاد می شود، یک نام منحصر به فرد به آن اختصاص داده می شود

توجه داشته باشید

سیستم امتیازات کاربر را بر اساس شناسه کاربر (userID، UID) تعیین می کند. برخلاف نام کاربری، یک UID ممکن است منحصر به فرد نباشد، در این صورت اولین نام یافت شده که UID آن با نام کاربری مطابقت دارد برای مطابقت با نام کاربری استفاده می شود.

به هر کاربر جدیدی که در سیستم ثبت می شود، عناصر خاصی از سیستم اختصاص داده می شود.

کاربران ممتاز و غیر ممتاز

هنگامی که یک کاربر جدید به سیستم اضافه می شود، یک شماره خاص به او اختصاص می یابد شناسه کاربر(UserID، UID). در Caldera WSWS، تخصیص شناسه ها به کاربران جدید از 500 شروع می شود و تا 65534 به بالا ادامه می یابد. اعداد تا 500 برای حساب های سیستم رزرو شده است.

به طور کلی، شناسه هایی با اعداد کمتر از 500 هیچ تفاوتی با سایر شناسه ها ندارند. اغلب یک برنامه برای عملکرد صحیح به یک کاربر خاص با دسترسی کامل به همه فایل ها نیاز دارد.

شماره گذاری شناسه ها از 0 شروع می شود و تا 65535 ادامه می یابد. UID 0 یک UID ویژه است. هر فرآیند یا کاربری با شناسه صفر دارای امتیاز است. چنین شخص یا فرآیندی قدرت نامحدودی بر سیستم دارد. هیچ چیز نمی تواند برای او منع باشد. حساب ریشه (اکانتی که UID آن 0 است) که به آن حساب نیز گفته می شود ابر کاربر،باعث می شود شخصی که وارد می شود با استفاده از آن، اگر نه مالک، حداقل نماینده تام الاختیار او باشد.

که UID برابر با 65535 باقی می گذارد. همچنین یک UID معمولی نیست. این UID متعلق به کاربر هیچکس است (هيچ كس).

روزی روزگاری یکی از راه های هک سیستم، ایجاد کاربری با شناسه 65536 بود که در نتیجه امتیازات سوپرکاربر را دریافت کرد. در واقع، اگر یک UID را انتخاب کنید و عدد مربوطه را به شکل باینری تبدیل کنید، ترکیبی از شانزده رقم باینری را دریافت خواهید کرد که هر کدام برابر با 0 یا 1 است. اکثریت قریب به اتفاق شناسه ها شامل صفر و یک هستند. استثنا UID superuser است که همه صفر است و UIDnobody که 65535 است و از 16 یک تشکیل شده است، یعنی 11111111111111111. عدد 65536 را نمی توان در 16 بیت قرار داد - برای نمایش این عدد به صورت باینری، شما نیاز دارید. برای استفاده از 17 بیت مهم ترین رقم برابر با یک (1) و سایر رقم ها برابر با صفر (0) خواهد بود. پس چه اتفاقی می‌افتد وقتی کاربری با شناسه‌ای با 17 رقم باینری ایجاد می‌کنید - 10000000000000000؟ از نظر تئوری، کاربری با شناسه صفر: از آنجایی که فقط 16 بیت باینری برای شناسه اختصاص داده شده است، جایی برای ذخیره بیت هفدهم وجود ندارد و دور انداخته می شود. بنابراین، تنها واحد شناسه از بین می‌رود و فقط صفرها باقی می‌مانند و یک کاربر جدید با شناسه و در نتیجه امتیازات یک ابرکاربر در سیستم ظاهر می‌شود. اما اکنون هیچ برنامه ای در WSWS وجود ندارد که به شما اجازه دهد UID را روی 65536 تنظیم کنید.

توجه داشته باشید

کاربران با شناسه های بزرگتر از 65536 می توانند ایجاد شوند، اما بدون جایگزین کردن /bin/login نمی توان از آنها استفاده کرد.

هر هکری قطعا سعی خواهد کرد تا امتیازات ابرکاربر را به دست آورد. هنگامی که او آنها را دریافت کرد، سرنوشت بیشتر سیستم کاملاً به نیت او بستگی دارد. شاید او که از همین واقعیت هک شده راضی است، هیچ کار بدی به او نمی کند و با ارسال نامه ای برای توصیف حفره هایی که در سیستم امنیتی پیدا کرده است، او را برای همیشه تنها بگذارد، اما شاید نه. اگر نیت هکر چندان خالص نباشد، بهترین چیزی که می توان به آن امیدوار بود غیرفعال کردن سیستم است.

فایل /etc/passwd

هر کسی که مایل به ورود به سیستم است باید یک نام کاربری و رمز عبور وارد کند که با پایگاه داده کاربر ذخیره شده در فایل /etc/passwd بررسی می شود. از جمله اینکه رمز عبور همه کاربران را ذخیره می کند. هنگام اتصال به سیستم، رمز عبور وارد شده با رمز عبور مربوط به نام داده شده بررسی می شود و در صورت تطابق، کاربر اجازه ورود به سیستم را داده و پس از آن برنامه ای که برای نام کاربری داده شده در فایل رمز عبور مشخص شده است. راه اندازی شد. اگر یک پوسته فرمان باشد، کاربر می تواند دستورات را وارد کند.

بیایید به لیست 1.1 نگاه کنیم. این یک فایل passwd سبک قدیمی است.

فهرست 1.1.فایل /etc/passwd به سبک قدیمی

root: *:1i DYwrOmhmEBU: 0:0: root:: /root: /bin/bash

bin:*:1:1:bin:/bin:

دیمون:*:2: 2: دیمون:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

sync:*:5:0:sync:/sbin:/bin/sync

shutdown:*:6:11: shutdown:/sbin:/sbin/shutdown

halt:*:7:0:halt:/sbin:/sbin/halt

mail:*:8:12:mail:/var/spool/mail:

اخبار:*:9:13:news:/var/spool/news:

uucp:*:10:14:uucp:/var/spool/uucp:

عملگر:*:11:0:operator:/root:

بازی ها:*:12:100:games:/usr/games:

gopher:*:13:30:gopher:/usr/1ib/gopher-data:

ftp:*:14:50:FTP کاربر:/home/ftp:

man:*:15:15:مالک کتابچه راهنمای کاربر:/:

majordom:*:16:16:Majordomo:/:/bin/false

postgres:*:17:17:Postgres کاربر:/home/postgres:/bin/bash

mysql:*:18:18:MySQL کاربر:/usr/local/var:/bin/false

silvia:1iDYwrOmhmEBU:501:501:Silvia Bandel:/home/silvia:/bin/bash

هیچکس:*:65534:65534:هیچکس:/:/bi n/false

david:1iDYwrOmhmEBU:500:500:David A. Bandel:/home/david:/bin/bash

فایل رمز دارای ساختاری کاملاً مشخص است. محتوای فایل یک جدول است. هر خط از فایل یک رکورد جدول است. هر رکورد از چندین فیلد تشکیل شده است. فیلدهای فایل passwd با دونقطه از هم جدا می شوند، بنابراین نمی توان از دو نقطه در هیچ یک از فیلدها استفاده کرد. در مجموع هفت فیلد وجود دارد: نام کاربری، رمز عبور، شناسه کاربری، شناسه گروه، فیلد GECOS (معروف به فیلد نظر)، فهرست اصلی و پوسته ورود.

درباره /etc/passwd بیشتر بیاموزید

فیلد اول شامل نام کاربری است. باید منحصر به فرد باشد - هیچ دو کاربر سیستم نمی توانند نام یکسانی داشته باشند. فیلد نام تنها فیلدی است که مقدار آن باید منحصر به فرد باشد. فیلد دوم رمز عبور کاربر را ذخیره می کند. برای اطمینان از امنیت سیستم، رمز عبور به صورت هش ذخیره می شود. اصطلاح "هش" در این زمینه به معنای "رمزگذاری شده" است. در مورد MSWS، رمز عبور با استفاده از الگوریتم DES (DataEncryptionStandard) رمزگذاری می شود. طول رمز عبور هش شده در این قسمت همیشه 13 کاراکتر است که برخی از کاراکترها مانند کولون و نقل قول تکی هرگز در بین آنها ظاهر نمی شوند. هر مقدار فیلدی غیر از رمز عبور 13 نویسه‌ای هش شده صحیح، ورود آن کاربر را غیرممکن می‌کند، به استثنای یک استثنای بسیار مهم: ممکن است فیلد رمز عبور خالی باشد.

فیلد دوم حاوی هیچ چیزی نیست، حتی یک فاصله ندارد، به این معنی که کاربر مربوطه برای ورود به رمز عبور نیاز ندارد. مثلاً اگر رمز عبور ذخیره شده در فیلد را با افزودن مقداری کاراکتر به آن تغییر دهید نقل قول تک، سپس حساب کاربری قفل می شود و کاربر مربوطه نمی تواند وارد شود. واقعیت این است که پس از افزودن یک کاراکتر غیرقانونی به رمز عبور هش شده 14 کاراکتری، سیستم از احراز هویت کاربر با چنین رمز عبور خودداری کرد.

طول رمز عبور در حال حاضر به هشت کاراکتر محدود شده است. کاربر می تواند رمزهای عبور طولانی تری وارد کند، اما تنها هشت کاراکتر اول مهم خواهند بود. دو کاراکتر اول رمز عبور هش شده هستند دانه(نمک). (seed عددی است که برای مقداردهی اولیه الگوریتم رمزگذاری استفاده می شود. هر بار که رمز عبور تغییر می کند، seed انتخاب می شود. به صورت تصادفی.) در نتیجه، تعداد همه جایگشت های ممکن بسیار زیاد است، بنابراین نمی توان به سادگی با مقایسه رمزهای عبور هش شده، متوجه شد که آیا کاربرانی در سیستم با رمزهای عبور مشابه وجود دارند یا خیر.

توجه داشته باشید

حمله دیکشنری یک روش brute force برای شکستن رمزهای عبور است و شامل استفاده از یک فرهنگ لغت و یک seed شناخته شده است. این حمله شامل شمارش تمام کلمات در فرهنگ لغت، رمزگذاری آنها با یک دانه مشخص و مقایسه نتیجه با رمز عبور شکسته شده است. علاوه بر این، علاوه بر کلمات از فرهنگ لغت، برخی از اصلاحات آنها معمولاً در نظر گرفته می شود، به عنوان مثال، تمام حروف بزرگ می شوند، فقط حرف اول بزرگ می شوند و اعداد (معمولا فقط 0-9) به انتهای همه این ترکیب ها اضافه می شوند. . بسیاری از رمزهای عبور آسان برای حدس زدن را می توان از این طریق شکست.

فیلد سوم نشان دهنده شناسه کاربری است. شناسه کاربری لازم نیست منحصر به فرد باشد. به طور خاص، علاوه بر کاربر ریشه، هر تعداد کاربر دیگر با شناسه صفر می تواند وجود داشته باشد و همه آنها دارای امتیازات سوپرکاربر خواهند بود.

قسمت چهارم شامل شناسه گروه (GroupID, GID) است. گروه مشخص شده در این قسمت نامیده می شود گروه اصلی کاربر(گروه اولیه). یک کاربر می تواند به چندین گروه تعلق داشته باشد، اما یکی از آنها باید گروه اصلی باشد.

فیلد پنجم اکنون فیلد نظر نامیده می شود، اما نام اصلی آن GECOS برای "GEConsolidatedOperatingSystem" بود. هنگام درخواست اطلاعات کاربر از طریق انگشت یا برنامه دیگر، اکنون محتویات این فیلد به عنوان نام واقعی کاربر برگردانده می شود. ممکن است قسمت نظر خالی باشد.

فیلد ششم فهرست اصلی کاربر را مشخص می کند. هر کاربر باید فهرست اصلی خود را داشته باشد. معمولاً وقتی یک کاربر وارد می‌شود، در فهرست اصلی خود قرار می‌گیرد، اما اگر یکی وجود نداشته باشد، در فهرست اصلی قرار می‌گیرد.

فیلد هفتم پوسته ورود را مشخص می کند. هر پوسته ای را نمی توان در این قسمت مشخص کرد. بسته به تنظیمات سیستم شما، ممکن است فقط یک پوسته از لیست پوسته های معتبر را مشخص کند. در WSWS، لیست پوسته های معتبر به طور پیش فرض در فایل /etc/shells قرار دارد.

فایل /etc/shadow

صاحب فایل /etc/shadow کاربر اصلی است و فقط او حق خواندن این فایل را دارد. برای ایجاد آن، باید نام کاربری و رمزهای عبور هش شده را از فایل passwd گرفته و در فایل سایه قرار دهید، در حالی که تمام رمزهای عبور هش شده در فایل passwd را با کاراکتر x جایگزین کنید. اگر به فایل passwd سیستم نگاه کنید، می بینید که به جای رمزهای عبور هش شده، x کاراکتر وجود دارد. این نماد به سیستم نشان می دهد که رمز عبور را نباید در اینجا جستجو کرد، بلکه باید در فایل /etc/shadow جستجو کرد. انتقال از رمزهای عبور سادهبه سایه و پشت از طریق سه ابزار انجام می شود. برای دسترسی به رمزهای عبور سایه، ابتدا ابزار pwck را اجرا کنید. فایل passwd را برای هر گونه ناهنجاری که می تواند باعث شکست مرحله بعدی شود یا به سادگی در یک حلقه گیر کند، بررسی می کند. پس از اجرای pwck، ابزار pwconv برای ایجاد /etc/shadow راه اندازی می شود. این کار معمولاً پس از به‌روزرسانی دستی فایل /etc/passwd انجام می‌شود. برای بازگشت به رمزهای عبور عادی، pwuncov را اجرا کنید.

یک فایل رمز عبور سایه از بسیاری جهات شبیه به یک فایل رمز عبور معمولی است. به طور خاص، دو فیلد اول این فایل ها یکسان هستند. اما علاوه بر این فیلدها، طبیعتاً حاوی فیلدهای اضافی است که در فایل رمز عبور معمولی وجود ندارد. فهرست 1.2. محتویات یک فایل /etc/shadow معمولی را نشان می دهد.

فهرست 1.2.فایل /etc/shadow

root:1iDYwrOmhmEBU:10792:0:: 7:7::

bin:*:10547:0::7:7::

دیمون:*:10547:0::7:7::

adm:*:10547:0::7:7::

lp:*:10547:0::7:7::

همگام سازی:*:10547:0::7:7::

خاموش شدن:U:10811:0:-1:7:7:-1:134531940

halt:*:10547:0::7:7::

پست الکترونیکی:*:10547:0::7:7::

اخبار:*:10547:0::7:7::

uucp:*:10547:0::7:7::

اپراتور:*:10547:0::7:7::

بازی ها:*: 10547:0: :7:7::

gopher:*:10547:0::7:7::

ftp:*:10547:0::7:7::

مرد:*:10547:0::7:7::

رشته تحصیلی:*:10547:0::7:7::

postgres:*:10547:0::7:7::

mysql:*:10547:0::7:7::

si1via:1iDYwrOmhmEBU:10792:0:30:7:-l::

هیچ کس:*:10547:0::7:7::

david:1iDYwrOmhmEBU:10792:0::7:7::

درباره /etc/shadow بیشتر بیاموزید

هدف از فیلد اول فایل shadow همان فیلد اول فایل passwd است.

فیلد دوم حاوی رمز عبور هش شده است. اجرای WSWS از رمزهای عبور سایه اجازه می دهد تا رمزهای عبور هش شده از 13 تا 24 کاراکتر داشته باشند، اما برنامه رمزگذاری رمز عبور رمزگذاری تنها می تواند رمزهای عبور هش شده 13 کاراکتری را تولید کند. کاراکترهای استفاده شده در هش از مجموعه ای متشکل از 52 حرف الفبایی (کوچک و بزرگ)، اعداد 0-9، نقطه و یک اسلش (/) گرفته شده اند. در کل، 64 کاراکتر در قسمت رمز عبور هش شده مجاز است.

بنابراین، دانه، که مانند قبل، دو کاراکتر اول است، می تواند از 4096 انتخاب شود ترکیبات ممکن(64x64). رمزگذاری از الگوریتم DES با کلید 56 بیتی استفاده می کند، یعنی فضای کلید این الگوریتم دارای 2 56 کلید است که تقریباً برابر با 72,057,590,000,000,000 یا 72 کوادریلیون است. این عدد چشمگیر به نظر می رسد، اما تکرار روی تمام کلیدها از فضایی به این اندازه در واقع می تواند زمان بسیار کوتاهی را ببرد.

فیلد سوم با اطلاعات مربوط به قدیمی شدن رمز عبور آغاز می شود. تعداد روزهایی را که از 1 ژانویه 1970 تا آخرین بار تغییر رمز عبور گذشته است را ذخیره می کند.

قسمت چهارم حداقل تعداد روزهایی را که باید برای تغییر مجدد رمز عبور بگذرد مشخص می کند. تا زمانی که تعداد روزهای مشخص شده در این قسمت از آخرین تغییر رمز عبور نگذرد، نمی توانید رمز عبور را دوباره تغییر دهید.

قسمت پنجم حداکثر تعداد روزهایی را که می توان رمز عبور را استفاده کرد و پس از آن باید تغییر کرد را مشخص می کند. اگر این فیلد روی مقدار مثبت تنظیم شود، تلاش کاربر برای ورود پس از انقضای رمز عبور باعث می شود که دستور رمز به طور معمول اجرا نشود، بلکه در حالت تغییر رمز عبور اجباری باشد.

مقدار در فیلد ششم تعیین می کند که چند روز قبل از انقضای رمز عبور، یک هشدار در این مورد باید آغاز شود. پس از دریافت اخطار، کاربر می تواند شروع به ایجاد رمز عبور جدید کند.

فیلد هفتم تعداد روزهایی را مشخص می کند که از روز تغییر اجباری رمز عبور شروع می شود و پس از آن این حساب مسدود می شود.

قسمت ماقبل آخر روز مسدود شدن را ذخیره می کند حساب.

قسمت آخر رزرو شده و استفاده نمی شود.

درباره /etc/group بیشتر بیاموزید

هر ورودی در فایل /etc/group شامل چهار فیلد است که با دو نقطه از هم جدا شده اند. فیلد اول نام گروه را مشخص می کند. مشابه نام کاربری

فیلد دوم معمولاً همیشه خالی است، زیرا مکانیزم رمز عبور معمولاً برای گروه ها استفاده نمی شود، اما اگر این فیلد خالی نباشد و حاوی رمز عبور باشد، هر کاربری می تواند به گروه بپیوندد. برای این کار باید دستور newgrp را با نام گروه به عنوان پارامتر اجرا کنید و پسورد صحیح را وارد کنید. اگر برای گروهی رمز عبور تعیین نکنید، فقط کاربرانی که در لیست عضویت گروه قرار دارند می توانند به آن بپیوندند.

فیلد سوم شناسه گروه (GroupID, GID) را مشخص می کند. معنی آن همان شناسه کاربری است.

آخرین قسمت لیستی از نام های کاربری متعلق به گروه است. نام های کاربری با کاما و بدون فاصله از هم جدا شده اند. گروه اصلی کاربر در فایل passwd نشان داده شده است (اجباری) و زمانی که کاربر بر اساس این اطلاعات به سیستم متصل می شود اختصاص داده می شود. بر این اساس، اگر گروه اصلی کاربر را در فایل passwd تغییر دهید، کاربر دیگر نمی‌تواند به گروه اصلی قبلی خود بپیوندد.

فایل /etc/login.defs

راه های مختلفی برای افزودن کاربر جدید به سیستم وجود دارد. برنامه های زیر در MSVS برای این مورد استفاده می شود: coastooL، LISA، useradd. هر کدام از آنها انجام خواهد داد. ابزار COAS از فایل خود استفاده می کند. و برنامه های useradd و LISA اطلاعات مربوط به مقادیر پیش فرض فیلدهای فایل های passwd و shadow را از فایل /etc/login.defs می گیرند. محتویات این فایل به صورت اختصاری در فهرست 1.4 نشان داده شده است.

فهرست 1.4.فایل کوتاه /etc/login.defs

#حداکثر تعداد روزهایی که در طی آنها از رمز عبور مجاز است استفاده شود:

#(-1 - تغییر رمز عبور لازم نیست) PASS_MAX_DAYS-1

حداقل تعداد روز بین تغییر رمز عبور: PASS_MIN_DAYSO

#چند روز قبل از تاریخ تغییر رمز عبور باید اخطار داده شود: PASS_WARN_AGE7

#چند روز باید از انقضای رمز عبور بگذرد تا حساب قفل شود: PASS_INACTIVE-1

#اجباری انقضای رمز عبور در یک روز معین:

# (تاریخ با تعداد روزهای بعد از 70/1/1 مشخص می شود، -1 = اجبار نکنید) PASS_EXPIRE -1

#مقادیر فیلدهای حساب ایجاد شده برای برنامه useradd

#گروه پیش فرض:GROUP100

#user home directory: %s = username) HOME /home/%s

#پوسته پیش فرض: SHELL/bin/bash

#دایرکتوری که اسکلت فهرست اصلی در آن قرار دارد: SKEL/etc/skel

مقادیر #حداقل و حداکثر برای انتخاب خودکار gid در groupaddGID_MIN100

محتویات این فایل مقادیر پیش فرض را برای فیلدهای فایل passwd و shadow تنظیم می کند. اگر آنها را از خط فرمان لغو نکنید، از آنها استفاده می شود. به عنوان نقطه شروع، این مقادیر خوب هستند، اما برخی از آنها برای پیاده سازی قدیمی شدن رمز عبور نیاز به تغییر دارند. مقدار -1 به معنای عدم محدودیت است.

برنامه COAS Caldera از یک رابط کاربری گرافیکی (GUI) استفاده می کند.

برای تغییر اطلاعات قدیمی شدن رمز عبور برای یک یا دو کاربر می توانید از دستور chage (تغییر) استفاده کنید. کاربران غیرمجاز فقط با گزینه های -l و نام کاربری خود می توانند chage را اجرا کنند، یعنی فقط اطلاعات قدیمی رمز عبور خود را درخواست کنند. برای تغییر اطلاعات منسوخ، به سادگی نام کاربری را مشخص کنید؛ پارامترهای باقیمانده در حالت گفتگو درخواست خواهند شد. فراخوانی chage بدون پارامتر کمک کوتاهی در مورد استفاده می کند.

COAS می تواند برای تغییر تنظیمات قدیمی رمز عبور بر اساس هر حساب استفاده شود. در این مورد، مقادیر در روز نشان داده می شوند. رابط برنامه واضح است.

توجه داشته باشید -

برای به دست آوردن اطلاعات در مورد انقضای رمز عبور کاربر یا اجباری کردن این فرآیند، می توانید از دستور expiry استفاده کنید.

سیستم امنیتی رم

ایده اصلی RAM این است که همیشه می‌توانید یک ماژول امنیتی جدید بنویسید که برای اطلاعات به یک فایل یا دستگاه دسترسی پیدا می‌کند و نتیجه فرآیند مجوز را برمی‌گرداند: SUCCESS، FAILURE یا IGNORE. و RAM نیز به نوبه خود SUCCESS یا FAILURE را به سرویسی که آن را فراخوانی کرده است برمی گرداند. بنابراین، فرقی نمی‌کند که چه رمزهای عبور، سایه یا معمولی، در صورت داشتن رم در سیستم استفاده می‌شود: همه برنامه‌هایی که از RAM پشتیبانی می‌کنند با هر دو به خوبی کار می‌کنند.

اجازه دهید اکنون به بررسی اصول اولیه عملکرد RAM بپردازیم. بیایید به لیست 1.6 نگاه کنیم. دایرکتوری /etc/pam.d همچنین حاوی فایل های پیکربندی برای سرویس های دیگر مانند su، passwd و غیره است، بسته به اینکه کدام یک نرم افزاربر روی سیستم نصب شده است. هر سرویس محدود شده فایل پیکربندی خاص خود را دارد. اگر هیچ کدام وجود نداشته باشد، این سرویس با دسترسی محدود در دسته "دیگر" قرار می گیرد، با فایل پیکربندی other.d. (سرویس محدود شده به هر سرویس یا برنامه ای گفته می شود که برای استفاده از آن نیاز به مجوز دارد. به عبارت دیگر، اگر سرویس به طور معمول از شما نام کاربری و رمز عبور بخواهد، یک سرویس محدود است.)

فهرست کردن 1.6. فایل پیکربندی سرویس ورود

pam_securetty.so مورد نیاز است

pam_pwdb.so مورد نیاز است

pam_nologin.so مورد نیاز است

#auth مورد نیاز pam_dialup.so

تأیید اختیاری pam_mail.so

حساب مورد نیاز pam_pwdb.so

جلسه مورد نیاز pam_pwdb.so

جلسه اختیاری pam_lastlog.so

رمز عبور مورد نیاز pam_pwdb.so

همانطور که از لیست مشاهده می کنید، فایل پیکربندی از سه ستون تشکیل شده است. خطوطی که با یک کاراکتر هش (#) شروع می شوند نادیده گرفته می شوند. بنابراین، ماژول pam_dialup (خط چهارم لیست 1.6.) حذف خواهد شد. فایل حاوی خطوطی با همان فیلد سوم - pam_pwd.so، و اولین - auth است. استفاده از چندین خط با همان فیلد اول، ماژول های انباشته نامیده می شود و به شما امکان می دهد مجوز چند مرحله ای (پشته ماژول) را دریافت کنید که شامل چندین روش مختلف مجوز است.

ستون اول یک ستون نوع است. نوع توسط یکی از چهار تگ کاراکتر تعیین می شود: اعتبار، حساب، جلسه و رمز عبور. محتویات تمام ستون ها به حروف بزرگ و کوچک حساس نیستند.

از نوع auth برای تعیین اینکه آیا کاربر همان چیزی است که می‌گوید، استفاده می‌شود. به عنوان یک قاعده، این با مقایسه رمزهای عبور وارد شده و ذخیره شده به دست می آید، اما گزینه های دیگری امکان پذیر است.

نوع حساب بررسی می کند که آیا یک کاربر مجاز به استفاده از این سرویس است یا خیر، تحت چه شرایطی، آیا رمز عبور قدیمی است و غیره.

نوع رمز عبور برای به روز رسانی نشانه های مجوز استفاده می شود.

نوع جلسه زمانی که کاربر وارد سیستم می شود و زمانی که کاربر از سیستم خارج می شود اقدامات خاصی را انجام می دهد.

پرچم ها را کنترل کنید

ستون دوم یک فیلد پرچم کنترل است که تعیین می کند پس از بازگشت از ماژول چه کاری باید انجام شود، یعنی اینکه RAM چگونه به مقادیر SUCCESS، IGNORE و FAILURE واکنش نشان می دهد. مقادیر مجاز: لازم، لازم، کافی و اختیاری. مقدار موجود در این فیلد تعیین می کند که آیا خطوط باقی مانده از فایل پردازش می شوند یا خیر.

پرچم مورد نیاز (لازم) محدودترین رفتار را مشخص می کند. هر خط با پرچم مورد نیاز که ماژول آن مقدار FAILURE را برمی گرداند خاتمه می یابد و سرویسی که آن را فراخوانی کرده است وضعیت FAILURE را برمی گرداند. هیچ خط دیگری در نظر گرفته نخواهد شد. این پرچم به ندرت استفاده می شود. واقعیت این است که اگر ماژول علامت گذاری شده با آن ابتدا اجرا شود، ممکن است ماژول های پس از آن اجرا نشوند، از جمله آنهایی که مسئول ورود به سیستم هستند، بنابراین معمولاً از پرچم مورد نیاز به جای آن استفاده می شود.

پرچم مورد نیاز اجرای ماژول ها را قطع نمی کند. نتیجه اجرای ماژول که با آن مشخص شده باشد: SUCCESS، IGNORE یا FAILURE، RAM همیشه به پردازش ماژول بعدی ادامه می دهد. این پرکاربردترین پرچم است، زیرا نتیجه اجرای ماژول تا زمانی که همه ماژول‌های دیگر اجرای خود را کامل نکرده باشند، برگردانده نمی‌شود، به این معنی که ماژول‌هایی که مسئول ورود به سیستم هستند قطعا اجرا خواهند شد.

پرچم کافی باعث می شود که رشته بلافاصله پردازش را کامل کند و SUCCESS را برگرداند، مشروط بر اینکه ماژولی که علامت گذاری کرده بود، SUCCESS را برگرداند و هیچ ماژولی که قبلاً با پرچم مورد نیاز مواجه شده بود وجود نداشته باشد که FAILURE را برگرداند. اگر با چنین ماژولی مواجه شد، پرچم کافی نادیده گرفته می شود. اگر ماژول علامت گذاری شده با این پرچم، IGNORE یا FAILURE را برگرداند، آنگاه با پرچم کافی مانند پرچم اختیاری رفتار می شود.

نتیجه اجرای یک ماژول با پرچم اختیاری تنها در صورتی در نظر گرفته می شود که تنها ماژول موجود در پشته باشد که SUCCESS را برمی گرداند. که در در غیر این صورتنتیجه اجرای آن نادیده گرفته می شود. بنابراین، اجرای ناموفق یک ماژول مشخص شده توسط آن منجر به شکست کل فرآیند مجوز نمی شود.

برای اینکه کاربر به سیستم دسترسی پیدا کند، ماژول هایی که با پرچم های مورد نیاز و مورد نیاز مشخص شده اند نباید FAILURE را برگردانند. نتیجه اجرای یک ماژول با پرچم اختیاری تنها در صورتی در نظر گرفته می شود که تنها ماژول موجود در پشته باشد که SUCCESS را برمی گرداند.

ماژول های رم

ستون سوم شامل نام کامل فایل ماژول مرتبط با این ردیف است. در اصل، ماژول ها را می توان در هر جایی قرار داد، اما اگر آنها در یک فهرست از پیش تعریف شده برای ماژول ها قرار گیرند، فقط نام را می توان مشخص کرد، در غیر این صورت مسیر نیز مورد نیاز است. در WSWS، دایرکتوری از پیش تعریف شده /lib/security است.

ستون چهارم برای ارسال پارامترهای اضافی به ماژول در نظر گرفته شده است. همه ماژول ها دارای پارامتر نیستند و در صورت وجود، ممکن است مورد استفاده قرار نگیرند. ارسال یک پارامتر به یک ماژول به شما این امکان را می دهد که رفتار آن را به روشی تغییر دهید.

لیست 1.7 شامل لیستی از ماژول های RAM موجود در MSVS است.

لیست 1.7.لیست ماژول های RAM موجود در MSVS

pam_rhosts_auth.so

pam_securetty.so

pam_unix_acct.so

pam_unix_auth.so

pam_unix_passwd.so

pam_unix_session.so

اطلاعات بیشتر در مورد ماژول ها

ماژول pam_access.so برای اعطای/رد کردن دسترسی بر اساس فایل /etc/security/access.conf استفاده می شود. خطوط این فایل دارای فرمت زیر هستند:

حقوق: کاربران: از

حقوق - یا + (اجازه) یا - (رد)

کاربران - ALL، نام کاربری، یا user@node، جایی که گره با نام ماشین محلی مطابقت دارد، در غیر این صورت ورودی نادیده گرفته می شود.

از - یک یا چند نام فایل ترمینال (بدون پیشوند /dev/)، نام گره ها، نام های دامنه(با یک نقطه شروع می شود)، آدرس های IP، ALL یا LOCAL.

ماژول pam_cracklib.so رمزهای عبور را با استفاده از فرهنگ لغت بررسی می کند. این رمز عبور برای تأیید یک رمز عبور جدید طراحی شده است و به جلوگیری از استفاده سیستم از گذرواژه‌های قابل هک آسان، مانند کلمات رایج، گذرواژه‌های حاوی نویسه‌های تکراری و گذرواژه‌های خیلی کوتاه کمک می‌کند. پارامترهای اختیاری وجود دارد: debug، type= و retry=. گزینه اشکال زدایی ثبت اطلاعات اشکال زدایی را در یک فایل گزارش فعال می کند. پارامتر نوع به دنبال رشته، درخواست پیش‌فرض NewUnixpassword: Unix word را به رشته مشخص شده تغییر می‌دهد. پارامتر retry تعداد تلاش‌هایی که کاربر برای وارد کردن رمز عبور انجام می‌دهد را مشخص می‌کند و پس از آن یک خطا برگردانده می‌شود (به طور پیش‌فرض، یک تلاش داده می‌شود).

بیایید به لیست 1.8 نگاه کنیم. محتویات فایل /etc/pam.d/other را نشان می دهد. این فایل شامل پیکربندی مورد استفاده توسط موتور PAM برای سرویس هایی است که فایل های پیکربندی خود را در دایرکتوری /etc/pam.d ندارند. به عبارت دیگر، این فایل برای تمام سرویس های ناشناخته سیستم رم اعمال می شود. این شامل هر چهار نوع مجوز، احراز هویت، حساب کاربری، رمز عبور و جلسه است که هر کدام ماژول pam_deny.so را که با پرچم مورد نیاز مشخص شده است فراخوانی می کند. بنابراین اجرای سرویس ناشناس ممنوع است.

لیست 1.8.فایل /etc/pam.d/other

تأیید اعتبار pam_deny.so لازم است

تأیید اعتبار pam_warn.so لازم است

حساب کاربری لازم است pam_deny.so

رمز عبور مورد نیاز pam_deny.so

رمز عبور مورد نیاز pam_warn.so

جلسه مورد نیاز pam_deny.so

ماژول pam_dialup.so بررسی می کند که آیا برای دسترسی به ترمینال یا پایانه های راه دور باید رمز عبور مشخص شود، که با استفاده از فایل /etc/security/ttys.dialup انجام می شود. این ماژول نه تنها برای ttyS، بلکه به طور کلی برای هر ترمینال tty قابل استفاده است. هنگامی که یک رمز عبور مورد نیاز است، با رمزی که در فایل /etc/security/passwd.dialup نوشته شده است بررسی می شود. تغییرات فایل passwd.dialup توسط برنامه dpasswd انجام می شود.

ماژول pam_group.so بررسی هایی را مطابق با محتوای فایل /etc/security/group.conf انجام می دهد. این فایل گروه هایی را مشخص می کند که کاربر مشخص شده در فایل در صورت رعایت شرایط خاص می تواند عضو آن ها شود.

ماژول pam_lastlog.so اطلاعاتی درباره زمان و مکان ورود کاربر به فایل lastlog می نویسد. به طور معمول این ماژول با یک نوع جلسه و یک پرچم اختیاری مشخص می شود.

ماژول pam_limits.so به شما این امکان را می دهد که محدودیت های مختلفی را برای کاربرانی که وارد سیستم شده اند اعمال کنید. این محدودیت ها برای کاربر ریشه (یا هر کاربر دیگری با شناسه پوچ) اعمال نمی شود. محدودیت‌ها در سطح ورود تنظیم شده‌اند و جهانی یا دائمی نیستند، فقط روی یک ورود تأثیر می‌گذارند.

ماژول pam_lastfile.so یک رکورد (مورد) می گیرد، آن را با لیست موجود در فایل مقایسه می کند و بر اساس نتایج مقایسه، SUCCESS یا FAILURE را برمی گرداند. پارامترهای این ماژول به شرح زیر است:

مورد=[کاربر پایانه | remote_node | remote_user | گروه| پوسته]

Sense= (وضعیت برای بازگشت؛ هنگامی که یک ورودی در لیست یافت می شود، در غیر این صورت وضعیت مخالف برمی گردد)

file=/full/path/and/file_name - onerr= (در صورت بروز خطا چه وضعیتی را باید برگردانید)

App1y=[user|@group] (کاربر یا گروهی را مشخص می‌کند که محدودیت‌ها برای آن اعمال می‌شود. فقط برای ورودی‌های مورد فرم =[ترمینال | remote_node | پوسته]، برای ورودی‌های مورد فرم =[کاربر | remote_user | گروه معنادار است. ] نادیده گرفته می شود)

ماژول pam_nologin.so برای مجوز نوع auth با پرچم مورد نیاز استفاده می شود. این ماژول بررسی می کند که آیا فایل /etc/nologin وجود دارد یا خیر و در غیر این صورت SUCCESS را برمی گرداند، در غیر این صورت محتویات فایل به کاربر نشان داده می شود و مقدار FAILURE برگردانده می شود. این ماژول معمولاً در مواردی استفاده می شود که سیستم هنوز به طور کامل راه اندازی نشده است یا به طور موقت برای تعمیر و نگهداری بسته شده است، اما از شبکه جدا نشده است.

ماژول pam_permit.so علاوه بر ماژول pam_deny.so است. همیشه SUCCESS را برمی گرداند. هر پارامتری که ماژول ارسال می کند نادیده گرفته می شود.

ماژول pam_pwdb.so یک رابط برای فایل های passwd و shadow فراهم می کند. گزینه های زیر ممکن است:

اشکال زدایی - اطلاعات اشکال زدایی را در فایل گزارش می نویسد.

حسابرسی - اطلاعات رفع اشکال اضافی برای کسانی که اطلاعات اشکال زدایی منظم کافی ندارند.

Use_first_pass - هرگز از کاربر رمز عبور را درخواست نکنید، بلکه آن را از ماژول های قبلی پشته بگیرید.

Try_first_pass - سعی کنید از ماژول های قبلی رمز عبور دریافت کنید، در صورت ناموفق بودن، از کاربر بپرسید.

Use_authtok - اگر pam_authtok تنظیم نشده بود مقدار FAILURE را برگردانید، از کاربر رمز عبور نخواهید، بلکه آن را از ماژول های قبلی پشته بگیرید (فقط برای پشته ای از ماژول ها از نوع رمز عبور).

Not_set_pass - رمز عبور این ماژول را به عنوان رمز عبور برای ماژول های بعدی تنظیم نکنید.

Shadow - پشتیبانی از سیستم رمز عبور سایه.

یونیکس - قرار دادن رمزهای عبور در فایل /etc/passwd.

Md5 - دفعه بعد که رمز عبور را تغییر دادید از رمزهای عبور md5 استفاده کنید.

Bigcrypt - دفعه بعد که رمزهای عبور را تغییر می دهید از رمزهای عبور DECC2 استفاده کنید.

Nodelay - تأخیر یک ثانیه ای را در صورت عدم موفقیت در مجوز غیرفعال کنید.

ماژول pam_rhosts_auth.so استفاده از فایل های .rhosts یا hosts.equiv را اجازه/انکار می کند. علاوه بر این، استفاده از ورودی های "خطرناک" در این فایل ها را نیز مجاز/ممنوع می کند. پارامترهای این ماژول به شرح زیر است:

No_hosts_equiv - فایل /etc/hosts.equiv را نادیده بگیرید.

No_rhosts - فایل /etc/rhosts یا ~/.rhosts را نادیده بگیرید.

اشکال زدایی - ورود اطلاعات اشکال زدایی؛

Nowarn - هشدارها را نمایش ندهید.

سرکوب - هیچ پیامی نمایش داده نشود.

بی بند و بار - اجازه استفاده از کاراکتر عام "+" را در هر زمینه ای بدهید.

ماژول pam_rootok.so برای هر کاربری با شناسه تهی، SUCCESS را برمی گرداند. هنگامی که با پرچم کافی علامت گذاری می شود، این ماژول اجازه دسترسی به سرویس را بدون تعیین رمز عبور می دهد. ماژول فقط یک پارامتر دارد: اشکال زدایی.

ماژول pam_securetty.so فقط می تواند علیه ابرکاربران استفاده شود. این ماژول با فایل /etc/securetty کار می کند و به ابرکاربر اجازه می دهد فقط از طریق پایانه های فهرست شده در این فایل وارد شود. اگر می‌خواهید اجازه ورود ابرکاربر از طریق telnet (شبه پایانه ttyp) را بدهید، باید یا خطوطی برای ttyp0-255 به این فایل اضافه کنید، یا تماس با pam_securetty.so را در فایل مربوط به سرویس ورود، نظر دهید.

اگر پوسته کاربر مشخص شده در فایل /etc/passwd در لیست پوسته‌های فایل /etc/shells وجود داشته باشد، ماژول pam_shells.so SUCCESS را برمی‌گرداند. اگر فایل /etc/passwd هیچ پوسته ای را به کاربر اختصاص نداد، /bin/sh راه اندازی می شود. اگر فایل /etc/passwd یک کاربر پوسته‌ای را مشخص کند که در /etc/shells فهرست نشده است، ماژول FAILURE را برمی‌گرداند. فقط ابرکاربر باید دسترسی نوشتن به فایل /etc/shells داشته باشد.

ماژول pam_stress.so برای مدیریت رمزهای عبور استفاده می شود. این دارای پارامترهای بسیار زیادی است، از جمله اشکال زدایی بدون تغییر، اما در مورد کلیاز بین تمام پارامترها، تنها دو مورد مورد توجه هستند:

Rootok - به ابرکاربر اجازه می دهد تا رمزهای عبور کاربر را بدون وارد کردن رمز عبور قدیمی تغییر دهد.

منقضی شده - با این پارامتر، ماژول به گونه ای اجرا می شود که گویی رمز عبور کاربر قبلاً منقضی شده است.

سایر پارامترهای ماژول به شما این امکان را می دهند که هر یک از این دو حالت را غیرفعال کنید، از یک رمز عبور از ماژول دیگری استفاده کنید یا رمز عبور را به ماژول دیگری منتقل کنید، و غیره. ویژگی های خاصاین ماژول، توضیحات آنها را در مستندات ماژول بخوانید.

در WSWS، ماژول pam_tally.so به طور پیش فرض در فایل های /etc/pam.d استفاده نمی شود. این ماژول تلاش های مجوز را شمارش می کند. اگر مجوز موفقیت آمیز باشد، شمارنده تلاش می تواند به صفر بازنشانی شود. اگر تعداد تلاش‌های اتصال ناموفق از حد معینی فراتر رود، می‌توان دسترسی را رد کرد. به طور پیش فرض، اطلاعات تلاش در فایل /var/log/faillog قرار می گیرد. پارامترهای جهانی عبارتند از:

Onerr= - اگر خطایی رخ داد چه باید کرد، مثلاً فایل باز نشد.

File=/full/path/and/file_name - در صورت عدم وجود، از فایل پیش فرض استفاده می شود. پارامتر زیر فقط برای نوع auth معنی دارد:

No_magic_root - شمارش تعداد تلاش‌های ابرکاربر را فعال می‌کند (به‌طور پیش‌فرض شمارش نمی‌شود). در صورتی مفید است که ورود ریشه از طریق telnet مجاز باشد. پارامترهای زیر فقط برای نوع حساب معنی دار هستند:

Deny=n - پس از n تلاش دسترسی را رد کنید. با استفاده از این گزینه رفتار پیش فرض ماژول reset/no_reset از no_reset به reset تغییر می کند. این برای همه کاربران به جز root (UID 0) اتفاق می افتد مگر اینکه از no_magic_root استفاده شود.

No_magic_root - پارامتر انکار را برای تلاش های دسترسی کاربر ریشه نادیده نگیرید. هنگامی که همراه با گزینه deny= استفاده می شود (به قبل مراجعه کنید)، رفتار پیش فرض برای کاربر root بازنشانی می شود، مانند سایر کاربران.

Even_deny_root_account - در صورت وجود پارامتر no_magic_root اجازه می دهد تا حساب کاربری فوق کاربر را مسدود کند. اخطار صادر می شود. اگر از no_magic_root استفاده نشود، بدون در نظر گرفتن تعداد تلاش‌های ناموفق، حساب superuser، برخلاف حساب‌های کاربر عادی، هرگز قفل نمی‌شود.

بازنشانی - بازنشانی تعداد دفعات شمارنده پس از ورود موفقیت آمیز.

No_reset - پس از ورود موفقیت آمیز، تعداد دفعات شمارشگر را تنظیم مجدد نکنید. پیش فرض است مگر اینکه deny= مشخص شده باشد.

ماژول pam_time.so به شما امکان می دهد دسترسی به یک سرویس را بر اساس زمان محدود کنید. تمام دستورالعمل‌های تنظیم آن را می‌توانید در فایل /etc/security/time.conf بیابید. هیچ پارامتری ندارد: همه چیز در فایل پیکربندی تنظیم شده است.

ماژول pam_unix مجوز عادی MSWS را کنترل می کند (معمولاً به جای این ماژول از pam_pwdb.so استفاده می شود). از نظر فیزیکی، این ماژول از چهار ماژول تشکیل شده است که هر کدام مربوط به یکی از انواع PAM است: pam_unix_auth.so، pam_unix_session.so، pam_unix_acct.so و pam_unix_passwd.so. ماژول‌های مربوط به انواع حساب و اعتبار پارامتری ندارند. ماژول نوع passwd فقط یک پارامتر دارد: strict=false. اگر وجود داشته باشد، ماژول گذرواژه‌ها را از نظر مقاومت در برابر هک بررسی نمی‌کند و امکان استفاده از رمزهای عبور دلخواه، از جمله گذرواژه‌های ناامن (به راحتی قابل حدس زدن یا انتخاب‌شده) را می‌دهد. ماژول برای نوع جلسه دو پارامتر را درک می کند: اشکال زدایی و ردیابی. اطلاعات اشکال زدایی گزینه debug در فایل log اطلاعات debug همانطور که در syslog.conf مشخص شده است و اطلاعات گزینه trace به دلیل حساسیت آن در لاگ authpriv قرار می گیرد.

ماژول pam_warn.so پیامی در مورد فراخوانی خود به syslog می نویسد. هیچ پارامتری ندارد.

ماژول pam_wheel.so تنها به اعضای گروه چرخ اجازه می دهد تا ابرکاربر شوند. گروه چرخ یک گروه سیستمی ویژه است که اعضای آن نسبت به کاربران عادی امتیازات بیشتری دارند، اما از ابرکاربر کمتر. وجود آن به شما این امکان را می دهد که تعداد کاربران سیستم را با امتیازات superuser کاهش دهید، آنها را به عضوی از گروه چرخ تبدیل کنید و در نتیجه امنیت سیستم را افزایش دهید. اگر ابرکاربر فقط با استفاده از یک ترمینال می‌تواند وارد سیستم شود، این ماژول می‌تواند برای جلوگیری از دسترسی کاربران با امتیازات ابرکاربر با ممانعت از دسترسی آنها استفاده شود، مگر اینکه به گروه چرخ تعلق داشته باشند. ماژول از پارامترهای زیر استفاده می‌کند:

اشکال زدایی - ثبت اطلاعات اشکال زدایی؛

Use_uid - تعیین مالکیت بر اساس شناسه کاربر فعلی، و نه هویتی که هنگام ورود به سیستم به او اختصاص داده شده است.

اعتماد - اگر کاربر به گروه چرخ تعلق دارد، مقدار SUCCESS را به جای IGNORE برگردانید.

انکار - معنای رویه را به عکس تغییر می دهد (بازگشت ناموفق). در ترکیب با group=، به شما امکان می دهد دسترسی به اعضای یک گروه معین را رد کنید.

توجه داشته باشید -

دایرکتوری /etc/security مستقیماً با دایرکتوری /etc/pam.d مرتبط است زیرا حاوی فایل های پیکربندی برای ماژول های مختلف PAM است که در فایل ها از /etc/pam.d فراخوانی می شوند.

ورودی های رم در فایل های لاگ

فهرست کردن 1.9. محتویات /var/log/secure

11 ژانویه 16:45:14 chiriqui PAM_pwdb: جلسه (su) برای root کاربر باز شد

11 ژانویه 16:45:25 chiriqui PAM_pwdb: (su) جلسه برای root کاربر بسته شد

ژانویه 11 17:18:06 chiriqui ورود: ورود ناموفق 1 از (تهی) برای دیوید،

خرابی احراز هویت

ژانویه 11 17:18:13 ورود به سیستم: ورود ناموفق 2 از (تهی) برای دیوید.

خرابی احراز هویت

ژانویه 11 17:18:06 chiriqui ورود: ورود ناموفق 1 از (تهی) برای دیوید.

خرابی احراز هویت

ژانویه 11 17:18:13 ورود به سیستم: ورود ناموفق 2 از (تهی) برای دیوید،

خرابی احراز هویت

11 ژانویه 17:18:17 chiriqui PAM_pwdb: جلسه (ورود به سیستم) برای کاربر دیوید باز شد

ژانویه 11 17:18:17 chiriqui -- دیوید: ورود در ttyl توسط دیوید

11 ژانویه 17:18:20 chiriqui PAM_pwdb: جلسه (ورود به سیستم) برای کاربر david بسته شد

هر ورودی با تاریخ، زمان و نام میزبان شروع می شود. پس از آن، نام ماژول PAM و شناسه فرآیند در براکت های مربع قرار می گیرد. سپس در داخل پرانتز، نام سرویس با محدودیت دسترسی آمده است. برای لیست 1.9 این یا su یا ورود است. پس از نام سرویس "sessionopened" یا "sessionclosed" آمده است.

ورودی بلافاصله پس از ورودی "sessionopened" پیام ورود است که به شما می گوید چه کسی و از کجا وارد شده است.

سوالات زیر در نظر گرفته شده است:

گروه های کاربری پیش فرض و گروه های کاربری خصوصی چیست.

تغییر کاربر/گروه؛

چگونه تغییر کاربر/گروه بر رابط کاربری گرافیکی تأثیر می گذارد.

امنیت و کاربران؛

امنیت و رمز عبور؛

حفاظت از رمز عبور؛

انتخاب یک رمز عبور خوب؛

هک رمزهای عبور

گروه پیش فرض

در حال حاضر، دیگر محدودیتی برای کاربرانی که هر بار فقط به یک گروه تعلق دارند، وجود ندارد. هر کاربر می تواند به طور همزمان به چندین گروه تعلق داشته باشد. با استفاده از دستور newgrp، کاربر عضو گروه مشخص شده در دستور می شود و این گروه برای این کاربر می شود. گروه ورود(loginggroup). در این حالت کاربر همچنان عضو گروه هایی است که قبل از اجرای دستور newgrp در آنها عضویت داشته است. گروه لاگین گروهی است که مالک گروه فایل های ایجاد شده توسط کاربر می شود.

تفاوت بین گروه های پیش فرض و گروه های کاربری خصوصی در میزان باز بودن دو طرح است. با طراحی گروهی پیش‌فرض، هر کاربری می‌تواند فایل‌های کاربر دیگر را بخواند (و اغلب اصلاح کند). در گروه‌های خصوصی، خواندن یا نوشتن یک فایل ایجاد شده توسط کاربر دیگر تنها در صورتی امکان‌پذیر است که مالک آن به صراحت حقوق این عملیات را به کاربران دیگر اعطا کرده باشد.

اگر می خواهید کاربران بتوانند بدون دخالت مدیر سیستم به گروه بپیوندند و از آن خارج شوند، می توانید یک رمز عبور به گروه اختصاص دهید. یک کاربر تنها در صورتی می تواند از امتیازات یک گروه خاص برخوردار شود که به آن گروه تعلق داشته باشد. در اینجا دو گزینه وجود دارد: یا از لحظه ورود به سیستم به گروه تعلق دارد، یا پس از شروع کار با سیستم، متعاقباً عضو گروه می شود. برای اینکه کاربر به گروهی که به آن تعلق ندارد ملحق شود، باید به آن گروه یک رمز عبور اختصاص داده شود.

به‌طور پیش‌فرض، WSWS از پسوردهای گروهی استفاده نمی‌کند، بنابراین هیچ فایل gshadow در فهرست /etc وجود ندارد.

اگر به طور منظم فقط از یکی از برنامه‌ها -useradd، LISA یا COAS- برای انجام کارهای معمول مدیریت کاربر استفاده می‌کنید، فایل‌های تنظیمات کاربر سازگارتر و نگهداری آسان‌تر هستند.

مزیت طراحی گروه پیش فرض این است که آن را آسان می کند اشتراک گذاریفایل‌ها، زیرا هنگام استفاده از آن نیازی نیست نگران حقوق دسترسی به آنها باشید. این طرح متضمن رویکرد باز به سیستم بر اساس اصل "هر چیزی که ممنوع نیست مجاز است."

پیکربندی پیش فرض های کاربر یک کار با اولویت بالا است که باید بلافاصله پس از نصب سیستم تکمیل شود.

گروه های کاربری خصوصی

گروه های کاربری خصوصی نام هایی دارند که همان نام های کاربری هستند. یک گروه خصوصی به گروه ورود تبدیل می‌شود، بنابراین به‌طور پیش‌فرض، یعنی اگر ویژگی‌های دایرکتوری چیز دیگری را مشخص نکنند، به عنوان گروه مالک همه فایل‌ها برای آن کاربر تعیین می‌شود.

مزیت گروه های کاربری خصوصی این است که کاربران نیازی به نگرانی در مورد محدود کردن دسترسی به فایل های خود ندارند: به طور پیش فرض، دسترسی به فایل های کاربر از لحظه ایجاد آنها محدود خواهد شد. در WSWS، هنگام استفاده از گروه‌های خصوصی، کاربر فقط می‌تواند فایل‌هایی را که متعلق به او هستند بخواند یا تغییر دهد. علاوه بر این، او فقط می تواند فایل ها را در فهرست اصلی خود ایجاد کند. این رفتار پیش فرض را می توان توسط مدیر یا کاربر سیستم، هر دو در سطح، تغییر داد فایل جداگانه، و در سطح دایرکتوری.

چندین دستور وجود دارد که کاربر می تواند نام خود و/یا گروهی را که به آن تعلق دارد یا نام یا گروهی را که برنامه از طرف آن اجرا می شود کنترل کند. یکی از این برنامه ها newgrp است.

دستور newgrp می تواند توسط هر کاربری اجرا شود. این به او اجازه می دهد تا به گروهی بپیوندد که به آن تعلق نداشت، اما تنها در صورتی که به آن گروه یک رمز عبور اختصاص داده شود. اگر عضو آن گروه نباشید، این دستور به شما اجازه نمی دهد بدون رمز عبور به یک گروه بپیوندید.

دستور newgrp را می توان در گروهی استفاده کرد که کاربر قبلاً عضو آن است. در این صورت newgrp گروه مشخص شده را به گروه ورود تبدیل می کند. گروه های یک کاربر به دو نوع تقسیم می شوند: گروه ورود و همه گروه های دیگری که کاربر به آنها تعلق دارد. یک کاربر می تواند به چندین گروه تعلق داشته باشد، اما گروه مالک فایل هایی که کاربر ایجاد می کند همیشه به گروه ورود به سیستم آن کاربر اختصاص داده می شود.

علاوه بر newgrp می توانید استفاده کنید تیم های چوگانو chgrp.

دامنه دستور newgrp در محیط XWindow محدود به برنامه xterm است که در آن اجرا شده است: فقط برنامه هایی که از طریق آن ترمینال راه اندازی شده اند در زمینه گروه جدید اجرا می شوند، به این معنی که کاربر نمی تواند از آن برای تغییر استفاده کند. گروه لاگین برای برنامه هایی که از طریق مدیر پنجره راه اندازی شده اند. برنامه ای که همیشه باید در زمینه یک گروه ثانویه اجرا شود را می توان از طریق یک اسکریپت شروع کرد که آن را روی گروه لاگین مورد نیاز تنظیم می کند.

سیستم XWindow همیشه مشکلات بیشتری را برای زندگی کاربران به همراه دارد. که در در این مورداین مشکلات مستقیماً به X مربوط نمی شوند، اما از منطق /etc/groups و /etc/gshadow پیروی می کنند. کسانی که از رمزهای عبور سایه برای گروه ها استفاده نمی کنند، نگرانی زیادی در مورد آنها ندارند. در مورد X، تنظیم یک گروه محافظت شده با رمز عبور از طریق یک اسکریپت ساده امکان پذیر نیست، اما برای گروه های کاربری ثانویه که نیازی به رمز عبور ندارند، تغییر گروه بسیار ساده است. سناریوی زیر کافی است:

sg - gifs -c /usr/X11R6/bin/xv &

در نتیجه اجرای این اسکریپت برنامه xv راه اندازی می شود که گروه اولیه آن گروه gifs خواهد بود. این چیزی است که ما نیاز داشتیم به آن برسیم.

برای کسانی که از پسوردهای گروه سایه استفاده می کنند سخت تر است، زیرا در این حالت هنگام اجرای این اسکریپت، یک پیام خطا روی صفحه ظاهر می شود. هنگامی که فایل /etc/groups کاربرانی را که به یک گروه تعلق دارند لیست می کند، هر یک از آنها بلافاصله پس از ورود به سیستم به طور خودکار عضو گروه در نظر گرفته می شود. با این حال، در مورد رمزهای عبور سایه، لیست کاربران گروه به فایل /etc/gshadow منتقل می شود، به طوری که کاربر وارد شده به طور خودکار به عنوان عضو گروه ثبت نمی شود، اما می تواند با استفاده از فایل به آن بپیوندد. دستور newgrp یا هر برنامه ای را از طرف آن با استفاده از دستور sg اجرا کنید. مشکل این است که از دیدگاه X این کاربر(که لزوماً کاربری نیست که جلسه کاری X را آغاز کرده است) اجازه برقراری اتصال را ندارد. بنابراین، برای گروه های بدون رمز عبور، اسکریپت قبلی به صورت زیر اصلاح می شود:

xhosts +localhost

sg - gifs -c /usr/X11R6/bin/xv &

خط اضافه شده به گروه جدید (گیف) اجازه دسترسی به صفحه را می دهد. برای اکثر ایستگاه‌های کاری، این نباید باعث ایجاد مشکل امنیتی مهمی شود، زیرا این خط فقط به کاربران میزبان محلی اجازه می‌دهد به صفحه (برای دریافت اطلاعات اضافیدر مورد X و xhost، یک راهنمای خوب سیستم عامل لینوکس را ببینید).

توجه داشته باشید

استفاده از سرور X (به ویژه در ارتباط با xdm یا kdm) مستلزم تعدادی ظرافت است که بیشتر تشدید می شود. برنامه های گرافیکی، زیرا می توان آنها را نه تنها از طریق راه اندازی کرد خط فرمان، بلکه با استفاده از یک نماد در دسکتاپ گرافیکی.

کاربر را تغییر دهید

توجه داشته باشید

یک کاربر معمولی نمی تواند به اندازه ای که یک ابرکاربر بی دقت می تواند به سیستم آسیب برساند. عواقب اشتباه تایپی شما به عنوان یک کاربر فوق‌العاده می‌تواند کاملاً کشنده باشد، تا جایی که تمام شما فایل های سیستمی(یا حتی تمام فایل های ذخیره شده در سیستم) را می توان خداحافظی کرد. ممکن است برخی از شرکت ها بعد از این با شما خداحافظی کنند.

دستور su وظیفه تبدیل یک کاربر به کاربر دیگر را بر عهده دارد. این تیم نام خود را از آن گرفته است « جایگزین کاربر » (جایگزینی کاربر)، اما از آنجایی که اغلب برای تبدیل شدن به ابرکاربر استفاده می شود..

دستور su که بدون آرگومان فراخوانی می شود از کاربر رمز عبور می خواهد و پس از آن (دریافت رمز صحیح در پاسخ) شما را به کاربر اصلی تبدیل می کند. این دستور یک سرویس محدود است، بنابراین تمام جنبه های امنیتی آن را می توان از طریق فایل /etc/pam.d/su پیکربندی کرد.

توجه داشته باشید -

فراخوانی su بدون تعیین نام کاربری (با یا بدون خط تیره) به عنوان دستورالعملی برای تبدیل شدن شما به کاربر اصلی تفسیر می شود.

این دستور sudo به کاربران منتخب اجازه می‌دهد تا برنامه‌های خاصی را به‌عنوان superuser اجرا کنند و از کاربری که این دستور را فراخوانی می‌کند نه رمز عبور superuser، بلکه برای رمز عبور خود درخواست می‌شود. از sudo مشابه دستور sg استفاده کنید. کاربر sudo command_to_execute و سپس رمز عبور خود را وارد می کند و در صورت اجازه، دستور مشخص شدهتحت امتیازات superuser اجرا می شود.

امنیت و کاربران

کاربران معمولاً فقط به نحوه ورود و اجرای برنامه های مورد نیاز خود علاقه مند هستند. آنها تنها پس از از دست دادن پرونده های مهم به امنیت علاقه مند می شوند. اما زیاد دوام نمی آورد. هنگامی که کاربران متوجه می شوند که اقدامات انجام شده است، آنها به سرعت هر گونه اقدامات احتیاطی را فراموش می کنند.

به طور کلی، ایمنی دغدغه آنها نیست. مدیر سیستم باید یک سیاست امنیتی را در نظر بگیرد، اجرا کند و حفظ کند که به کاربران اجازه دهد کار خود را انجام دهند بدون اینکه حواسشان به مسائل امنیتی که برای آنها بیگانه است پرت شوند.

خطر اصلی برای یک سیستم معمولا از درون می آید، نه از بیرون. منبع آن (به ویژه در سیستم های بزرگ) می تواند به عنوان مثال، یک کاربر عصبانی باشد. با این حال، زمانی که آسیب ناشی از ناآگاهی با نیت سوء اشتباه گرفته شود، باید از سوء ظن زیاد خودداری شود. نحوه محافظت از کاربران در برابر آسیب ناخواسته به فایل های خود و دیگران در قسمت اول کتاب توضیح داده شده است. همانطور که تمرین نشان می دهد، کاربر معمولی قادر به آسیب رساندن به سیستم نیست. شما فقط باید نگران آن دسته از کاربرانی باشید که قادر به یافتن حفره ای در مکانیسم های امنیتی هستند و در واقع قادر به ایجاد آسیب هدفمند به سیستم هستند. اما اینگونه کاربران معمولاً تعداد کمی دارند و به مرور زمان شناخته می شوند، به خصوص اگر بدانید به دنبال چه باشید. گروه خطر شامل کاربرانی است که به دلیل موقعیت یا از طریق اتصالات خود، می توانند در سطح امتیاز root دسترسی داشته باشند. با تسلط بر مطالب این کتاب، متوجه خواهید شد که دقیقاً چه چیزی باید به عنوان نشانه های مشکل قریب الوقوع در نظر گرفته شود.

به طور پیش فرض، کاربران کنترل کاملی بر دایرکتوری های خانگی خود دارند. اگر از گروه پیش‌فرض استفاده می‌کنید، همه کاربران سیستم متعلق به یک گروه هستند. هر کاربری حق دسترسی به دایرکتوری های خانگی سایر کاربران و فایل های موجود در آنها را دارد. هنگام استفاده از یک طرح با گروه های کاربری خصوصی، هر کاربر در سیستم فقط به فهرست اصلی خود دسترسی دارد و دایرکتوری های اصلی سایر کاربران در دسترس او نیست.

اگر همه کاربران سیستم نیاز به دسترسی عمومی به مجموعه خاصی از فایل های به اشتراک گذاشته شده، توصیه می شود یک دایرکتوری مشترک در جایی به طور خاص برای این اهداف ایجاد کنید، گروهی ایجاد کنید که همه کاربران عضو آن باشند (این می تواند گروه کاربران یا هر گروه دیگری باشد که ایجاد کرده اید) و حقوق دسترسی مناسب را به این گروه بدهید. دایرکتوری مشترک اگر کاربر بخواهد برخی از فایل‌های خود را در دسترس سایر کاربران قرار دهد، می‌تواند به سادگی آنها را در این فهرست کپی کرده و مطمئن شود که این فایل‌ها متعلق به همان گروهی هستند که همه کاربران عضو آن هستند.

برخی از کاربران نیاز به استفاده دارند یا به سادگی نمی توانند بدون برنامه هایی که در بسته WSWS گنجانده نشده اند استفاده کنند. اکثر کاربران در نهایت بسیاری از فایل‌های خود را به دست می‌آورند: اسناد، فایل‌های پیکربندی، اسکریپت‌ها و غیره. OpenLinux کمک چندانی به کاربران در سازمان‌دهی فایل‌هایشان نمی‌کند و این کار را به سرپرست سیستم واگذار می‌کند.

ساختار دایرکتوری ایجاد شده در فهرست اصلی هر کاربر جدید توسط محتویات دایرکتوری /etc/skel تعیین می شود. یک /etc/skel معمولی معمولاً شامل دایرکتوری های زیر است:

این دایرکتوری ها برای ذخیره (به ترتیب) فایل های باینری استفاده می شوند. فایل های منبع، فایل های سند و سایر فایل های متفرقه. بسیاری از برنامه‌ها به‌طور پیش‌فرض پیشنهاد می‌کنند فایل‌هایی از انواع خاصی را در یکی از این زیر شاخه‌ها ذخیره کنند. پس از دریافت توضیحی در مورد هدف کاتالوگ هایی که در اختیار دارند، کاربران معمولاً مایل به استفاده از آنها هستند، زیرا آنها را از ارائه چیزی از خود نجات می دهد. فقط به یاد داشته باشید که ~/bin را یکی از آخرین فهرست های فهرست شده در PATH کاربران خود قرار دهید.

امنیت و رمزهای عبور

آنها می گویند که هر جا نازک می آید، می شکند - این ضرب المثل اغلب در مورد اهمیت کلمه عبور در یک سیستم امنیتی به یاد می آید. به طور کلی، قابلیت اطمینان یک سیستم امنیتی توسط عوامل زیادی تعیین می شود، به ویژه اینکه سیستم WSWS چه خدماتی را در اختیار کاربران خارجی قرار می دهد (این که آیا به عنوان یک وب سرور استفاده می شود، آیا می توان با استفاده از telnet به سیستم وارد شد و غیره). یکی دیگر از عوامل تعیین کننده رمزهای عبور کاربر است که ما را به عامل دیگری می رساند - پیروی کاربر از سیاست های امنیتی. کاربر عادی نمی خواهد چیزی در مورد امنیت بداند. اگر به کاربر احترام می گذاریم و نمی خواهیم با روش های قهری نگرش او را نسبت به امنیت تغییر دهیم، باید سیستم امنیتی را برای او راحت و قابل درک کنیم. سخت ترین چیز برای رسیدن به راحتی است. هر چیزی که ایمن است معمولاً خیلی راحت نیست (زیرا در پشت راحتی قابل پیش بینی و ابتدایی بودن وجود دارد که با ایمنی ترکیب نمی شود) و بنابراین با رفتار معمول افرادی که راحت ترین را به همه روش های ممکن ترجیح می دهند در تضاد است. از این گذشته، کاربران با سیستم کار می کنند تا کارهای محول شده به آنها را تکمیل کنند و کار جدیدی را به خود اضافه نکنند. برای جلوگیری از اینکه کاربران عمداً مسیر کمترین مقاومت را هنگام برخورد با رمزهای عبور انتخاب کنند، معمولاً سعی می‌کنم به آنها توضیح دهم که پسوردها برای چیست و چرا حفظ امنیت آنها بسیار مهم است. این موضوع نه از دیدگاه کلی مانند "یک سیستم با امنیت پایین می تواند هک شود و فایل های مهم دزدیده یا آسیب ببیند" بلکه از نقطه نظر منافع شخصی کاربر مهم است.

اکثر کاربران اهمیت ایمیل را برای کار خود درک می کنند. با این حال، آنها متوجه نمی شوند که هر کسی که با نام آنها وارد شده است، می تواند از ایمیل خود از طرف آنها علیه آنها استفاده کند. از کاربر بپرسید که آیا از ایمیل برای مقاصد شخصی استفاده می کند یا خیر. به احتمال زیاد او پاسخ مثبت خواهد داد. سپس از او بپرسید که آیا او باید در مورد آن تصمیم بگیرد پست الکترونیکمسائل مهم تجاری کسانی که پاسخ «نه» می دهند هر روز کمتر و کمتر می شوند. اما حتی اگر پاسخ منفی باشد، برخی از شرکای تجاری ممکن است تراکنش ایمیل را به اندازه یک تراکنش تلفنی الزام آور بدانند.

سپس به کاربر توضیح دهید که او ایمیل هاگاهی اوقات به اندازه او اهمیت دارد امضای شخصی. و اگرچه هدر یک پیام ایمیل قابل تغییر است، اما در بیشتر موارد چنین تغییری به اندازه جعل امضا غیرقانونی است. اما اگر شخصی با یادگیری رمز عبور کاربر دیگری به نام خود وارد سیستم شود ، به معنای واقعی کلمه می تواند با امضای شخص دیگری امضا کند. هر نامه ای که توسط او ارسال شود از نظر فنی با نامه های ارسال شده توسط خود کاربر قابل تشخیص نیست. عمل اجازه دادن به شخصی برای ورود با نام دیگری نامطلوب است و باید از آن اجتناب شود (استثناها عبارتند از: مدیران سیستم(که از این ویژگی برای آزمایش اسکریپت های ورود و تنظیمات کاربر استفاده می کنند، اما برای انجام این کار نیازی به دانستن رمز عبور آن کاربر ندارند). پدیده های نامطلوب شامل ورود به سیستم تحت نام شخص دیگری (حتی با اجازه کاربر دیگر) است. این چقدر نامطلوب است؟ پاسخ به این سوال با توجه به شدت سیاست امنیتی شرکت تعیین می شود.

با این حال، کاربران باید بدانند که راه‌های به همان اندازه خطرناک دیگری برای دسترسی غیرمجاز به حساب خود وجود دارد. رایج ترین حالت زمانی است که کاربر از ترس فراموشی رمز عبور، به خاطر سپردن آن را آسان می کند و در نتیجه حدس زدن را آسان می کند یا رمز عبور را روی کاغذی می نویسد که اغلب به سادگی به مانیتور متصل می شود. یک سیستم امنیتی رمز عبور بر دو چیز استوار است: نام کاربری دائمی و تغییر دوره ای رمز عبور. اکثر مردم پین حساب بانکی خود را به کسی نمی گویند، اما از رمز عبور کاربری خود با حسادت محافظت نمی کنند. اگرچه، بر خلاف وضعیت با حساب بانکیدر جایی که بخش دائمی، یعنی کارت اعتباری، یک شی فیزیکی است که هنوز باید به آن دسترسی داشته باشید، بخش ثابت سیستم امنیتی رمز عبور، یعنی نام کاربری، برای همه (حداقل همه افراد داخل شرکت و کسانی که با آنها تماس دارند) شناخته شده است. کاربر از طریق ایمیل مکاتبه می شود). بنابراین، اگر قسمت متغیر در جایی نوشته شده باشد یا به راحتی حدس زده شود یا توسط برنامه ای که در لغات یک فرهنگ لغت جستجو می کند، انتخاب شود، نمی توان چنین حسابی را به خوبی محافظت شده در نظر گرفت.

در نهایت، کاربران باید از وجود روشی به نام «مهندسی اجتماعی» برای دریافت رمز عبور آگاه باشند. بسیاری از ما حداقل یک نفر را در زندگی خود ملاقات کرده ایم که می توانیم درباره او بگوییم "لغزنده مثل جهنم". چنین افرادی توانایی متقاعد کردن دیگران را با استفاده از استدلال منطقی برای ارائه اطلاعات مورد نیاز خود دارند. اما این تنها راه ممکن برای پیدا کردن رمز عبور شخص دیگری نیست. گاهی اوقات فقط یک نگاه کردن کافی است.

یک راه برای مقابله با چنین حوادثی این است که به طور مرتب رمز عبور خود را تغییر دهید. البته می توانید هر ده سال یک بار رمز عبور خود را تغییر دهید، اما بهتر است فواصل بین تغییرات را خیلی طولانی نکنید، همانطور که بهتر است مثلاً هر ساعت یک بار آن را خیلی کوتاه نکنید. عدم تغییر رمز عبور برای مدت طولانی به این معنی است که خود را در معرض خطر هک قرار می دهید.

توجه داشته باشید-

نفوذ یک بیگانه به سیستم تحت پوشش کاربر معمولیمی تواند عواقب ناگواری را نه تنها برای فایل های آن کاربر، بلکه برای کل سیستم به همراه داشته باشد، زیرا هر چه این فرد غریبه اطلاعات بیشتری درباره سیستم شما داشته باشد، پیدا کردن حفره هایی در امنیت آن برای او آسان تر خواهد بود.

توجه داشته باشید که اسکریپت قبل از شروع چند بررسی انجام می دهد: اینکه آیا به صورت روت اجرا می شود، آیا UID شروع اشغال شده است یا خیر. با این حال، همه چیز را بررسی نمی کند.

هک رمزهای عبور

یکی از راه‌های آزمایش امنیت یک سیستم این است که خود را به جای یک مهاجم قرار دهید و سعی کنید همانطور که فردی که سعی در شکستن امنیت دارد فکر کنید و عمل کنید. این بدان معنی است که شما باید در میان کاربران قدم بزنید، جاسوسی کنید تا ببینید آیا رمز عبور نوشته شده ای به برخی از مانیتورها متصل شده است یا خیر، آیا فردی کاغذی را که اطلاعات شناسایی روی آن نوشته شده است روی میز گذاشته است، یا "از آنجا عبور کنید" زمانی که در صبح کاربران وارد سیستم می شوند (شاید بتوانید یکی از آنها را در حال تایپ رمز عبور روی صفحه کلید ببینید).

این همچنین به معنای توجه به جهت گیری مانیتور کاربر برای دسترسی به اطلاعات حساس است تا مشخص شود که آیا برای دیگران قابل مشاهده است یا خیر. بعد، وقتی این کاربران میز خود را ترک می کنند، آیا محافظ صفحه نمایش قفل شده با رمز عبور راه اندازی می کنند، از سیستم خارج می شوند یا کاری انجام نمی دهند؟

با این حال بهترین راهقدرت سیستم امنیتی رمز عبور و نگرش کاربران نسبت به آن را آزمایش کنید - سعی کنید رمزهای عبور کاربر را بشکنید. اجرای منظم برنامه شکستن رمز عبور می تواند نشانه نسبتا خوبی از قدرت سیستم محافظت از رمز عبور شما باشد.

در این بررسی، من سعی می کنم یک نسخه از RedHat Enterprice Linux را برای نیازهای وزارت دفاع روسیه نصب کنم تا ببینم چگونه روی سخت افزار مدرن کار می کند. آخرین نسخه WSWS قبلاً در سال 2011 بود، اما همچنان در ارتش روسیه "مفید" است:

بیایید نصب را شروع کنیم

نصب کننده MS-DOS به سبک یکپارچهسازی با سیستمعامل بارگیری شد، اما قبل از انتشار MSBC 5، تقریباً همه توزیع ها قبلاً یک نصب کننده گرافیکی داشتند. دبیان همچنین دارای یک نصب کننده متن است، اما بسیار ساده تر و واضح تر از این است. از ما سوال می شود که آیا DVD نصب را بررسی کنیم یا خیر. بیایید بررسی کنیم در هر صورت:

ما 30 گیگابایت فضای استفاده نشده فرمت نشده داریم، "Use free space and create default partition" را انتخاب کنید و یک خطای پارتیشن بندی دریافت کنید: قادر به تخصیص پارتیشن های درخواستی نیست.

مجبور شدم یک رمز عبور طولانی وارد کنم

هیچ یک اتصالات شبکهما یکی نداریم، "No" را انتخاب کنید و Enter را فشار دهید

شما قسمت "دروازه" را خالی گذاشتید. بسته به شما محیط شبکه، ممکن است در آینده مشکلاتی وجود داشته باشد

از شما خواسته می شود نام شبکه را وارد کنید. "دستی" را انتخاب کنید و یک نام شبکه بیابید

نصب به 100% می رسد و نصب کننده با خوشحالی به ما تبریک می گوید که نصب کامل شده است، از ما می خواهد رسانه قابل جابجایی را جدا کرده و Enter را فشار دهید تا راه اندازی مجدد شود. Enter را فشار می دهیم و کامپیوتر مانند دفعه قبل یخ می زند.

دکمه پاور را فشار می دهیم، چند دقیقه صبر می کنیم و اوه، وحشتناک، همه چیز به زبان انگلیسی است. یا این زبان روسی در ارتش روسیه است؟

فقط Enter را فشار دهید تا بارگذاری شود

سیستم به مدت 15 ثانیه ثابت می شود و خطاها را نشان می دهد: حافظه برای کرنل کرنل (0x0 تا 0x0) در حد مجاز. قادر به استعلام سخت افزار Synaptics نیست (نمی توان از صفحه لمسی پرس و جو کرد)

ضمناً توجه داشته باشید که کرنل 2.6.18 در اینجا نصب شده است. این هسته پنج سال زودتر از MSVS 5.0 منتشر شد. بله، در پنج سال امکان ساخت کل صنایع وجود داشت، همانطور که در برنامه های پنج ساله استالین وجود داشت، اما تقریباً 10 سال گذشته است! در آن زمان دور، من تازه شروع به علاقه مندی به لینوکس کرده بودم. اگرچه شاید آنها یک ممیزی امنیتی کد را به مدت پنج سال انجام دادند.
خوب، بیایید سعی کنیم از آنچه داریم استفاده کنیم.
ما در حال تلاش برای راه اندازی گرافیک هستیم. در Nix، برای شروع گرافیک، معمولاً باید startx را وارد کنید، startx را وارد کنید:
#startx
و خطاهایی دریافت می کنیم:

تنها کاری که باید انجام دهیم این است که سیستم را راه اندازی مجدد کنیم و به سیستم عامل کار برگردیم، راه اندازی مجدد را وارد کنیم و دوباره هنگام راه اندازی مجدد دچار مشکل می شویم:

ریشه ورود، رمز عبور و startx را نیز وارد می کنیم

البته، به دلایل امنیتی، VNIINS اجرای Xs را به عنوان یک مدیر توصیه نمی کند. و چرا پس از اولین راه اندازی یا در خود نصب کننده، ایجاد کاربران ساده برای اهداف امنیتی مانند بسیاری از توزیع های دیگر پیشنهاد نشد؟

دسکتاپ WSWS 5.0

تنظیمات WSWS 5.0

شروع - تنظیمات - کنترل پنل ELK، مدیریت کاربر - اضافه کردن یک کاربر جدید:

رمز عبور باید حداقل 8 کاراکتر باشد!

ویژگی های امنیتی چشمگیر هستند، اما ما آنها را لمس نمی کنیم:

وضوح صفحه نمایش ما 800x600 است، ما سعی می کنیم آن را تغییر دهیم. به "کنترل پنل" بروید و نماد "مانیتور" را انتخاب کنید. پنجره ای باز می شود با این پیام که فایل xorg.conf نداریم و در حین ایجاد صفحه تاریک می شود. آیا باید آن را ایجاد کنم یا نه؟

برنامه های WSWS 5.0

مرورگر ELK:

خدمات رفاهی
این ابزارها دارای 4 پایانه هستند: ترمینال ELK، ترمینال X، کنسول و ترمینال در حالت ابرکاربر. آیا می دانید چرا تعداد آنها زیاد است؟ زیرا دسکتاپ WSWS مخلوطی از EDE و KDE است. آنها حتی به حذف ابزارهای غیر ضروری فکر نکردند؛ آنها همه چیز را به طور پیش فرض رها کردند.

ویرایشگر متن Emacs در WSWS:

ffmpeg در لیست بود بسته های نصب شده. و جستجوی oss و alsa (سیستم های صوتی) اصلاً نتیجه ای نداشت. پرس و جوهای آفیس و فایرفاکس نیز هیچ نتیجه ای نداشتند.

هنگامی که k3b شروع می شود، یک خطا می دهد که نمی تواند نوع Mime را پیدا کند. شما باید 10 بار روی OK کلیک کنید و سپس شروع می شود:

نتیجه گیری کلی

MSWS5.0 - در سال 2011 توسط RedHat Enterprice Linux5.0 (2007) کپی شده است، بر روی رایانه های منتشر شده در سال 2011 به درستی کار نمی کند. بله، در ارتش روسیه به طور کلی جذابیت قابل توجهی به دوران باستان وجود دارد، به عنوان مثال، رزمناو هواپیمابر "آدمیرال کوزنتسوف" با سکوی پرش خود به جای منجنیق، به همین دلیل هواپیماها مجبور به پرواز با مهمات ناقص و گاهی اوقات می شوند. سقوط در آب هنگام برخاستن هواپیما با نیروگاه نفت کوره، نیاز به سوخت گیری در طول پیاده روی...

1. 
   چگونه تشخیص دهیم که آیا سخت افزار توسط سیستم عامل پشتیبانی می شود یا خیر از این کامپیوتر?
2. 
   سیستم عامل MSWS 3.0 چه گزینه های نصبی را ارائه می دهد؟
3. 
   کدام پروتکل های شبکهآیا نصب کننده پشتیبانی می کند؟
4. 
   در چه مواردی ایجاد فلاپی دیسک بوت ضروری است؟
5. 
   مراحل اصلی نصب را لیست کنید؟
6. 
   کدام بوت لودر برای بارگذاری هسته سیستم عامل استفاده می شود؟
7. 
   مراحل اصلی بارگذاری کرنل را فهرست کنید؟
8. 
   lilo و lilo.conf چیست؟
9. 
   چگونه LILO را حذف کنیم و بوت لودر اصلی را بازیابی کنیم؟
10. 
    مکانیسم ماژول کرنل برای چیست؟
11. 
    در چه مواردی استفاده از دیسک رم ضروری است؟
12. 
    چگونه می توان استفاده از دیسک RAM را در هنگام بوت پیکربندی کرد؟
13. 
    تفاوت بین دیسکت های بوت، بوت نت و درایورها چیست؟ چگونه آنها را ایجاد کنیم؟ چگونه آنها را بررسی کنیم؟
14. 
    بسته نرم افزاری، وابستگی های بسته چیست؟
15. 
    مدیران بسته چه ویژگی هایی ارائه می دهند؟
16. 
    چه مدیر بسته ای برای مدیریت نرم افزار استفاده می شود؟
17. 
    چگونه یک بسته را از روی سی دی از طریق شبکه نصب کنیم؟

1. نصب سیستم عامل MSWS 3.0

1. مراحل اولیه نصب

نصب از سی دی شامل مراحل زیر است:

هر آیتم مربوط به یک یا چند کادر محاوره ای است.

هنگام نصب از طریق شبکه با استفاده از یک سرور، چند مرحله مقدماتی اضافی مورد نیاز است:

• 
  تولید مجموعه ای از فلاپی دیسک برای راه اندازی کامپیوتر و سازماندهی دسترسی شبکه به سرور.
• 
  انتخاب گزینه نصب شبکه؛
• 
  راه اندازی یک شبکه و سازماندهی دسترسی شبکه به سرور.

هنگامی که CD-ROM نصب شده در درایو روی سرور از طریق شبکه نصب شد، نصب کننده شروع به انجام همان مراحلی می کند که اگر از CD-ROM نصب می شود، از مرحله دوم ("اعلام نصب") شروع می شود. در این صورت نیازی به پیکربندی شبکه نخواهید داشت، فقط باید تنظیمات انجام شده را تایید کنید.

1. نصب از روی سی دی

قبل از نصب، باید پیکربندی کنید بایوس کامپیوتربه طوری که اول در لیست دستگاه های بوتیک سی دی وجود داشت و سی دی را با ماژول بوت سیستم عامل MCWS 3.0 در درایو سی دی قرار دهید.

اگر بایوس از بوت شدن از سی دی پشتیبانی نمی کند، باید یک دیسک فلاپی بوت را نیز در درایو قرار دهید و بایوس کامپیوتر را طوری پیکربندی کنید که اولین دستگاه بوت در لیست، فلاپی دیسک باشد. کامپیوترهای مدرنبه عنوان یک قاعده، آنها از بوت شدن از یک سی دی پشتیبانی می کنند، بنابراین نیاز به یک دیسک فلاپی بوت ممکن است تنها هنگام نصب سیستم عامل MCWS 3.0 بر روی یک رایانه قدیمی ایجاد شود.

سپس باید کامپیوتر خود را مجددا راه اندازی کنید. پیامی روی صفحه نمایشگر ظاهر می شود:

در قالب این دستور، امکان ارسال پارامترهای اضافی به نصب کننده وجود دارد. برای مثال دستور:

بوت: MCBC mem=128M

به نصاب می گوید که حجم حافظه دسترسی تصادفیحجم این کامپیوتر 128 مگابایت است.

برای شروع بارگیری برنامه نصب، باید یک کلید را فشار دهید. هسته سیستم عامل MCWS 3.0 بارگیری می شود، همراه با پیام های تشخیصی، سپس برنامه نصب شروع می شود، که به طور خودکار درایورهای درایو CD و کنترلرهای هارد دیسک موجود در رایانه را بارگیری می کند و توسط سیستم عامل MSWS 3.0 پشتیبانی می شود.

اگر مقداردهی اولیه ناموفق بود، به این معنی است که برای از این نوعدرایو سی دی یا هارد دیسکشما باید یک درایور اضافی دانلود کنید. نصب کننده لیستی از درایورها را ارائه می دهد که باید از بین آنها درایور مناسب را انتخاب کنید و روی "بله" کلیک کنید.

اگر از فلاپی بوت بوت شده اید، پس از اجرای نصب کننده، یک کادر محاوره ای Driver Disk ظاهر می شود که به شما دستور می دهد فلاپی دیسک درایور را در درایو قرار دهید. در این حالت، فلاپی دیسک بوت باید حذف شود و فلاپی دیسک درایورها باید وارد شود.

پس از بارگیری درایورهای مورد نیاز، یک اعلان روی صفحه نمایشگر ظاهر می شود (شکل 9-1).

1.1.41.انتخاب دستکاری کننده ماوس

مورد بعدی که بعد از اعلان سیستم عامل WSWS 3.0 ظاهر می شود، کادر محاوره ای Select Mouse است (شکل 9-2).

نوع "موس" را انتخاب کنید، به عنوان مثال، "موس PS/2 معمولی" و، اگر "موس" دارای دو دکمه است، می توانید از شبیه سازی حالت سه دکمه استفاده کنید. برای انجام این کار، باید شبیه سازی دکمه سوم را فعال کنید و روی دکمه "بله" کلیک کنید.

1.1.42.پارتیشن بندی هارد

کادر محاوره ای Disk Partitioning ظاهر می شود (شکل 9-3) و از شما خواسته می شود که یک ابزار پارتیشن بندی هارد دیسک را انتخاب کنید: پارتیشن بندی خودکار، Disk Druid یا fdisk.

در بیشتر موارد، پارتیشن بندی هارد دیسک ها، آرایه های دیسک، حجم های LVMدر Disk Druid اتفاق می افتد. علاوه بر این، حالت "پارتیشن بندی خودکار" یک مورد خاص برای کار با Disk Druid با محاسبه خودکار نسبت ها است. فضای دیسکمطابق با واقعیت تجهیزات نصب شده. اگر سطح پایین کار با هارد دیسکباید از ابزار fdisk استفاده کنید.

Disk Druid را انتخاب کرده و کلید را فشار دهید.

کادر گفتگوی پارتیشن بندی که ظاهر می شود (شکل 9-4) لیستی از دیسک های موجود و پارتیشن های موجود را نمایش می دهد.

همچنین در این پنجره دکمه هایی برای کار با بخش ها وجود دارد: "جدید"، "ویرایش"، "حذف"، "RAID"، "بله"، "بازگشت".

خط پایین نکاتی را برای استفاده از کلیدهای میانبر ارائه می دهد: "F1-Help، F2-New، F3-Edit، F4-Delete، F5-Reset، F12-Yes."

به طور کلی، سیستم عامل MCWS 3.0 بر روی رایانه ای با هارد دیسک خالی نصب می شود. در این مورد، می توانید آن را با استفاده از هر دو تقسیم کنید برنامه دیسک Druid یا با انتخاب تقسیم خودکار.

برای نصب موفقیت آمیز سیستم عامل MSWS 3.0، کافی است دو پارتیشن ایجاد کنید: پارتیشن ریشه "/" و پارتیشن swap. حجم پارتیشن ریشه باید حداقل 1200 مگابایت باشد.

می توانید دایرکتوری های /boot، /home، /var، /tmp و دیگران را در پارتیشن های جداگانه قرار دهید. این به شما امکان می دهد، برای مثال، دایرکتوری های خانگی کاربران را از سیستم فایل ریشه جدا کنید.

توجه. در سیستم عامل MSWS 3.0، نمی توانید پوشه /usr را در یک پارتیشن جداگانه قرار دهید!

برای انتقال یک دایرکتوری به یک پارتیشن جداگانه، باید یک پارتیشن با سیستم فایل "ext3" ایجاد کنید و یک نقطه اتصال مطابق با نام دایرکتوری به آن اختصاص دهید.

برای ایجاد یک بخش، دکمه "جدید" را انتخاب کنید و کلید را فشار دهید. در کادر محاوره‌ای «افزودن بخش» که ظاهر می‌شود (ویرایش بخش جدید) (شکل 9-5):

• 
  نوع سیستم فایل را انتخاب کنید (برای بخش مبادله - "swap"، در موارد دیگر - "ext3").
• 
  اندازه پارتیشن در مگابایت (در صورت لزوم، می توانید پارتیشن را "کشش" کنید تا کل دیسک را پوشش دهد).
• 
  نقطه mount، برای پارتیشن ریشه "/" است، برای پارتیشن swap، تنظیم نقطه اتصال لازم نیست.

برای ویرایش یک بخش موجود، آن را انتخاب کرده و روی دکمه «ویرایش» کلیک کنید. پس از کلیک بر روی دکمه "ویرایش"، در صورتی که پارتیشن /dev/hda1 انتخاب شده باشد، کادر محاوره ای "Edit /dev/hda1 partition" ظاهر می شود.

پس از اتمام ساخت پارتیشن، روی دکمه "بله" در پنجره "پارتیشن" کلیک کنید.

کادر محاوره ای "ذخیره تغییرات" روی صفحه نمایشگر ظاهر می شود.

روی دکمه "بله" کلیک کنید.

مرحله بعدی قالب بندی پارتیشن های ایجاد شده است. یک کادر محاوره ای با عنوان "توجه!" روی صفحه نمایشگر ظاهر می شود. و لیستی از پارتیشن هایی که با کلیک بر روی دکمه "بله" فرمت می شوند (شکل 9-6).

1.1.43. راه اندازی بوت لودر

کادر محاوره ای "تنظیمات بوت لودر" روی صفحه ظاهر می شود (شکل 9-7). در این پنجره باید گزینه نصب سیستم با یا بدون بوت لودر را انتخاب کنید. بوت لودر به شما امکان می دهد چندین گزینه برای راه اندازی سیستم داشته باشید یا سیستم عامل بوت را انتخاب کنید (اگر بیش از یک وجود دارد). در حالت بدون بوت لودر، هسته سیستم عامل MCWS 3.0 منحصراً بر روی این سیستم بارگذاری می شود.

روی دکمه "بله" کلیک کنید.

در مرحله بعد، یک کادر محاوره ای روی صفحه ظاهر می شود (شکل 9-8) که از شما می خواهد پارامترهای اضافی را وارد کنید که در طول بارگذاری استفاده می شود. به طور پیش‌فرض، این پنجره برای استفاده از پرچم حالت LBA32 (با استفاده از آدرس‌های منطقی 32 بیتی بلوک‌های دیسک سخت) تنظیم شده است، زیرا این حالت در بیشتر موارد برای پشتیبانی از دیسک‌های با ظرفیت بالا مورد نیاز است.

اگر رایانه دارای یک درایو رایتر CD IDE باشد، برنامه نصب خطی مانند «hdc=ide-scsi» را در فیلد ورودی پارامتر قرار می دهد (به عنوان مثال، اگر درایو در حالت Master به یک کنترلر IDE دوم متصل باشد).

اگر نیازی به ارسال هیچ پارامتر دیگری به بوت لودر LILO یا هسته ندارید، توصیه می شود که پارامترهای ارائه شده توسط نصب کننده را رها کنید و روی دکمه "بله" کلیک کنید.

روش بعدی در راه اندازی بوت لودر، تنظیم رمز عبور برای دسترسی به تغییر پارامترهای راه اندازی سیستم است. از آنجایی که در صورت وجود بوت لودر، امکان انتقال پارامترهای هسته تخصصی از صفحه کلید هنگام راه اندازی سیستم وجود دارد، این ویژگی برای اطمینان از سطح مورد نیاز امنیت، با رمز عبور محافظت می شود. در کادر محاوره ای بعدی که ظاهر می شود (شکل 9-9)، رمز عبوری را وارد کنید که اندازه آن نباید کمتر از 8 کاراکتر باشد. رمز عبور خود را با وارد کردن مجدد آن در خط بعدی پنجره تأیید کنید.

روی دکمه "بله" کلیک کنید.

یک کادر محاوره ای برای انتخاب پارتیشن های بوت روی صفحه ظاهر می شود (شکل 9-10) و از شما می خواهد موارد دیگری را مشخص کنید. پارتیشن های بوت، که می تواند با استفاده از بوت لودر سیستم عامل MSWS 3.0 بارگیری شود. به عنوان مثال، اگر رایانه شما دارای سیستم عامل دیگری است، می توانید آن را برچسب گذاری کنید و با استفاده از بوت لودر MSWS 3.0 OS آن را راه اندازی کنید.

داده های مورد نیاز را در خطوط مناسب وارد کرده و روی دکمه "بله" کلیک کنید.

پنجره بعدی (شکل 9-11) محل بوت لودر روی دیسک را مشخص می کند. دو گزینه وجود دارد: رکورد اصلی بوت (MBR) هارد دیسک (در بیشتر موارد توصیه می شود)، یا بخش بوت(رکورد بوت) پارتیشن مربوطه که در آن نصب انجام می شود.

انتخاب کنید و روی دکمه "بله" کلیک کنید.

1.1.44. راه اندازی شبکه

اگر برنامه نصب حداقل یکی را تشخیص دهد کارت شبکه، دنباله ای از کادرهای محاوره ای "تنظیمات شبکه برای ethX" روی صفحه ظاهر می شود (شکل 9-12)، که در آن X یک شماره سریال است که در آن پارامترها برای هر کارت شبکه پیکربندی می شوند.

پروتکل ها تنظیمات خودکارپارامترهای شبکه BOOTP و DHCP زمانی استفاده می شوند که یک سرور ویژه در شبکه وجود داشته باشد که در صورت درخواست دستگاه مشتری سرویس پیکربندی خودکار را ارائه می دهد.

اگر سرور DHCP وجود ندارد، باید پارامترهای شبکه را به صراحت با انتخاب «فعال کردن در هنگام بوت» تنظیم کنید. پس از این، چندین خط در پنجره برجسته می شود که در آن باید پارامترها را مشخص کنید اتصال شبکه.

آدرس های شبکه در قالب اعشاری نقطه ای نمایش داده می شوند (به عنوان مثال، 192.168.1.1). اطلاعات مربوط به پر کردن فیلدها باید توسط مدیر شبکه ارائه شود.

آدرس شبکه - آدرس IP یک کامپیوتر در شبکه.

ماسک شبکه پارامتری است که کلاس یک بخش شبکه را مشخص می کند.

دروازه پیش‌فرض گره‌ای است که ارتباطات را برای یک معین سرویس می‌دهد شبکه محلیبا بخش های شبکه خارجی

سرور نام اصلی گره ای است که از سرویس تفکیک نام دامنه با استفاده از پروتکل DNS به آدرس های IP پشتیبانی می کند. آدرس IP سرورهای نام اضافی (DNS) را در فیلدهای مربوطه وارد کنید. اگر شبکه شما از یک سرور نام واحد استفاده می کند، این قسمت ها را می توان خالی گذاشت.

روی دکمه "بله" کلیک کنید.

برنج. 9-13. تنظیم نام کامپیوتر

برنج. 9-14. انتخاب منطقه زمانی

سپس باید نام کامپیوتر را تنظیم کنید. کادر محاوره ای زیر "تنظیم نام کامپیوتر" روی صفحه ظاهر می شود (شکل 9-13) که باید فیلد مربوطه را در آن پر کنید. نام نیز باید با مدیر شبکه به توافق برسد.

روی دکمه "بله" کلیک کنید.

1.1.45.انتخاب منطقه زمانی

کادر محاوره ای "انتخاب منطقه زمانی" زیر روی صفحه ظاهر می شود که در آن می توانید تنظیمات زمان سیستم را پیکربندی کنید. در سیستم عامل MSWS 3.0، زمان در حالت محلی شمارش می شود، یعنی. ساعت سخت افزاری سیستم به طور منحصر به فرد زمان خود را بدون تبدیل اضافی نسبت به نقاط مرجع مختلف مانند UTC تعیین می کند.

در پنجره، باید منطقه زمانی روسیه را انتخاب کنید که با مکان رایانه مطابقت دارد، که نشان دهنده تفاوت زمان استاندارد نسبت به منطقه "صفر" - اروپا / مسکو است (شکل 9-14).

روی دکمه "بله" کلیک کنید.

1.1.46.انتخاب و نصب بسته ها

کادر محاوره ای "انتخاب مجتمع ها" روی صفحه ظاهر می شود (شکل 9-15).

در این کادر محاوره ای، از شما خواسته می شود مجتمع های زیر را انتخاب کنید:

• 
  پیکربندی اولیه سیستم عامل؛
• 
  زیرسیستم رابط گرافیکی؛
• 
  ابزار توسعه

برای انتخاب معمولی ترین گزینه - سه مجتمع اول که به طور پیش فرض مشخص شده اند، کافی است بدون انجام هیچ عمل دیگری، روی دکمه "بله" کلیک کنید. اگر فقط گروه "GUI Subsystem" یا فقط گروه "ابزارهای توسعه" مورد نیاز است، باید کادر مربوطه را علامت بزنید.

انتخاب گروه "پیکربندی سیستم عامل پایه" اجباری است؛ این گروه شامل تمام اجزای لازم برای عملکرد سیستم عامل MSWS 3.0 در نسخه اصلی (بدون ابزار اضافی) است.

حالت نصب "همه (از جمله اختیاری)" به معنای نصب تمام بسته های توزیع است، از جمله تغییرات هسته سیستم عامل که مختص یک کامپیوتر خاص نیست و مجموعه ای از بسته های لازم برای ساخت دیسک بوت برای سیستم عامل MSWS 3.0. .

برای انتخاب دقیق تر بسته ها (احتمالاً برای صرفه جویی در فضای دیسک اشغال شده توسط سیستم عامل)، باید گزینه "انتخاب بسته فردی" را علامت بزنید و روی دکمه "بله" کلیک کنید. پنجره "انتخاب بسته ها" (شکل 9-16) با لیستی از گروه های بسته و خود بسته ها ظاهر می شود.

یک گروه را می توان با کشیدن یک خط برجسته روی آن و فشار دادن یک کلید جمع کرد/بسط داد. برای به دست آوردن اطلاعات در مورد یک بسته، باید یک خط برجسته روی آن بکشید و کلید را فشار دهید. قرار دادن/غیرفعال کردن بسته ها در لیست برای نصب با فشار دادن کلید انجام می شود.

پس از تکمیل انتخاب بسته ها، روی دکمه "بله" کلیک کنید.

اگر یک لیست سفارشی از بسته‌ها را برای نصب انتخاب کرده‌اید، ممکن است شرایطی پیش بیاید که وابستگی‌های برآورده نشده در بین آنها ظاهر شود. این بدان معنی است که لیست انتخاب شده حاوی بسته هایی است که نیاز به نصب از بسته های دیگر از دیسک بوت WSWS 3.0 دارند که انتخاب نشده اند. وابستگی های بسته به طور خودکار توسط نصب کننده حل می شود.

پس از تکمیل انتخاب بسته ها، کادر محاوره ای Start Installation روی صفحه نمایش شما ظاهر می شود. این پنجره حاوی اطلاعاتی در مورد فایل /root/log است که برنامه نصب لیستی از بسته های نصب شده را پس از تکمیل در آن ذخیره می کند.

پارتیشن بندی واقعی دیسک و نصب بسته ها تنها پس از کلیک بر روی دکمه "بله" در پنجره "شروع نصب" آغاز می شود. در صورت لزوم، هنوز هم می توانید با راه اندازی مجدد کامپیوتر، فرآیند نصب را قبل از این مرحله قطع کنید. در این مورد، تمام داده ها در دیسکهای سختبدون تغییر باقی خواهد ماند.

برای شروع نصب بسته ها، روی دکمه «بله» کلیک کنید.

پنجره "نصب بسته" روی صفحه ظاهر می شود (شکل 9-17).

در این مرحله می توانید مراحل نصب بسته های انتخابی را مشاهده کنید که به صورت خودکار انجام می شود. برای هر بسته نمایش داده می شود توضیح کوتاه، و همچنین اطلاعات آماری مربوط به مراحل نصب بسته فعلی و همه بسته ها را با هم نمایش می دهد.

1.1.47.تنظیم رمز عبور سوپرکاربر

کادر محاوره ای Root User Password روی صفحه ظاهر می شود (شکل 9-18). رمز عبور را در خط "Password" تنظیم کنید و ورود آن را در خط "Confirm Password" تأیید کنید (محدودیت در نوع و اندازه رمز عبور توسط الزامات امنیتی برای سیستم تعیین می شود؛ به طور پیش فرض، اندازه رمز عبور حداقل هشت است. شخصیت ها). هنگام تنظیم رمز عبور با استفاده از صفحه کلید، به دلایل امنیتی، به جای کاراکترهای وارد شده، ستاره روی صفحه نمایش داده می شود. روی دکمه "بله" کلیک کنید.

1.1.48. ایجاد فلاپی بوت

کادر محاوره ای زیر "Boot Disk Set" روی صفحه ظاهر می شود (شکل 9-19). در صورت آسیب ممکن است به مجموعه ای از فلاپی دیسک های بوت نیاز باشد ورودی بوتروی هارد دیسک شما

برای ایجاد فلاپی دیسک بوت، روی دکمه "بله" کلیک کنید. سپس دستورالعمل های ارائه شده در آن را دنبال کنید جعبه های محاوره ای.

اگر نیازی به ایجاد کیت بوت ندارید، روی No کلیک کنید. در آینده امکان ایجاد وجود خواهد داشت دیسک بوتبا استفاده از یک ابزار گرافیکی یا دستور mkbootdisk.

1.1.49.تنظیم کارت گرافیک و مانیتور

مرحله بعدی پیکربندی سیستم گرافیکی است. برای انجام این کار، دستورالعمل‌های موجود در کادرهای محاوره‌ای را دنبال کنید تا اطلاعات مربوط به کارت ویدیو و مانیتور را وارد کنید.

اگر برنامه نصب به طور خودکار نوع کارت گرافیک را تشخیص دهد، اطلاعات مربوط به آن ظاهر می شود (شکل 9-20).

برنج. 9-19. ایجاد فلاپی دیسک های بوت

برنج. 9-20. انتخاب کارت گرافیک

در غیر این صورت کادر محاوره ای Select Card ظاهر می شود. نوع آن را از لیست انتخاب کنید. اگر کارت گرافیک مورد نیاز در لیست نیست، "کارت نامشخص" را انتخاب کنید.

در پنجره "Select Server"، یک سرور X را انتخاب کنید که کارت گرافیک موجود شما می تواند با آن کار کند.

پس از این، کادر محاوره ای "تنظیمات مانیتور" ظاهر می شود (شکل 9-21). اگر نصب کننده به طور خودکار نوع مانیتور شما را شناسایی نکرد، مانیتور مناسب را از لیست تغییر انتخاب کنید.

در صورت لزوم، می توانید پارامترهای مانیتور را به صورت دستی مشخص کنید. برای انجام این کار، مورد نوع «سایر» را در لیست انتخاب کنید و فرکانس کاری اسکن تصویر را به صورت عمودی و افقی (60 تا 100 هرتز) تنظیم کنید.

روی دکمه "بله" کلیک کنید.

پس از انتخاب مانیتور، پنجره "Advanced" روی صفحه ظاهر می شود (شکل 9-22). عمق رنگ مورد نیاز و وضوح مانیتور را در پنجره انتخاب کنید. علاوه بر این، در این پنجره می توانید حالت ورود "گرافیک" (توصیه می شود) یا "متن" را انتخاب کنید. اگر ورود به سیستم گرافیکی را انتخاب کنید، سیستم رابط کاربری گرافیکی به طور پیش فرض شروع به کار می کند. انتخاب کنید و روی دکمه "بله" کلیک کنید.

پس از راه اندازی سیستم گرافیکی، پنجره اطلاعاتی “Installation Complete” ظاهر می شود (شکل 9-23) با پیام “تبریک، نصب سیستم عامل MSWS 3.0 تکمیل شد.”

برای راه اندازی مجدد روی دکمه "بله" کلیک کنید. کامپیوتر شروع به راه اندازی مجدد خواهد کرد. در طول راه اندازی مجدد، سینی سی دی به طور خودکار خارج می شود. دیسک را از سینی خارج کنید.

برنج. 9-23. نصب تکمیل شد.

برنج. 9-24. روش نصب

سیستم نیروهای مسلح سیار (MSWS) - چندکاربره ایمن سیستم عامل(OS) همه منظورهاشتراک گذاری زمان، توسعه یافته در سیستم عامل لینوکس Red Hat. سیستم عامل یک سیستم اولویت چند سطحی با چندوظیفه پیشگیرانه، سازماندهی حافظه مجازی و پشتیبانی کامل از شبکه را فراهم می کند. با چند پردازنده (SMP - چند پردازش متقارن) و تنظیمات خوشه ای در پلتفرم های اینتل، IBM S390، MIPS (مجموعه های سری Baguette تولید شده توسط Korund-M) و SPARC (Elbrus-90micro). یکی از ویژگی های سیستم عامل MSWS 3.0 ابزارهای داخلی محافظت در برابر دسترسی غیرمجاز است که الزامات سند راهنمای کمیسیون فنی دولتی تحت رئیس جمهور فدراسیون روسیه را برای وسایل کلاس 2 برآورده می کند. فناوری رایانه. ویژگی‌های امنیتی شامل کنترل دسترسی اجباری، لیست‌های کنترل دسترسی، یک مدل نقش و ابزارهای ممیزی پیشرفته ( ثبت رویدادها) است. سیستم عامل MSWS برای ایجاد ایمن ثابت طراحی شده است سیستم های خودکار. توسعه‌دهنده MSVS مؤسسه تحقیقاتی تمام روسی اتوماسیون کنترل در حوزه غیر صنعتی است که به این نام نامگذاری شده است. V.V. Solomatina (VNIINS). برای عرضه به نیروهای مسلح RF در سال 2002 پذیرفته شد.

سیستم فایل سیستم عامل MSWS 3.0 از نام فایل ها تا 256 کاراکتر با قابلیت ایجاد نام فایل ها و دایرکتوری ها به زبان روسی، پیوندهای نمادین، سیستم سهمیه بندی و لیست های حقوق دسترسی پشتیبانی می کند. امکان نصب فایل وجود دارد سیستم های چربیو NTFS و همچنین ISO-9660 (CD). مکانیسم سهمیه به شما امکان می دهد نحوه استفاده کاربران از فضای دیسک، تعداد فرآیندهای راه اندازی شده و میزان حافظه اختصاص داده شده به هر فرآیند را کنترل کنید. سیستم را می توان به گونه ای پیکربندی کرد که وقتی منابع درخواستی کاربر به یک سهمیه مشخص نزدیک می شوند، هشدار صادر کند.

سیستم عامل MSWS 3.0 شامل یک سیستم گرافیکی مبتنی بر پنجره X است. برای کار در یک محیط گرافیکی، دو مدیر پنجره عرضه شده است: IceWM و KDE. اکثر برنامه ها در سیستم عامل WSWS برای کار در یک محیط گرافیکی طراحی شده اند که شرایط مطلوبی را نه تنها برای کار کاربران، بلکه برای انتقال آنها از سیستم عامل ویندوز به سیستم عامل WSWS ایجاد می کند.

سیستم عامل MSWS 3.0 در پیکربندی ارائه می شود که علاوه بر برنامه کنترل اصلی (هسته)، مجموعه ای از محصولات نرم افزاری اضافی را نیز شامل می شود. خود سیستم عامل به عنوان یک عنصر اساسی برای سازماندهی ایستگاه های کاری خودکار (AWS) و ساخت سیستم های خودکار استفاده می شود. نرم افزار اضافی (نرم افزار) را می توان به صورت اختیاری نصب کرد و بر حداکثر اتوماسیون مدیریت و مدیریت دامنه متمرکز است که به شما امکان می دهد هزینه سرویس ایستگاه های کاری را کاهش دهید و بر روی کاربرانی که وظیفه هدف خود را انجام می دهند متمرکز شوید. برنامه نصب به شما امکان می دهد سیستم عامل را از یک سی دی قابل بوت یا از طریق شبکه نصب کنید پروتکل FTP. معمولاً ابتدا سرور نصب از روی دیسک ها نصب و پیکربندی می شود و سپس رایانه های باقی مانده از طریق شبکه نصب می شوند. سرور نصب در یک دامنه در حال اجرا وظیفه به روز رسانی و بازیابی نرم افزار را در ایستگاه های کاری انجام می دهد. یک نسخه جدیدفقط روی سرور گذاشته می شود و سپس اتفاق می افتد به روز رسانی خودکارنرم افزار در محل کار اگر نرم افزار در محل کار آسیب دیده باشد (به عنوان مثال، زمانی که یک فایل برنامه حذف شده است یا عدم تطابق چک جمع هافایل های اجرایی یا پیکربندی)، نرم افزار مربوطه به طور خودکار دوباره نصب می شود.

در حین نصب، از مدیر خواسته می شود که یکی از انواع نصب استاندارد یا نصب سفارشی را انتخاب کند. انواع استاندارد برای نصب در ایستگاه های کاری استاندارد استفاده می شود و قسمت اصلی را پوشش می دهد گزینه های استانداردسازماندهی محل کار بر اساس سیستم عامل MSWS 3.0. هر نوع استاندارد مجموعه ای از محصولات نرم افزاری نصب شده، پیکربندی دیسک، مجموعه ای از سیستم های فایل و تعدادی تنظیمات سیستم را تعریف می کند. نصب سفارشی به شما این امکان را می دهد که به صراحت تمام ویژگی های مشخص شده سیستم نهایی را تا انتخاب بسته های نرم افزاری جداگانه تنظیم کنید. اگر نصب سفارشی را انتخاب کنید، می توانید سیستم عامل MCWS 3.0 را روی رایانه ای نصب کنید که قبلاً سیستم عامل دیگری نصب شده است (مثلاً Windows NT).

سیستم عامل MSWS 3.0 شامل یک سیستماسناد (USD) با اطلاعات در مورد جنبه های مختلف عملکرد سیستم. ESD شامل یک سرور مستندات و یک پایگاه داده حاوی متون توضیحات است که از طریق مرورگرها قابل دسترسی است. هنگام نصب نرم افزار اضافی، بخش های مرجع مربوطه در پایگاه داده ESD نصب می شوند. برگه داده یکپارچه را می توان به صورت محلی در هر ایستگاه کاری قرار داد، یا یک سرور اسناد خاص را می توان در دامنه سیستم عامل MSWS اختصاص داد. گزینه دوم برای استفاده در دامنه های بزرگ سیستم عامل MCWS برای صرفه جویی در کل فضای دیسک، ساده کردن فرآیند مدیریت و به روز رسانی اسناد مفید است. دسترسی به اسناد از ایستگاه های کاری دیگر از طریق مرورگر وب ارائه شده با سیستم عامل MSWS 3.0 امکان پذیر است.

OS MSWS 3.0 در هر دو حالت حروف عددی و گرافیکی روسی شده است. پایانه های مجازی پشتیبانی می شوند، سوئیچینگ بین آنها با استفاده از یک کلید ترکیبی انجام می شود.

نکته کلیدی از نقطه نظر یکپارچگی سیستم، عملیات ثبت نام کاربران جدید سیستم عامل MSWS است، زمانی که ویژگی های کاربر از جمله ویژگی های امنیتی تعیین می شود، که بر اساس آن سیستم کنترل دسترسی متعاقباً کار کاربر را کنترل می کند. مبنای مدل فرمان اطلاعاتی است که هنگام ثبت نام کاربر جدید وارد می شود.

برای پیاده سازی کنترل دسترسی اختیاری، مکانیسم های سنتی یونیکس بیت های حقوق دسترسی و لیست های کنترل دسترسی (ACL) استفاده می شود. هر دو مکانیسم در سطح سیستم فایل سیستم عامل MSWS 3.0 پیاده سازی می شوند و برای تنظیم حقوق دسترسی به اشیاء سیستم فایل استفاده می شوند. بیت ها به شما این امکان را می دهند که حقوق را برای سه دسته از کاربران (مالک، گروه، سایرین) تعریف کنید، با این حال، این یک مکانیسم به اندازه کافی انعطاف پذیر نیست و هنگام تنظیم حقوق برای اکثر فایل های سیستم عامل استفاده می شود، که به همان شیوه توسط اکثریت استفاده می شود. کاربران با استفاده از ACL، می توانید مجوزها را در سطح تنظیم کنید کاربران فردیو/یا گروه های کاربر، و در نتیجه به جزئیات قابل توجهی در تنظیم حقوق دست می یابند. لیست ها هنگام کار با فایل هایی استفاده می شوند که به عنوان مثال به حقوق دسترسی متفاوت برای چندین کاربر خاص نیاز دارند.

مشخصات فنیسیستم عامل MSWS 3.0:

پارامتر	مشخصه
سیستم امنیت اطلاعات	ساخته شده است
مدل امنیت اطلاعات	الگوی اختیاری، الگوی دستوری، الگوی نقش
سازگاری امنیت اطلاعات با سایر سیستم عامل ها	"Omonym-390BC"، "Olivia"، MSWS 5.0
هسته	2.4.32 (در واقع 2.4.37.9)
سیستم فایل اجباری است	EXT2، EXT3
پشتیبانی از فایل سیستم های دیگر	FAT16، FAT32، NTFS (ro)، ISO9660
طول نام فایل	حداکثر 256 کاراکتر
زیرسیستم گرافیک	X-Window
سیستم گرافیکی	Xorg-x11-7.3
تایپ کنید	مشتری - سرور
مدیر پنجره	Elk، TWM، KDE، IceWM
پوسته گرافیکی	Elk-1.9.9
پشتیبانی از چند پردازنده	حداکثر 32 پردازنده
رم	64 گیگابایت
خدمات داخلی	DNS، FTP، Telnet، NTP، FTP، TFTP، SFTP، DHCP، RIP، BGP، OSPF، PPP، PPTP
اتوبوس های پشتیبانی شده	ISA، تمام PCI، SCSI، IDE، SATA، SAS، AGP، USB 2.0
ابزارهای توسعه شامل:
زبانهای برنامه نویسی	C/C++، Perl، Python، Shell، Tcl
کامپایلر C/C++	2.95.4, 3.3.6, 4.1.3
کتابخانه سیستم	glibc-2.3.6
QT	4.6.3
اشکال زدا	gdb نسخه 6.8
گزینه های نصب	CD-ROM، HDD، شبکه

نصب سیستم عامل MSWS 3.0

درس عملی فرآیند نصب سیستم عامل MSWS بر روی رایانه شخصی یا سرور را پوشش می دهد شبکه کامپیوتری. فرآیند نصب سیستم عامل MSWS 3.0 شامل مراحل زیر است:

1. بوت کردن رایانه شخصی یا سرور شبکه رایانه ای از یک رسانه ذخیره سازی که کیت توزیع با سیستم عامل MSWS 3.0 در آن قرار دارد. پس از اتمام فرآیند بارگذاری از رسانه، تصویر نشان داده شده در شکل 1. 2.1. برای ادامه، باید کلید را فشار دهید<Ввод> ().

شکل 2.1. صفحه راه اندازی جادوگر نصب سیستم عامل MSWS 3.0.

1. هسته سیستم عامل MCWS مقداردهی اولیه می شود و تجهیزات شناسایی می شوند و پس از آن تصویر نشان داده شده در شکل روی صفحه نمایش داده می شود. 2.2. برای ادامه، باید روی دکمه کلیک کنید<Готово>.

شکل 2.2. صفحه نمایش دستگاه های شناسایی شده

1. "Welcome" نشان داده شده در شکل روی صفحه نمایش داده می شود. 2.3. برای ادامه، باید روی دکمه کلیک کنید<Да>.

شکل 2.3. صفحه خوش آمدید.

1. انتخاب یک مدل ماوس متصل به کامپیوتر (شکل 2.4). با توجه به اینکه از دستکاری کننده "موس" در کارهای بعدی استفاده نمی شود، باید مورد "بدون ماوس" را انتخاب کنید و دکمه را فشار دهید.<Да>.

شکل 2.4. انتخاب مدل ماوس متصل به کامپیوتر.

1. پارتیشن بندی هارد دیسک یکی از حساس ترین لحظات در طول نصب سیستم عامل MSWS است. نه به این دلیل که پارتیشن بندی یک هارد دیسک بسیار پیچیده است، بلکه به این دلیل که خطاهای ایجاد شده در طول آن را فقط می توان با سختی زیاد تصحیح کرد و این فرآیند می تواند مملو از از دست دادن اطلاعات باشد.