Qurolli kuchlarning mobil tizimi (MFMS OS): Umumiy maqsadli xavfsiz operatsion tizim. Qurolli kuchlarning mobil tizimi (MSMS OS): umumiy maqsadli xavfsiz operatsion tizim MSVS 3.0 ni diskdan bosqichma-bosqich o'rnatish

Ushbu bob quyidagi savollarga javob beradi:

Foydalanuvchilar;

Imtiyozli va imtiyozli bo'lmagan foydalanuvchilar o'rtasidagi farqlar;

Kirish fayllari;

/etc/passwd fayli;

Fayl /etc/shadow;

Fayl /etc/gshadow;

FILE /etc/login.defs

Parol eskirish ma'lumotlarini o'zgartirish;

WSWS xavfsizligi foydalanuvchilar va guruhlar tushunchalariga asoslanadi. Foydalanuvchiga nima qilishi mumkinligi yoki ruxsat etilmaganligi haqidagi barcha qarorlar tizimga kirgan foydalanuvchi operatsion tizim yadrosi nuqtai nazaridan kim ekanligiga qarab qabul qilinadi.

Foydalanuvchilarning umumiy ko'rinishi

WSWS - bu ko'p vazifali ko'p foydalanuvchili tizim. Foydalanuvchilarni bir-biridan ajratish va himoya qilish operatsion tizimning mas'uliyatidir. Tizim har bir foydalanuvchini kuzatib boradi va bu foydalanuvchi kimligidan kelib chiqib, unga ma'lum bir faylga kirish huquqini berish yoki muayyan dasturni ishga tushirishga ruxsat berish mumkinligini aniqlaydi.

Yangi foydalanuvchi yaratilganda, unga noyob nom beriladi

ESLATMA

Tizim foydalanuvchi identifikatori (userID, UID) asosida foydalanuvchi imtiyozlarini belgilaydi. Foydalanuvchi nomidan farqli o'laroq, UID noyob bo'lmasligi mumkin, bu holda foydalanuvchi nomi bilan mos kelishi uchun berilgan UIDga mos keladigan birinchi ism ishlatiladi.

Tizimda ro'yxatdan o'tgan har bir yangi foydalanuvchiga tizimning ma'lum elementlari tayinlanadi.

Imtiyozli va imtiyozsiz foydalanuvchilar

Tizimga yangi foydalanuvchi qo'shilsa, unga maxsus raqam beriladi Foydalanuvchi IDsi(foydalanuvchi identifikatori, UID). Caldera WSWS-da yangi foydalanuvchilarga identifikatorlarni ajratish 500 dan boshlanadi va undan yuqori raqamlarga, ya'ni 65 534 gacha boradi. 500 gacha raqamlar tizim hisoblari uchun ajratilgan.

Umuman olganda, raqamlari 500 dan kam bo'lgan identifikatorlar boshqa identifikatorlardan farq qilmaydi. Ko'pincha dasturning to'g'ri ishlashi uchun barcha fayllarga to'liq kirish huquqiga ega bo'lgan maxsus foydalanuvchi kerak.

Identifikatorni raqamlash 0 dan boshlanadi va 65535 gacha boradi. UID 0 maxsus UID hisoblanadi. ID noga ega har qanday jarayon yoki foydalanuvchi imtiyozga ega. Bunday shaxs yoki jarayon tizim ustidan cheksiz hokimiyatga ega. Hech narsa uning uchun taqiq bo'la olmaydi. Ildiz hisobi (UID 0 bo'lgan hisob), shuningdek, hisob deb ataladi superfoydalanuvchi, undan foydalangan holda kirgan shaxsni, agar egasi bo'lmasa, hech bo'lmaganda uning vakolatli vakili qiladi.

Bu 65 535 UIDni qoldiradi. Bu ham odatiy emas. Bu UID nobody foydalanuvchisiga tegishli (hech kim).

Bir vaqtlar tizimni buzish usullaridan biri 65 536 identifikatorga ega foydalanuvchi yaratish edi, buning natijasida u superfoydalanuvchi imtiyozlarini oldi. Haqiqatan ham, agar siz har qanday UIDni olsangiz va mos keladigan raqamni ikkilik shaklga o'tkazsangiz, siz har biri 0 yoki 1 bo'lgan o'n oltita ikkilik raqamdan iborat kombinatsiyani olasiz. Identifikatorlarning katta qismi nol va birlarni o'z ichiga oladi. Istisnolar - barcha nollardan tashkil topgan superuser UID nol va 65535 ga teng va 16 tadan iborat UIDnobody, ya'ni 11111111111111111. 65,536 raqamini 16 bitga joylashtirib bo'lmaydi - bu raqamni ikkilik shaklda ko'rsatish uchun sizga kerak bo'ladi. allaqachon 17 bitni ishlatish uchun. Eng muhim raqam bitta (1) ga teng bo'ladi, qolganlari nolga (0) teng bo'ladi. Xo'sh, 17 bit uzunlikdagi identifikatorli foydalanuvchi yaratganingizda nima bo'ladi - 10000000000000000? Nazariy jihatdan, nol identifikatorli foydalanuvchi: identifikator uchun faqat 16 ta ikkilik raqam ajratilganligi sababli, 17-bitni saqlash uchun joy yo'q va u o'chiriladi. Shuning uchun identifikatorning yagona birligi yo'qoladi va faqat nollar qoladi va tizimda identifikator va shuning uchun superfoydalanuvchining imtiyozlari bilan yangi foydalanuvchi paydo bo'ladi. Ammo hozir WSWS da UID ni 65536 ga o'rnatishga imkon beradigan dasturlar yo'q.

ESLATMA

Siz 65 536 dan ortiq identifikatorli foydalanuvchilarni yaratishingiz mumkin, ammo /bin/login ni o'zgartirmasdan ulardan foydalana olmaysiz.

Har qanday kraker, albatta, superfoydalanuvchi imtiyozlarini olishga harakat qiladi. U ularni qabul qilgandan so'ng, tizimning keyingi taqdiri butunlay uning niyatlariga bog'liq bo'ladi. Ehtimol, u buzg'unchilik faktidan mamnun bo'lib, u bilan hech qanday yomon ish qilmaydi va sizga xavfsizlik tizimida topilgan teshiklarni tavsiflovchi xat yuborib, uni abadiy yolg'iz qoldiradi yoki yo'q. Agar xakerning niyatlari unchalik toza bo'lmasa, unda siz umid qilishingiz mumkin bo'lgan eng yaxshi narsa tizimni buzishdir.

FILE /etc/passwd

Tizimga kirmoqchi bo'lgan shaxs /etc/passwd faylida saqlangan foydalanuvchi ma'lumotlar bazasi bilan tasdiqlangan foydalanuvchi nomi va parolni kiritishi kerak. U, boshqa narsalar qatorida, barcha foydalanuvchilarning parollarini saqlaydi. Tizimga ulanishda kiritilgan parol berilgan nomga mos keladigan parol bilan tekshiriladi va agar u mos kelsa, foydalanuvchi tizimga kirishga ruxsat etiladi, shundan so'ng parol faylida berilgan foydalanuvchi nomi uchun ko'rsatilgan dastur ishga tushiriladi. Agar u buyruqlar qobig'i bo'lsa, foydalanuvchiga buyruqlar kiritish imkoniyati beriladi.

1.1 Ro'yxatni ko'rib chiqing. Bu eski uslubdagi passwd fayli.

Ro'yxat 1.1. Eski uslubdagi /etc/passwd fayli

root: *:1i DYwrOmhmEBU: 0:0: root:: /root: /bin/bash

bin:*:1:1:bin:/bin:

jin:*:2: 2: daemon:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

sinxronlash:*:5:0:sinxronlash:/sbin:/bin/sinx

o'chirish: *: 6: 11: o'chirish: / sbin: / sbin / o'chirish

stop:*:7:0:halt:/sbin:/sbin/halt

mail:*:8:12:mail:/var/spool/mail:

yangiliklar:*:9:13:news:/var/spool/news:

uucp:*:10:14:uucp:/var/spool/uucp:

operator:*:11:0:operator:/root:

o'yinlar:*:12:100:o'yinlar:/usr/o'yinlar:

gopher:*:13:30:gopher:/usr/1ib/gopher-data:

ftp:*:14:50:FTP Foydalanuvchi:/home/ftp:

man:*:15:15:Qo‘llanmalar egasi:/:

majordom:*:16:16:majordomo:/:/bin/false

postgres:*:17:17:Postgres foydalanuvchisi:/home/postgres:/bin/bash

mysql:*:18:18:MySQL foydalanuvchisi:/usr/local/var:/bin/false

silvia:1iDYwrOmhmEBU:501:501:Silvia Bandel:/home/silvia:/bin/bash

hech kim:*:65534:65534:Hech kim:/:/bi n/false

david:1iDYwrOmhmEBU:500:500:David A. Bandel:/home/david:/bin/bash

Parol fayli qattiq kodlangan tuzilishga ega. Faylning mazmuni jadvaldir. Faylning har bir satri jadval yozuvidir. Har bir yozuv bir nechta maydonlardan iborat. Passwd faylidagi maydonlar ikki nuqta bilan ajratilgan, shuning uchun hech bir maydonda ikki nuqtadan foydalanib bo'lmaydi. Jami ettita maydon mavjud: foydalanuvchi nomi, parol, foydalanuvchi identifikatori, guruh identifikatori, GECOS maydoni (aka izoh maydoni), uy katalogi va kirish qobig'i.

/etc/passwd haqida batafsil

Birinchi maydon foydalanuvchi nomini o'z ichiga oladi. U noyob bo'lishi kerak - ikkita tizim foydalanuvchisi bir xil nomga ega bo'lolmaydi. Nom maydoni qiymati yagona bo'lishi kerak bo'lgan yagona maydondir. Ikkinchi maydon foydalanuvchi parolini saqlaydi. Tizim xavfsizligini ta'minlash uchun parol xeshlangan shaklda saqlanadi. Ushbu kontekstda "hashed" atamasi "shifrlangan" degan ma'noni anglatadi. WSWS holatida parol DES (DataEncryptionStandard) algoritmi yordamida shifrlangan. Bu maydonda xeshlangan parol uzunligi har doim 13 belgidan iborat bo'lib, ikkita nuqta va bitta tirnoq kabi ba'zi belgilar hech qachon ular orasida bo'lmaydi. Yaroqli xeshlangan 13 belgili paroldan tashqari har qanday boshqa maydon qiymati foydalanuvchining tizimga kirishiga to'sqinlik qiladi, bitta o'ta muhim istisno: parol maydoni bo'sh bo'lishi mumkin.

Ikkinchi maydon bo'sh, hatto bo'sh joy ham yo'q, ya'ni tegishli foydalanuvchi tizimga kirish uchun parolga muhtoj emas. Agar siz maydonda saqlangan parolni unga biron bir belgi qo'shish orqali o'zgartirsangiz, masalan yagona tirnoq, hisob bloklanadi va tegishli foydalanuvchi tizimga kira olmaydi. Gap shundaki, 14 ta belgidan iborat xeshlangan parolga noqonuniy belgi qo‘shilgandan so‘ng tizim foydalanuvchini bunday parol bilan autentifikatsiya qilishdan bosh tortgan.

Parol uzunligi hozirda sakkizta belgi bilan cheklangan. Foydalanuvchi uzoqroq parollarni kiritishi mumkin, lekin faqat birinchi sakkizta belgi muhim bo'ladi. Xeshlangan parolning dastlabki ikki belgisi urug'(tuz). (Urug' - shifrlash algoritmini ishga tushirish uchun ishlatiladigan raqam. Har safar parol o'zgartirilganda, urug' tanlanadi. tasodifiy.) Natijada, barcha mumkin bo'lgan almashtirishlar soni juda katta, shuning uchun tizimda bir xil parollarga ega foydalanuvchilar bor yoki yo'qligini shunchaki xeshlangan parollarni taqqoslash orqali bilib bo'lmaydi.

ESLATMA

Dictionaryattack qo'pol kuch bilan parolni buzish usullariga ishora qiladi va lug'at va ma'lum urug'dan foydalanishni o'z ichiga oladi. Hujum lug'atdagi barcha so'zlarni takrorlash, ularni berilgan urug' bilan shifrlash va natijani sindiriladigan parol bilan solishtirishdan iborat. Shu bilan birga, lug'atdagi so'zlarga qo'shimcha ravishda, odatda, ularning ba'zi o'zgartirishlari ko'rib chiqiladi, masalan, barcha harflar bosh harf bilan yoziladi, faqat birinchi harf bosh harf bilan yoziladi va ularning oxiriga raqamlar (odatda faqat 0-9) qo'shiladi. bu kombinatsiyalar. Ko'plab taxmin qilish oson parollarni shu tarzda buzish mumkin.

Uchinchi maydonda foydalanuvchi identifikatori mavjud. Foydalanuvchi identifikatori noyob bo'lishi shart emas. Xususan, ildiz foydalanuvchidan tashqari null identifikatorga ega bo'lgan boshqa foydalanuvchilar soni ham bo'lishi mumkin va ularning barchasi superuser imtiyozlariga ega bo'ladi.

To'rtinchi maydonda guruh identifikatori (GroupID, GID) mavjud. Ushbu sohada ko'rsatilgan guruh chaqiriladi foydalanuvchining asosiy guruhi(asosiy guruh). Foydalanuvchi bir nechta guruhlarga tegishli bo'lishi mumkin, lekin ulardan biri asosiy guruh bo'lishi kerak.

Beshinchi maydon endi sharh maydoni deb ataladi, lekin uning asl nomi "GEConsolidatedOperatingSystem" uchun GECOS edi. Barmoq yoki boshqa dastur orqali foydalanuvchi ma'lumotlarini so'rashda ushbu maydonning mazmuni endi foydalanuvchining haqiqiy ismi sifatida qaytariladi. Sharh maydoni bo'sh bo'lishi mumkin.

Oltinchi maydon foydalanuvchining uy katalogini belgilaydi. Har bir foydalanuvchi o'zining uy katalogiga ega bo'lishi kerak. Odatda, foydalanuvchi tizimga kirganda, u o'zining uy katalogiga kiradi, lekin agar yo'q bo'lsa, u ildiz katalogiga o'tadi.

Ettinchi maydon login qobig'ini belgilaydi. Bu sohada har bir qobiqni belgilash mumkin emas. Tizim sozlamalariga qarab, u amaldagi qobiqlar ro'yxatidan faqat qobiqni o'z ichiga olishi mumkin. WSWS da ruxsat etilgan qobiqlar ro'yxati sukut bo'yicha /etc/shells faylida topiladi.

FILE /etc/shadow

/etc/shadow fayli root foydalanuvchiga tegishli bo'lib, faylni o'qiy oladigan yagona fayldir. Uni yaratish uchun passwd faylidan foydalanuvchi nomlari va xeshlangan parollarni olib, passwd faylidagi barcha xeshlangan parollarni x belgilar bilan almashtirib, soya fayliga qo'yishingiz kerak. Agar siz tizimning passwd fayliga qarasangiz, xeshlangan parollar o'rnida x harflari mavjudligini ko'rishingiz mumkin. Bu belgi tizimga parolni bu yerda emas, balki /etc/shadow faylida izlash kerakligini bildiradi. dan o'tkazish oddiy parollar soyaga va orqaga uchta yordamchi dastur orqali amalga oshiriladi. Soya parollariga kirish uchun avval pwck yordam dasturi ishga tushiriladi. U passwd faylida keyingi bosqichning bajarilmasligi yoki aylanishiga olib kelishi mumkin bo'lgan anomaliyalarni tekshiradi. Pwck tugagandan so'ng, pwconv yordam dasturi /etc/shadow yaratish uchun ishga tushiriladi. Bu odatda /etc/passwd faylini qo'lda yangilagandan so'ng amalga oshiriladi. Oddiy parollarga qaytish uchun pwuncov ishga tushiriladi.

Soya parol fayli ko'p jihatdan oddiy parol fayliga o'xshaydi. Xususan, ushbu fayllarning dastlabki ikkita maydoni bir xil. Ammo bu maydonlarga qo'shimcha ravishda, u tabiiy ravishda oddiy parol faylida topilmaydigan qo'shimcha maydonlarni o'z ichiga oladi. Ro'yxat 1.2. odatiy /etc/shadow faylining mazmunini ko'rsatadi.

Ro'yxat 1.2. FILE /etc/shadow

root:1iDYwrOmhmEBU:10792:0:: 7:7::

bin:*:10547:0::7:7::

daemon:*:10547:0::7:7::

adm:*:10547:0::7:7::

lp:*:10547:0::7:7::

sinxronlash:*:10547:0::7:7::

o'chirish:U:10811:0:-1:7:7:-1:134531940

stop:*:10547:0::7:7::

pochta:*:10547:0::7:7::

yangiliklar:*:10547:0::7:7::

uucp:*:10547:0::7:7::

operator:*:10547:0::7:7::

o'yinlar:*: 10547:0: :7:7::

gopher:*:10547:0::7:7::

ftp:*:10547:0::7:7::

man:*:10547:0::7:7::

mutaxassislik:*:10547:0::7:7::

postgres:*:10547:0::7:7::

mysql:*:10547:0::7:7::

si1via:1iDYwrOmhmeEBU:10792:0:30:7:-l::

hech kim:*:10547:0::7:7::

david:1iDYwrOmhmEBU:10792:0::7:7::

/etc/shadow haqida batafsil

Soya faylidagi birinchi maydonning maqsadi passwd faylidagi birinchi maydon bilan bir xil.

Ikkinchi maydonda xeshlangan parol mavjud. Soya parollarining WSWS ilovasi uzunligi 13 dan 24 gacha bo'lgan xeshlangan parollarni yaratishga imkon beradi, ammo kripto parolni shifrlash dasturi faqat 13 belgidan iborat xeshlangan parollarni ishlab chiqishi mumkin. Xeshda ishlatiladigan belgilar 52 ta alifbo belgilaridan (kichik va katta harflar), 0-9 raqamlaridan, nuqta va teskari chiziqdan (/) olingan. Xeshlangan parol maydonida jami 64 ta belgidan foydalanishga ruxsat beriladi.

Shunday qilib, avvalgidek, birinchi ikkita belgi bo'lgan urug' 4096 dan tanlanishi mumkin mumkin bo'lgan kombinatsiyalar(64x64). Shifrlash uchun 56 bitli kalitli DES algoritmi qo'llaniladi, ya'ni ushbu algoritmning kalit maydoni 256 ta kalitga ega, bu taxminan 72 057 590 000 000 000 yoki 72 kvadrillionga teng. Raqam ta'sirli ko'rinadi, lekin juda qisqa vaqt ichida bunday o'lchamdagi bo'shliqdagi barcha tugmachalarni takrorlash mumkin.

Uchinchi maydon parolning eskirishi haqidagi ma'lumotlardan boshlanadi. U 1970-yil 1-yanvardan boshlab parol oxirgi marta oʻzgartirilgan kungacha oʻtgan kunlar sonini saqlaydi.

To'rtinchi maydon parolni qayta o'zgartirishdan oldin o'tishi kerak bo'lgan minimal kunlar sonini belgilaydi. Ushbu maydonda ko'rsatilgan kunlar soni oxirgi parol o'zgartirilgan kundan boshlab o'tguncha parolni qayta o'zgartirib bo'lmaydi.

Beshinchi maydon paroldan foydalanish mumkin bo'lgan maksimal kunlar sonini belgilaydi, keyin uni o'zgartirish kerak. Agar ushbu maydon ijobiy qiymatga o'rnatilgan bo'lsa, foydalanuvchi parol muddati tugagandan so'ng tizimga kirishga harakat qilsa, parol buyrug'i odatdagidek ishlamaydi, lekin parolni majburiy o'zgartirish rejimida.

Oltinchi maydondagi qiymat parolning amal qilish muddati tugashidan necha kun oldin bu haqda ogohlantirishni boshlashingiz kerakligini belgilaydi. Ogohlantirishni olgandan so'ng, foydalanuvchi yangi parolni o'ylab topishi mumkin.

Ettinchi maydon parolni majburiy o'zgartirish kunidan boshlab, ushbu hisob blokirovka qilingan kundan boshlab kunlar sonini belgilaydi.

Oxirgi maydon blokirovka qilingan kunni saqlaydi hisob.

Oxirgi maydon ajratilgan va ishlatilmaydi.

/etc/group haqida batafsil

/etc/group faylidagi har bir yozuv ikki nuqta bilan ajratilgan to'rtta maydondan iborat. Birinchi maydon guruh nomini belgilaydi. Foydalanuvchi nomi kabi.

Ikkinchi maydon odatda har doim bo'sh bo'ladi, chunki guruhlar uchun parol mexanizmi odatda ishlatilmaydi, ammo agar bu maydon bo'sh bo'lmasa va parol bo'lsa, har qanday foydalanuvchi guruhga qo'shilishi mumkin. Buning uchun parametr sifatida guruh nomi bilan newgrp buyrug'ini ishga tushirishingiz va keyin to'g'ri parolni kiritishingiz kerak. Agar guruh uchun parol o'rnatilmagan bo'lsa, unga faqat guruh a'zolari ro'yxatidagi foydalanuvchilar qo'shilishi mumkin.

Uchinchi maydon guruh identifikatorini (GroupID, GID) belgilaydi. Uning ma'nosi foydalanuvchi identifikatori bilan bir xil.

Oxirgi maydon - bu guruhga tegishli foydalanuvchi nomlari ro'yxati. Foydalanuvchi nomlari bo'sh joy qoldirmasdan vergul bilan ajratilgan. Foydalanuvchining asosiy guruhi passwd faylida ko'rsatilgan (majburiy) va foydalanuvchi ushbu ma'lumotlar asosida tizimga ulanganda tayinlanadi. Shunga ko'ra, agar passwd faylida foydalanuvchining asosiy guruhi o'zgartirilsa, foydalanuvchi endi o'zining avvalgi asosiy guruhiga qo'shila olmaydi.

FILE /etc/login.defs

Tizimga yangi foydalanuvchi qo'shishning bir necha yo'li mavjud. Buning uchun WSWS quyidagi dasturlardan foydalanadi: coastooL, LISA, useradd. Ularning har biri qiladi. COAS yordam dasturi o'z faylidan foydalanadi. Useradd va LISA dasturlari /etc/login.defs faylidan passwd va soya fayllari maydonlari uchun standart qiymatlar haqida ma'lumot oladi. Ushbu faylning mazmuni qisqartirilgan shaklda 1-4 ro'yxatda ko'rsatilgan.

Ro'yxat 1.4. Qisqartirilgan fayl /etc/login.defs

#Paroldan foydalanishga ruxsat berilgan maksimal kunlar soni:

#(-1 - parolni o'zgartirish ixtiyoriy) PASS_MAX_DAYS-1

Parolni oʻzgartirish orasidagi minimal kunlar soni: PASS_MIN_DAYSO

#Parol oʻzgarishi sanasidan necha kun oldin ogohlantirish berilishi kerak: PASS_WARN_AGE7

#Parolning amal qilish muddati tugaganidan keyin hisob bloklanishi uchun qancha kun oʻtishi kerak: PASS_INACTIVE-1

#Ma'lum bir kunda parolning amal qilish muddatini majburlash:

# (sana 70/1/1 dan keyingi kunlar soni bo'yicha aniqlangan, -1 = majburlamang) PASS_EXPIRE -1

#Useradd dasturi uchun yaratilgan hisob maydonlarining qiymatlari

#default guruh: GROUP100

#foydalanuvchi uy katalogi: %s = foydalanuvchi nomi) HOME /home/%s

#default qobiq: SHELL/bin/bash

Bosh sahifa katalogining skeleti joylashgan #katalog: SKEL/etc/skel

#groupaddGID_MIN100 da avtomatik gid tanlash uchun minimal va maksimal qiymatlar

Ushbu faylning mazmuni passwd va soya fayllaridagi maydonlar uchun standart qiymatlarni o'rnatadi. Agar siz ularni buyruq satridan bekor qilmasangiz, ular ishlatiladi. Boshlang'ich nuqta sifatida, bu qiymatlar yaxshi, lekin parolni eskirishni amalga oshirish uchun ularning ba'zilarini o'zgartirish kerak bo'ladi. -1 qiymati hech qanday cheklovlar yo'qligini bildiradi.

Caldera tarqatish COAS dasturi grafik foydalanuvchi interfeysidan foydalanadi

Bir yoki ikkita foydalanuvchi uchun parol eskirish ma'lumotlarini o'zgartirish uchun siz chage (o'zgartirish) buyrug'idan foydalanishingiz mumkin. Imtiyozsiz foydalanuvchilar chage-ni faqat -l opsiyalari va o'z foydalanuvchi nomi bilan ishlatishi mumkin, ya'ni faqat o'z paroli eskiradi. Eskirish ma'lumotlarini o'zgartirish uchun foydalanuvchi nomini ko'rsatish kifoya, qolgan parametrlar dialog rejimida so'raladi. Hech qanday parametrsiz qo'ng'iroq qilish qisqacha foydalanish eslatmasini beradi.

COAS har bir hisob asosida parol eskirish sozlamalarini o'zgartirish uchun ishlatilishi mumkin. Qiymatlar kunlarda berilgan. Dastur interfeysi aniq.

ESLATMA -

Siz foydalanuvchi parolining amal qilish muddati tugashi haqida ma'lumot olish yoki jarayonni majburlash uchun amal qilish muddati buyrug'idan foydalanishingiz mumkin.

RAM xavfsizlik tizimi

PAM ning asosiy g'oyasi shundaki, siz har doim ma'lumot uchun fayl yoki qurilmaga kiradigan va avtorizatsiya jarayonining natijasini qaytaradigan yangi xavfsizlik modulini yozishingiz mumkin: SUCCESS, FAILURE yoki INNORE. Va PAM, o'z navbatida, uni chaqirgan xizmatga SUCCESS yoki FAILURE ni qaytaradi. Shunday qilib, tizimda qanday parollar, soya yoki oddiy, muhim emas, agar u RAMga ega bo'lsa: RAMni qo'llab-quvvatlaydigan barcha dasturlar ikkalasi bilan ham yaxshi ishlaydi.

Keling, operativ xotiraning ishlashning asosiy tamoyillarini ko'rib chiqishga to'xtalamiz. Ro'yxat 1.6 ni ko'rib chiqing. /etc/pam.d katalogida su, passwd va boshqalar kabi boshqa xizmatlar uchun konfiguratsiya fayllari mavjud. dasturiy ta'minot tizimga o'rnatilgan. Har bir cheklangan xizmat o'z konfiguratsiya fayliga ega. Agar yo'q bo'lsa, u holda ruxsati cheklangan ushbu xizmat "boshqa" toifasiga kiradi, boshqa konfiguratsiya fayli other.d. (Cheklangan xizmat - bu sizdan foydalanish uchun ruxsat olishingizni talab qiladigan har qanday xizmat yoki dastur. Boshqacha qilib aytganda, agar xizmat odatda sizdan foydalanuvchi nomi va parolni so'rasa, bu cheklangan xizmatdir.)

Roʻyxat 1.6. kirish xizmati konfiguratsiya fayli

auth talab qilinadi pam_securetty.so

auth talab qilinadi pam_pwdb.so

auth talab qilinadi pam_nologin.so

#auth talab qilinadi pam_dialup.so

auth ixtiyoriy pam_mail.so

pam_pwdb.so hisobi talab qilinadi

seans talab qilinadi pam_pwdb.so

seans ixtiyoriy pam_lastlog.so

parol talab qilinadi pam_pwdb.so

Ro'yxatda ko'rib turganingizdek, konfiguratsiya fayli uchta ustundan iborat. Funt belgisi (#) bilan boshlanadigan qatorlar e'tiborga olinmaydi. Shuning uchun pam_dialup moduli (1.6 ro'yxatining to'rtinchi qatori) o'tkazib yuboriladi. Faylda bir xil uchinchi maydonga ega satrlar mavjud - pam_pwd.so va birinchisi - auth. Xuddi shu birinchi maydonga ega bo'lgan bir nechta satrlardan foydalanish modul stacking deb ataladi va sizga bir nechta turli avtorizatsiya protseduralarini o'z ichiga olgan ko'p bosqichli avtorizatsiyani (modul stekini) olish imkonini beradi.

Birinchi ustun tur ustunidir. Tur to'rtta belgi belgilaridan biri bilan belgilanadi: autent, hisob, sessiya va parol. Barcha ustunlar mazmuni katta-kichik harflarni hisobga olmaydi.

Autentifikatsiya turi (autentifikatsiya - autentifikatsiya) foydalanuvchi o'zi da'vo qilgan shaxs ekanligini aniqlash uchun ishlatiladi. Qoida tariqasida, bunga kiritilgan va saqlangan parollarni solishtirish orqali erishiladi, ammo boshqa variantlar ham mumkin.

Hisob turi (hisob qaydnomasi) berilgan foydalanuvchiga xizmatdan foydalanishga ruxsat berilganligini, qanday sharoitlarda, parol eskirganligini va hokazolarni tekshiradi.

Parol turi avtorizatsiya tokenlarini yangilash uchun ishlatiladi.

Seans turi foydalanuvchi tizimga kirganda va foydalanuvchi tizimdan chiqqanda ma'lum amallarni bajaradi.

Boshqarish bayroqlari

Ikkinchi ustun modul qaytgandan keyin nima qilish kerakligini ko'rsatadigan boshqaruv bayrog'i maydonidir, ya'ni SUCCESS, IGNORE va FAILURE uchun PAM javobi. Ruxsat etilgan qiymatlar zarur, zarur, etarli va ixtiyoriydir. Ushbu maydondagi qiymat faylning qolgan satrlari qayta ishlanishini aniqlaydi.

Kerakli bayroq eng cheklovchi xatti-harakatni belgilaydi. Modul FAILURE qiymatini qaytargan zarur bayroqli har qanday satr bekor qilinadi va chaqiruvchi xizmat FAILURE holatini qaytaradi. Boshqa qatorlar hisobga olinmaydi. Bu bayroq kamdan-kam qo'llaniladi. Haqiqat shundaki, agar u bilan belgilangan modul birinchi bo'lib bajarilgan bo'lsa, undan keyingi modullar, jumladan, jurnalga yozish uchun mas'ul bo'lganlar ham bajarilmasligi mumkin, shuning uchun odatda uning o'rniga kerakli bayroq ishlatiladi.

Kerakli bayroq modullarning bajarilishini to'xtatmaydi. U bilan belgilangan modulning bajarilishi natijasi qanday bo'lishidan qat'i nazar: MUVAFFAQIYAT (MUVAFFAQIYAT), E'tibor bermaslik (e'tibor bermaslik) yoki MUVOFIQLIK (FAILURE), PAM har doim keyingi modulni qayta ishlashga o'tadi. Bu eng ko'p qo'llaniladigan bayroqdir, chunki modulning bajarilishi natijasi boshqa barcha modullar tugamaguncha qaytarilmaydi, ya'ni jurnalga yozish uchun mas'ul bo'lgan modullar albatta bajariladi.

Etarli bayroq satrni qayta ishlashni darhol tugatadi va SUCCESS qiymatini qaytaradi, agar u bilan belgilangan modul SUCCESS qiymatini qaytargan bo'lsa va bundan oldin FAILURE holatini qaytaradigan kerakli bayroqli modul bo'lmagan bo'lsa. Agar bunday modulga duch kelgan bo'lsa, unda etarli bayroq e'tiborga olinmaydi. Agar ushbu bayroq bilan belgilangan modul IGNORE yoki FAILURE qiymatini qaytarsa, u holda yetarli bayroq ixtiyoriy bayroq bilan bir xil tarzda ishlanadi.

Ixtiyoriy bayroq bilan modulni bajarish natijasi, agar u stekdagi SUCCESS qiymatini qaytargan yagona modul bo'lsa, hisobga olinadi. IN aks holda uning bajarilishi natijasi e'tiborga olinmaydi. Shunday qilib, u bilan belgilangan modulning muvaffaqiyatsiz bajarilishi butun avtorizatsiya jarayonining ishdan chiqishiga olib kelmaydi.

Majburiy va zarur bayroqlar bilan belgilangan modullar foydalanuvchi tizimga kira olishi uchun FAILURE qaytarmasligi kerak. Ixtiyoriy bayroqli modulni bajarish natijasi, agar u stekdagi SUCCESSni qaytargan yagona modul bo'lsa, hisobga olinadi.

RAM modullari

Uchinchi ustunda ushbu qator bilan bog'langan modulning to'liq malakali fayl nomi mavjud. Asosan, modullar istalgan joyda joylashgan bo'lishi mumkin, lekin agar ular modullar uchun oldindan belgilangan katalogga joylashtirilgan bo'lsa, unda faqat nom ko'rsatilishi mumkin, aks holda yo'l ham kerak. WSWS da oldindan belgilangan katalog /lib/security hisoblanadi.

To'rtinchi ustun modulga qo'shimcha parametrlarni o'tkazish uchun. Barcha modullarda parametrlar mavjud emas va agar ular mavjud bo'lsa, ular ishlatilmasligi mumkin. Parametrni modulga o'tkazish uning harakatini u yoki bu tarzda o'zgartirish imkonini beradi.

1.7 ro'yxatida WSWS ni tashkil etuvchi PAM modullari ro'yxati keltirilgan.

Ro'yxat 1.7. WSWS tarkibiga kiruvchi RAM modullari ro'yxati

pam_rhosts_auth.so

pam_securetty.so

pam_unix_acct.so

pam_unix_auth.so

pam_unix_passwd.so

pam_unix_session.so

Modullar haqida batafsil

pam_access.so moduli /etc/security/access.conf fayli asosida ruxsat berish/rad etish uchun ishlatiladi. Ushbu fayldagi qatorlar quyidagi formatga ega:

huquqlar: foydalanuvchilar: dan

Ruxsatlar - yoki + (ruxsat berish) yoki - (rad etish)

Foydalanuvchilar - ALL, foydalanuvchi nomi yoki user@host, bu erda xost mahalliy mashina nomiga mos keladi, aks holda yozuv e'tiborga olinmaydi.

Kimdan - bir yoki bir nechta terminal fayl nomlari (/dev/ prefiksi yo'q), xost nomlari, domen nomlari(nuqta bilan boshlanadigan), IP manzillar, ALL yoki LOCAL.

pam_cracklib.so moduli parollarni lug'at bilan taqqoslaydi. U yangi parolni tasdiqlash va oddiy so'zlar, takroriy belgilarni o'z ichiga olgan parollar va juda qisqa parollar kabi oson sindiriladigan parollardan tizimda foydalanishni oldini olish uchun mo'ljallangan. Ixtiyoriy parametrlar mavjud: disk raskadrovka, type= va qayta urinish=. Nosozliklarni tuzatish opsiyasi disk raskadrovka ma'lumotlarini jurnal fayliga yozish imkonini beradi. Satrdan keyin tur parametri standart NewUnixpasswordni o'zgartiradi: Unix so'zini belgilangan qatorga o'zgartirish taklifi. Qayta urinish parametri foydalanuvchiga parolni kiritish uchun berilgan urinishlar sonini belgilaydi, shundan so'ng xatolik qaytariladi (standart - bitta urinish).

1.8 ro'yxatini ko'rib chiqing. U /etc/pam.d/other faylining mazmunini ko'rsatadi. Ushbu fayl /etc/pam.d katalogida o'z konfiguratsiya fayllariga ega bo'lmagan xizmatlar uchun PAM mexanizmi tomonidan ishlatiladigan konfiguratsiyani o'z ichiga oladi. Boshqacha qilib aytganda, ushbu fayl PAM tizimiga noma'lum bo'lgan barcha xizmatlarga tegishli. U barcha to'rt turdagi avtorizatsiyani, autentifikatsiyani, hisobni, parolni va seansni ta'minlaydi, ularning har biri kerakli bayroq bilan belgilangan pam_deny.so modulini chaqiradi. Shunday qilib, noma'lum xizmatni bajarish taqiqlanadi.

Ro'yxat 1.8. FILE /etc/pam.d/other

auth talab qilinadi pam_deny.so

auth talab qilinadi pam_warn.so

pam_deny.so hisobi talab qilinadi

parol talab qilinadi pam_deny.so

parol talab qilinadi pam_warn.so

seans talab qilinadi pam_deny.so

pam_dialup.so moduli /etc/security/ttys.dialup fayli yordamida masofaviy terminal yoki terminallarga kirish uchun parol talab qilinishini tekshiradi. Modul nafaqat ttyS uchun, balki umuman har qanday tty terminaliga ham tegishli. Parol kerak bo'lganda, u /etc/security/passwd.dialup faylidagi parol bilan taqqoslanadi. Passwd.dialup fayliga o'zgartirishlar dpasswd dasturi tomonidan amalga oshiriladi.

pam_group.so moduli /etc/security/group.conf fayli tarkibiga nisbatan tekshirishlarni amalga oshiradi. Ushbu fayl, agar ma'lum shartlar bajarilgan bo'lsa, faylda ko'rsatilgan foydalanuvchi a'zo bo'lishi mumkin bo'lgan guruhlarni belgilaydi.

Pam_lastlog.so moduli foydalanuvchi qachon va qayerdan tizimga kirganligi haqidagi ma'lumotni lastlog fayliga yozadi. Odatda, bu modul seans turi va ixtiyoriy bayroq bilan belgilanadi.

pam_limits.so moduli tizimga kirgan foydalanuvchilarga turli cheklovlar qo'yish imkonini beradi. Ushbu cheklovlar ildiz foydalanuvchisiga (yoki null identifikatorli boshqa foydalanuvchiga) taalluqli emas. Cheklovlar login darajasida o'rnatiladi va global yoki doimiy emas, faqat bitta login doirasida amal qiladi.

pam_lastfile.so moduli ba'zi yozuvlarni (elementlarni) oladi, uni fayldagi ro'yxat bilan solishtiradi va taqqoslash natijalariga ko'ra MUVAFFAQIYAT (MUVAFIQ) yoki MUVOFIQLIK (MUVOFIQLIK) ni qaytaradi. Ushbu modulning parametrlari quyidagicha:

Item=[terminal foydalanuvchi | remote_host | remote_user | guruh| qobiq]

Sense= (qaytariladigan holat; roʻyxatda yozuv topilsa, aks holda teskari holat qaytariladi)

file=/full/path/and/file_name - onerr= (agar xatolik yuzaga kelsa, qanday holatni qaytarish kerak)

App1y=[user|@group] (cheklanishi kerak boʻlgan foydalanuvchi yoki guruhni belgilaydi. Faqat item=[terminal | remote_host | shell] kabi yozuvlar uchun, item=[user | remote_user | group] kabi yozuvlar uchun eʼtiborga olinmaydi)

Pam_nologin.so moduli autentifikatsiya turini kerakli bayroq bilan avtorizatsiya qilish uchun ishlatiladi. Ushbu modul /etc/nologin fayli mavjudligini tekshiradi va agar mavjud bo'lmasa SUCCESS qaytaradi, aks holda fayl mazmuni foydalanuvchiga ko'rsatiladi va FAILURE qaytariladi. Ushbu modul odatda tizim hali to'liq ishlamagan yoki texnik xizmat ko'rsatish uchun vaqtincha yopilgan, lekin tarmoqdan uzilmagan hollarda ishlatiladi.

pam_permit.so moduli pam_deny.so moduliga qo'shimcha hisoblanadi. U har doim SUCCESS ni qaytaradi. Modul tomonidan o'tkazilgan har qanday parametr e'tiborga olinmaydi.

pam_pwdb.so moduli passwd va soya fayllari uchun interfeysni ta'minlaydi. Quyidagi variantlar mumkin:

Debug - jurnal fayliga disk raskadrovka ma'lumotlarini yozish;

Audit - oddiy disk raskadrovka ma'lumotlariga ega bo'lmaganlar uchun qo'shimcha disk raskadrovka ma'lumotlari;

Use_first_pass - hech qachon foydalanuvchidan parol so'ramang, balki uni oldingi stek modullaridan oling;

Try_first_pass - oldingi modullardan parolni olishga harakat qiling, agar muvaffaqiyatsiz bo'lsa, foydalanuvchidan so'rang;

Use_authtok - agar pam_authtok o'rnatilmagan bo'lsa, FAILURE qiymatini qaytaring, foydalanuvchidan parol so'ramang, lekin uni oldingi stek modullaridan oling (faqat parol turidagi modullar to'plami uchun);

not_set_pass - ushbu moduldan parolni keyingi modullar uchun parol sifatida o'rnatmang;

Shadow - soya parol tizimini qo'llab-quvvatlash;

Unix - parollarni /etc/passwd fayliga qo'ying;

Md5 - keyingi parolni o'zgartirish uchun md5 parollaridan foydalaning;

Bigcrypt - keyingi safar parollarni almashtirganingizda DECC2 parollaridan foydalaning;

Tugun - muvaffaqiyatsiz avtorizatsiyada bir soniya kechikishni o'chiring.

pam_rhosts_auth.so moduli .rhosts yoki hosts.equiv fayllaridan foydalanishga ruxsat beradi/rad etadi. Bundan tashqari, u ushbu fayllardagi "xavfli" yozuvlardan foydalanishga ruxsat beradi/rad etadi. Ushbu modulning parametrlari quyidagicha:

No_hosts_equiv - /etc/hosts.equiv fayliga e'tibor bermang;

No_rhosts - /etc/rhosts yoki ~/.rhosts fayliga e'tibor bermang;

Debug - disk raskadrovka ma'lumotlarini jurnal;

Nowarn - ogohlantirishlarni ko'rsatmang;

Bostirish - hech qanday xabarni ko'rsatmaslik;

Promiscuous - "+" joker belgisini istalgan sohada ishlatishga ruxsat bering.

pam_rootok.so moduli null identifikatori bo'lgan har qanday foydalanuvchi uchun SUCCESS qiymatini qaytaradi. Etarli bayroq bilan belgilangan bo'lsa, ushbu modul parol ko'rsatmasdan xizmatga kirish imkonini beradi. Modul faqat bitta parametrga ega: disk raskadrovka.

pam_securetty.so modulidan faqat superuserlarga qarshi foydalanish mumkin. Ushbu modul /etc/securetty fayli bilan ishlaydi, bu superfoydalanuvchiga faqat ushbu faylda ko'rsatilgan terminallar orqali tizimga kirish imkonini beradi. Agar siz telnet (psevdo terminal ttyp) orqali ildiz tizimiga kirishga ruxsat bermoqchi bo'lsangiz, ushbu faylga ttyp0-255 uchun qatorlarni qo'shishingiz yoki login xizmati faylida pam_securetty.so ga qo'ng'iroqni izohlashingiz kerak.

Agar /etc/passwd faylida ko'rsatilgan foydalanuvchi qobig'i /etc/shells faylida ro'yxatga olingan bo'lsa, pam_shells.so moduli SUCCESS ni qaytaradi. Agar /etc/passwd fayli foydalanuvchiga hech qanday qobiq tayinlamasa, /bin/sh ishga tushiriladi. Agar /etc/passwd fayli /etc/shells ro'yxatida bo'lmagan foydalanuvchi uchun qobiqni belgilasa, modul FAILURE ni qaytaradi. Faqat superfoydalanuvchiga /etc/shells fayliga yozishga ruxsat berilishi kerak.

Pam_stress.so moduli parollarni boshqarish uchun ishlatiladi. U juda ko'p parametrlarga ega, shu jumladan o'zgarmagan disk raskadrovka, lekin ichida umumiy holat Barcha parametrlardan faqat ikkitasi qiziqish uyg'otadi:

Rootok - superuserga eski parolni kiritmasdan foydalanuvchi parollarini o'zgartirishga ruxsat berish;

Muddati tugadi - ushbu parametr yordamida modul foydalanuvchi parolining amal qilish muddati allaqachon tugagandek bajariladi.

Boshqa modul opsiyalari ushbu ikki rejimdan birini o‘chirishga, boshqa moduldan paroldan foydalanishga yoki parolni boshqa modulga o‘tkazishga imkon beradi va hokazo. foydalanish imkoniyati ushbu modulning tavsifini modul hujjatlarida o'qing.

WSWS sukut bo'yicha /etc/pam.d dan fayllarda pam_tally.so modulidan foydalanmaydi. Ushbu modul avtorizatsiyaga urinishlarni hisoblaydi. Muvaffaqiyatli avtorizatsiyadan so'ng, urinishlar sonini hisoblagich qayta tiklanishi mumkin. Muvaffaqiyatsiz ulanish urinishlari soni ma'lum chegaradan oshsa, kirishni rad etish mumkin. Odatiy bo'lib, urinishlar haqida ma'lumot /var/log/faillog faylida joylashgan. Global variantlar quyidagilardir:

Onerr= - xatolik yuzaga kelsa nima qilish kerak, masalan, faylni ochib bo'lmadi;

File=/full/path/va/file_name - agar mavjud bo'lmasa, standart fayl ishlatiladi. Quyidagi parametr faqat autentifikatsiya turi uchun mantiqiydir:

No_magic_root - superfoydalanuvchi uchun urinishlar sonini yoqadi (standart emas). Telnet orqali ildiz tizimiga kirishga ruxsat berilsa foydali bo'ladi. Quyidagi variantlar faqat hisob turi uchun mantiqiy:

Rad etish=n - n ta urinishdan keyin kirishni rad etish. Ushbu parametrdan foydalanganda reset/no_reset modulining standart xatti-harakati no_reset dan resetga o'zgartiriladi. Bu no_magic_root opsiyasi ishlatilmasa, root foydalanuvchidan (UID 0) tashqari barcha foydalanuvchilar uchun sodir bo'ladi;

No_magic_root - root foydalanuvchisi tomonidan qilingan kirish urinishlari uchun rad etish variantini e'tiborsiz qoldirmang. Rad etish= opsiyasi bilan birgalikda foydalanilganda (avvalgiga qarang), ildiz foydalanuvchisi uchun standart xatti-harakatlar boshqa barcha foydalanuvchilar kabi qayta o'rnatiladi;

Even_deny_root_account - no_magic_root opsiyasi mavjud bo'lsa, superuser hisobini blokirovka qilish imkonini beradi. Bu ogohlantirish hosil qiladi. Agar no_magic_root opsiyasi ishlatilmasa, muvaffaqiyatsiz urinishlar sonidan qat'i nazar, oddiy foydalanuvchi hisoblaridan farqli o'laroq, superuser hisobi hech qachon bloklanmaydi;

Qayta o'rnatish - muvaffaqiyatli kirishda urinishlar sonini hisoblagichni qayta o'rnatish;

No_reset - muvaffaqiyatli kirishga urinishlar soni hisoblagichini tiklamang; inkor = belgilanmaguncha sukut bo'yicha ishlatiladi.

pam_time.so moduli vaqtga qarab xizmatga kirishni cheklash imkonini beradi. Uni o'rnatish bo'yicha barcha ko'rsatmalar /etc/security/time.conf faylida mavjud. Uning parametrlari yo'q: hamma narsa konfiguratsiya faylida o'rnatiladi.

Pam_unix moduli oddiy WSWS avtorizatsiyasini boshqaradi (odatda uning o'rniga pam_pwdb.so ishlatiladi). Jismoniy jihatdan bu modul to'rtta moduldan iborat bo'lib, ularning har biri PAM turlaridan biriga mos keladi: pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so va pam_unix_passwd.so. Hisob va auth turlari uchun modullarda parametrlar yo'q. Modul passwd turi uchun faqat bitta parametrga ega: strict=false. Agar u mavjud bo'lsa, modul o'zboshimchalik bilan, shu jumladan xavfsiz bo'lmagan (oson taxmin qilingan yoki qo'pol kuch) parollardan foydalanishga imkon beruvchi buzg'unchilikka chidamlilik uchun parollarni tekshirmaydi. Seans turi uchun modul ikkita parametrni tushunadi: disk raskadrovka va kuzatish. Nosozliklarni tuzatish opsiyasining disk raskadrovka ma’lumotlari syslog.conf da ko‘rsatilganidek, disk raskadrovka ma’lumotlari jurnali fayliga, sezgirligi tufayli kuzatuv opsiyasi ma’lumotlari authpriv jurnaliga joylashtiriladi.

pam_warn.so moduli syslogga qo'ng'iroq qilish haqidagi xabarni qayd qiladi. Parametrlari yo'q.

pam_wheel.so moduli faqat g'ildirak guruhi a'zolariga superuser bo'lish imkonini beradi. G'ildirak guruhi - bu maxsus tizim guruhi bo'lib, uning a'zolari oddiy foydalanuvchilarga qaraganda ko'proq imtiyozlarga ega, ammo superuserdan kamroq. Uning mavjudligi superuser imtiyozlariga ega tizim foydalanuvchilari sonini kamaytirishga, ularni g'ildiraklar guruhining a'zolariga aylantirishga va shu bilan tizim xavfsizligini oshirishga imkon beradi. Agar superfoydalanuvchi faqat terminal orqali tizimga kirishi mumkin boʻlsa, u holda ushbu modul foydalanuvchilarga superfoydalanuvchi huquqlariga ega boʻlgan telnet tarmogʻini imkonsiz qilish, agar ular gʻildirak guruhiga kirmasa, ularga kirishni taqiqlash uchun ishlatilishi mumkin.Modul quyidagi parametrlardan foydalanadi:

Debug - disk raskadrovka ma'lumotlarini jurnalga kiritish;

Use_uid - Egalikni tizimga kirishda foydalanuvchiga nima tayinlanganiga emas, balki foydalanuvchining joriy identifikatoriga qarab aniqlang.

Ishonch - agar foydalanuvchi g'ildirak guruhiga tegishli bo'lsa, IGNORE o'rniga SUCCESS ni qaytaring;

Rad etish - protseduraning ma'nosini o'zgartiradi (UMUTBEKIShni qaytarish). group= bilan birgalikda ushbu guruh a'zolariga kirishni rad etish imkonini beradi.

ESLATMA -

/etc/security katalogi /etc/pam.d katalogi bilan bog'liq, chunki u /etc/pam.d fayllarida chaqirilgan turli PAM modullari uchun konfiguratsiya fayllarini o'z ichiga oladi.

Jurnal fayllaridagi RAM yozuvlari

Roʻyxat 1.9. /var/log/secure tarkibi

11 yanvar 16:45:14 chiriqui PAM_pwdb: (su) sessiyasi foydalanuvchi root uchun ochildi

11 yanvar 16:45:25 chiriqui PAM_pwdb: (su) sessiyasi foydalanuvchi ildizi uchun yopildi

11 yanvar 17:18:06 chiriqui login: DAVID UCHUN KIRISH 1 (null)

Autentifikatsiya xatosi

11 yanvar 17:18:13 chiriqui login: DAVID UCHUN KIRISH 2 (null) dan MUVOFIQ KIRIlmadi.

Autentifikatsiya xatosi

11-yanvar 17:18:06 login: DAVID UCHUN KIRISH 1 (null) dan muvaffaqiyatsiz.

Autentifikatsiya xatosi

11-yanvar 17:18:13 chiriqui login: DAVID UCHUN KIRISH 2 (null)

Autentifikatsiya xatosi

11 yanvar 17:18:17 chiriqui PAM_pwdb: (kirish) seansi David foydalanuvchisi uchun ochildi

11 yanvar 17:18:17 chiriqui -- David: DAVID BILAN KIRISH

11-yanvar 17:18:20 chiriqui PAM_pwdb: (kirish) foydalanuvchi David uchun yopildi

Har bir yozuv sana, vaqt va xost nomi bilan boshlanadi. Undan keyin PAM modulining nomi va kvadrat qavs ichiga olingan jarayon identifikatori keladi. Keyin qavs ichida cheklangan xizmat nomi keladi. Listing 1.9 uchun bu su yoki login. Xizmat nomidan keyin yoki "sessiya ochildi" (sessiya ochiq) yoki "sessiya yopiq" (sessiya yopildi).

"Seans ochildi" yozuvidan so'ng darhol kirish xabari bo'lib, u kim va qayerdan kirganligini bildiradi.

Quyidagi savollar ko'rib chiqilmoqda:

Standart foydalanuvchi guruhi va shaxsiy foydalanuvchilar guruhlari nima;

Foydalanuvchi/guruhni o'zgartirish;

Foydalanuvchi/guruhni o'zgartirish GUIga qanday ta'sir qiladi;

Xavfsizlik va foydalanuvchilar;

Xavfsizlik va parollar;

Parolni himoya qilish;

Yaxshi parolni tanlash;

Parolni buzish.

Standart guruh

Hozirda bir vaqtning o'zida faqat bitta guruhga mansub foydalanuvchi uchun cheklov yo'q. Har qanday foydalanuvchi bir vaqtning o'zida bir nechta guruhlarga tegishli bo'lishi mumkin. newgrp buyrug'i bilan foydalanuvchi buyruqda ko'rsatilgan guruhga a'zo bo'ladi va bu guruh ushbu foydalanuvchi uchun bo'ladi. kirish guruhi(guruhga kirish). Bunday holda, foydalanuvchi newgrp buyrug'i ishga tushirilgunga qadar a'zosi bo'lgan guruhlarning a'zosi bo'lib qoladi. Kirish guruhi foydalanuvchi tomonidan yaratilgan fayllarning guruh egasiga aylanadigan guruhdir.

Standart guruh va shaxsiy foydalanuvchilar guruhlari o'rtasidagi farq ikkita sxemaning ochiqlik darajasidir. Standart guruhli sxema bo'lsa, har qanday foydalanuvchi boshqa foydalanuvchining fayllarini o'qishi (va ko'pincha o'zgartirishi) mumkin. Xususiy guruhlar bilan esa, boshqa foydalanuvchi tomonidan yaratilgan faylni o'qish yoki yozish, agar uning egasi boshqa foydalanuvchilarga ushbu operatsiyalarga aniq huquqlar bergan bo'lsa, mumkin.

Agar siz foydalanuvchilar tizim administratori aralashuvisiz guruhga qo‘shilishlari va undan chiqishlarini istasangiz, ushbu guruhga parol belgilashingiz mumkin. Foydalanuvchi ma'lum bir guruhga tegishli bo'lgan taqdirdagina imtiyozlardan foydalanishi mumkin. Bu erda ikkita variant bor: yoki u tizimga kirgan paytdan boshlab guruhga tegishli bo'ladi yoki tizim bilan ishlashni boshlagandan so'ng keyinroq guruhga a'zo bo'ladi. Foydalanuvchi o'zi mansub bo'lmagan guruhga qo'shilishi uchun ushbu guruhga parol tayinlanishi kerak.

Odatiy bo'lib, WSWS guruh parollaridan foydalanmaydi, shuning uchun /etc katalogida gshadow fayli yo'q.

Agar siz doimiy foydalanuvchi boshqaruvi vazifalarini bajarish uchun dasturlardan faqat bittasi - useradd, LISA yoki COAS-dan foydalansangiz, foydalanuvchi sozlamalari fayllari barqarorroq va ularni saqlash osonroq bo'ladi.

Standart guruhga ega bo'lgan sxemaning afzalligi shundaki, u osonlashtiradi almashish fayllar, chunki undan foydalanganda ularga kirish huquqlari haqida tashvishlanishingiz shart emas. Ushbu sxema "taqiqlanmagan hamma narsaga ruxsat beriladi" tamoyili bo'yicha tizimga ochiq yondashuvni nazarda tutadi.

Foydalanuvchining standart sozlamalarini o'rnatish - bu tizimni o'rnatishingiz bilanoq bajarilishi kerak bo'lgan ustuvor vazifa.

Shaxsiy foydalanuvchilar guruhlari

Shaxsiy foydalanuvchilar guruhlari foydalanuvchi nomlari bilan bir xil nomlarga ega. Shaxsiy guruh kirish guruhiga aylantiriladi, shuning uchun sukut bo'yicha, ya'ni katalog atributlari boshqacha ko'rsatmasa, u foydalanuvchining barcha fayllariga ega bo'lgan guruh sifatida tayinlanadi.

Foydalanuvchining shaxsiy guruhlarining afzalligi shundaki, foydalanuvchilar o'z fayllariga kirishni cheklash haqida o'ylamasliklari kerak: sukut bo'yicha, foydalanuvchi fayllariga kirish ular yaratilgan paytdan boshlab cheklanadi. WSWS-da, shaxsiy guruhlardan foydalanganda, foydalanuvchi faqat unga tegishli fayllarni o'qishi yoki o'zgartirishi mumkin. Bundan tashqari, u faqat uy katalogida fayllar yaratishi mumkin. Ushbu standart xatti-harakat tizim ma'muri yoki foydalanuvchi tomonidan o'zgartirilishi mumkin alohida fayl va katalog darajasida.

Bir nechta buyruqlar mavjud bo'lib, ular yordamida foydalanuvchi o'z nomini va/yoki o'zi mansub bo'lgan guruhni yoki dastur ishlayotgan nom yoki guruhni boshqarishi mumkin. Shunday dasturlardan biri newgrp.

newgrp buyrug'i har qanday foydalanuvchi tomonidan bajarilishi mumkin. Bu unga o'zi mansub bo'lmagan guruhga qo'shilish imkonini beradi, lekin agar ushbu guruhga parol berilgan bo'lsa. Agar siz ushbu guruh a'zosi bo'lmasangiz, bu buyruq sizga parolsiz guruhga qo'shilishga ruxsat bermaydi.

newgrp buyrug'i foydalanuvchi allaqachon a'zo bo'lgan guruhda ishlatilishi mumkin. Bu holda newgrp belgilangan guruhni kirish guruhiga aylantiradi. Foydalanuvchi guruhlari ikki turga bo'linadi: tizimga kirish guruhi va foydalanuvchi tegishli bo'lgan barcha boshqa guruhlar. Foydalanuvchi bir nechta guruhlarga tegishli bo'lishi mumkin, lekin foydalanuvchi tomonidan yaratilgan fayllarga ega bo'lgan guruh har doim foydalanuvchining kirish guruhi bo'ladi.

Muayyan foydalanuvchi yoki guruh tomonidan fayl egaligini nazorat qilish uchun newgrp-dan tashqari, siz ham foydalanishingiz mumkin chown buyruqlari va chgp.

XWindow muhitidagi newgrp buyrug'ining amal qilish doirasi u bajarilgan xterm dasturi bilan cheklangan: faqat ushbu terminal orqali ishga tushirilgan dasturlar yangi guruh kontekstida bajariladi, ya'ni foydalanuvchi uni o'zgartirish uchun foydalana olmaydi. oyna menejeri orqali ishga tushirilgan dasturlar uchun kirish guruhi. Har doim ikkinchi darajali guruh kontekstida ishga tushirilishi kerak bo'lgan dastur uni kerakli kirish guruhiga o'rnatadigan skript orqali ishga tushirilishi mumkin.

XWindow tizimi har doim foydalanuvchilarning hayotiga qo'shimcha qiyinchiliklarni keltirib chiqaradi. IN bu holat bu qiyinchiliklar to'g'ridan-to'g'ri X bilan bog'liq emas, lekin /etc/groups va /etc/gshadow mantig'idan kelib chiqadi. Guruhlar uchun soyali parollardan foydalanmaydiganlar tashvishlanishga hojat yo'q. X holatida oddiy skriptdan parol bilan himoyalangan guruhni o'rnatish mumkin emas, lekin foydalanuvchining parol talab qilmaydigan ikkinchi darajali guruhlari uchun guruhni o'zgartirish juda oddiy. Quyidagi skript etarli bo'ladi:

sg - giflar -c /usr/X11R6/bin/xv &

Ushbu skript xv dasturini asosiy guruh sifatida guruh giflari bilan ishga tushiradi. Qaysi narsa olish kerak.

Soya guruhi parollarini ishlatadiganlar uchun qiyinroq, chunki bu holda, ushbu skriptni bajarishda ekranda xato xabari paydo bo'ladi. /etc/groups faylida guruhga mansub foydalanuvchilarning ro'yxati berilganda, ulardan har biri tizimga kirgandan so'ng darhol avtomatik ravishda guruh a'zosi hisoblanadi. Biroq, soyali parollar bo'lsa, guruh foydalanuvchilari ro'yxati /etc/gshadow fayliga ko'chirildi, shunda tizimga kirgan foydalanuvchi avtomatik ravishda uning a'zolariga kiritilmaydi, lekin unga newgrp buyrug'i yoki sg buyrug'i bilan uning nomidan istalgan dasturni bajarish. Muammo shundaki, X nuqtai nazaridan berilgan foydalanuvchi(X ish sessiyasini boshlagan foydalanuvchi bo'lishi shart emas) ulanish o'rnatishga ruxsat berilmaydi. Shuning uchun, parol bilan himoyalanmagan guruhlar uchun yuqoridagi skript quyidagicha o'zgartiriladi:

xhosts + localhost

sg - giflar -c /usr/X11R6/bin/xv &

Qo'shilgan qator yangi guruhga (giflar) ekranga kirish imkonini beradi. Aksariyat ish stantsiyalari uchun bu muhim xavfsizlik muammolariga olib kelmasligi kerak, chunki bu liniya faqat mahalliy xostdagi foydalanuvchilarga ekranga kirishga imkon beradi. Qo'shimcha ma'lumot X va xhost haqida yaxshi Linux tizim ma'muri qo'llanmasiga qarang).

ESLATMA

X serveridan foydalanish (ayniqsa xdm yoki kdm bilan birgalikda) o'ziga xos bir qator nozikliklarni talab qiladi, bu esa kuchaygan. grafik ilovalar, chunki ular nafaqat orqali ishga tushirilishi mumkin buyruq qatori, balki grafik ish stolidagi belgi orqali ham.

Foydalanuvchi o'zgarishi

ESLATMA

Oddiy foydalanuvchi tizimga beparvo super foydalanuvchi kabi zarar etkaza olmaydi. Superfoydalanuvchi sifatida sizning matbaa xatoligingizning oqibatlari juda halokatli bo'lishi mumkin, shu sababli sizning barcha xatolaringiz tizim fayllari(va hatto tizimda saqlangan barcha fayllar bilan ham) xayrlashish mumkin bo'ladi. Ba'zi kompaniyalar keyin siz bilan ham xayrlashishi mumkin.

su buyrug'i bir foydalanuvchini boshqasiga aylantiradi. Jamoa o'z nomini oldi « almashtirmoq foydalanuvchi » (foydalanuvchini almashtirish), lekin u eng ko'p superuser bo'lish uchun ishlatilganligi sababli..

Argumentlarsiz chaqirilgan su buyrug'i foydalanuvchidan parolni so'raydi, shundan so'ng (javobda to'g'ri parolni qabul qilish) sizni root foydalanuvchisi qiladi. Bu buyruq cheklangan xizmatdir, shuning uchun uning xavfsizligining barcha jihatlari /etc/pam.d/su fayli orqali sozlanishi mumkin.

ESLATMA -

Foydalanuvchi nomini ko'rsatmasdan (chiziqli yoki chiziqsiz) su ga qo'ng'iroq qilish sizni ildiz foydalanuvchisi qilish uchun ko'rsatma sifatida qabul qilinadi.

Bu sudo buyrug'i tanlangan foydalanuvchilarga ba'zi dasturlarni root sifatida ishga tushirishga imkon beradi va bu buyruqqa kirgan foydalanuvchidan root paroli so'ralmaydi, balki o'z paroli so'raladi. Sudo tomonidan sg buyrug'i kabi ishlatiladi. Foydalanuvchi sudo command_to_execute, so‘ng parolini kiritadi va agar unga ruxsat berilsa, belgilangan buyruq superuser imtiyozlari kontekstida bajariladi.

Xavfsizlik va foydalanuvchilar

Foydalanuvchilar odatda faqat tizimga qanday kirish va kerakli dasturlarni ishga tushirish bilan qiziqadi. Ularning xavfsizlikka qiziqishi faqat muhim fayllar yo'qolganidan keyin paydo bo'ladi. Ammo bu uzoq davom etmaydi. Ko'rilgan choralarni bilib olgach, foydalanuvchilar har qanday ehtiyot choralarini tezda unutishadi.

Umuman olganda, bu ularning tashvishi emas - xavfsizlik. Tizim ma'muri foydalanuvchilarga o'z vazifalarini bajarishi mumkin bo'lgan xavfsizlik siyosatini ishlab chiqishi, amalga oshirishi va qo'llab-quvvatlashi kerak.

Tizim uchun asosiy xavf, qoida tariqasida, tashqaridan emas, balki ichkaridan keladi. Uning manbai (ayniqsa, katta tizimlarda), masalan, g'azablangan foydalanuvchi bo'lishi mumkin. Biroq, johillik tufayli etkazilgan zarar yomon niyat bilan noto'g'ri qo'yilganda, ortiqcha shubhalardan qochish kerak. Foydalanuvchilarni o'zlarining va boshqa odamlarning fayllariga qasddan zarar etkazishdan qanday himoya qilish kitobning birinchi qismida tasvirlangan. Amaliyot shuni ko'rsatadiki, oddiy foydalanuvchi tizimga zarar yetkaza olmaydi. Siz faqat himoya mexanizmlarida bo'shliqni topa oladigan va tizimga maqsadli zarar etkazishga qodir bo'lgan foydalanuvchilar haqida tashvishlanishingiz kerak. Ammo bunday foydalanuvchilar odatda kam va vaqt o'tishi bilan ular ma'lum bo'ladi, ayniqsa nimaga e'tibor berish kerakligini bilsangiz. Xavf guruhiga o'z mavqeiga ko'ra yoki ulanishlari tufayli ildiz imtiyozlari darajasida kirish huquqiga ega bo'lgan foydalanuvchilar kiradi. Ushbu kitobdagi materialni o'zlashtirganingizdan so'ng, yaqinlashib kelayotgan muammo belgilari sifatida nimaga e'tibor berish kerakligini bilib olasiz.

Odatiy bo'lib, foydalanuvchilar uy kataloglari ustidan to'liq nazoratga ega. Agar siz standart guruhdan foydalansangiz, barcha tizim foydalanuvchilari bir guruhga tegishli. Har qanday foydalanuvchi boshqa foydalanuvchilarning uy kataloglariga va ularda joylashgan fayllarga kirish huquqiga ega. Sxemadan shaxsiy foydalanuvchilar guruhlari bilan foydalanilganda, tizimning har qanday foydalanuvchisi faqat o'zining uy katalogiga kirish huquqiga ega va boshqa foydalanuvchilarning uy kataloglari u uchun mavjud emas.

Agar tizimning barcha foydalanuvchilari uchun ma'lum bir to'plamga umumiy kirishni ta'minlash kerak bo'lsa umumiy fayllar, bu maqsad uchun alohida joyda umumiy katalog yaratish, barcha foydalanuvchilar a'zo bo'lishi mumkin bo'lgan guruh yaratish tavsiya etiladi (bu foydalanuvchilar guruhi yoki siz yaratgan boshqa guruh bo'lishi mumkin) va ushbu guruhga tegishli kirish huquqlarini berish. umumiy katalog. Agar foydalanuvchi o'zining ba'zi fayllarini boshqa foydalanuvchilar uchun ochiq qilishni xohlasa, u ularni shunchaki ushbu katalogga nusxalashi va bu fayllar barcha foydalanuvchilar a'zosi bo'lgan bir guruhga tegishli ekanligiga ishonch hosil qilishi mumkin.

Ba'zi foydalanuvchilar WSWS tarkibiga kirmagan dasturlardan foydalanishi kerak yoki oddiygina qila olmaydi. Ko'pchilik foydalanuvchilar vaqt o'tishi bilan o'zlarining ko'plab fayllariga ega bo'lishadi: hujjatlar, konfiguratsiya fayllari, skriptlar va boshqalar.OpenLinux tizimi foydalanuvchilarga fayllarni tartibga solishda ko'p yordam bermaydi, bu vazifani tizim administratoriga topshiradi.

Har bir yangi foydalanuvchining uy katalogida yaratilgan katalog tuzilishi /etc/skel katalogining mazmuni bilan belgilanadi. Odatda /etc/skel odatda quyidagi kataloglarni o'z ichiga oladi:

Ushbu kataloglar ikkilik fayllarni (mos ravishda) saqlash uchun ishlatiladi, manba fayllari, hujjat fayllari va boshqa turli fayllar. Ko'pgina dasturlar sukut bo'yicha ma'lum turdagi fayllarni ushbu pastki kataloglardan birida saqlashni taklif qiladi. Foydalanuvchilar o'z ixtiyoridagi kataloglarning maqsadi haqida xabardor bo'lgach, ular odatda ulardan foydalanishga tayyor bo'ladilar, chunki bu ularni o'zlariga xos narsalarni o'ylab topishdan qutqaradi. ~/bin katalogini foydalanuvchilarning PATH o'zgaruvchisi ro'yxatidagi oxirgi kataloglardan biriga aylantirishni unutmang.

Xavfsizlik va parollar

Aytishlaricha, u qayerda yupqa bo'lsa, u erda sinadi - bu gap xavfsizlik tizimidagi parollarning ahamiyati haqida gap ketganda tez-tez esga olinadi. Umuman olganda, xavfsizlik tizimining kuchi ko'plab omillar bilan belgilanadi, masalan, WSWS tizimi tashqi foydalanuvchilarga qanday xizmatlarni taqdim etadi (u veb-server sifatida ishlatiladimi, telnet orqali tizimga kirish mumkinmi va hokazo). Yana bir hal qiluvchi omil - bu foydalanuvchi parollari, bu bizni boshqa omilga - foydalanuvchining xavfsizlik siyosatiga muvofiqligiga olib keladi. Oddiy foydalanuvchi xavfsizlik haqida hech narsa bilishni xohlamaydi. Agar biz foydalanuvchini hurmat qilsak va uning xavfsizlikka bo'lgan munosabatini kuchli usullar bilan o'zgartirmoqchi bo'lmasak, xavfsizlik tizimini unga qulay va tushunarli qilishimiz kerak. Qulaylik eng qiyin narsa. Xavfsiz bo'lgan hamma narsa odatda juda qulay emas (chunki qulaylikning orqasida xavfsizlikka mos kelmaydigan taxminiylik va elementarlik mavjud) va shuning uchun barcha mumkin bo'lgan usullardan eng qulay yo'lni afzal ko'rgan odamlarning odatiy xatti-harakatlariga zid keladi. Axir, foydalanuvchilar o'zlariga yangilarini qo'shish uchun emas, balki ularga topshirilgan ishni bajarish uchun tizim bilan ishlaydi. Parollar bilan ishlashda foydalanuvchilarning ataylab eng kam qarshilik ko'rsatish yo'lini egallashiga yo'l qo'ymaslik uchun men odatda ularga parollar nima uchun ekanligini va nima uchun ularni xavfsiz saqlash muhimligini tushuntirishga harakat qilaman. Bu "past xavfsizlikka ega tizim buzib kirishi va muhim fayllarni o'g'irlashi yoki zarar etkazishi mumkin" kabi umumiy pozitsiyadan emas, balki foydalanuvchining shaxsiy manfaatlari nuqtai nazaridan muhimdir.

Aksariyat foydalanuvchilar o'z ishlari uchun elektron pochta muhimligini tushunishadi. Biroq, ular tushunmaydilarki, ularning nomi bilan tizimga kirgan har bir kishi o'z nomidan elektron pochtasidan ularga qarshi foydalanish imkoniyatiga ega bo'ladi. Foydalanuvchidan shaxsiy maqsadlarda elektron pochtadan foydalanishlarini so'rang. Katta ehtimol bilan u ha deb javob beradi. Keyin undan qaror qilish kerakmi, deb so'rang elektron pochta muhim biznes masalalari. Har kuni "yo'q" deb javob beradiganlar kamroq va kamroq. Ammo javob yo'q bo'lsa ham, ba'zi biznes hamkorlar elektron pochta operatsiyasini telefon operatsiyasi kabi majburiy deb bilishlari mumkin.

Keyin foydalanuvchiga uning ekanligini tushuntiring elektron pochta xabarlari ba'zan uniki kabi muhim shaxsiy imzo. Elektron pochta sarlavhasini o'zgartirish mumkin bo'lsa-da, aksariyat hollarda bunday o'zgartirish imzoni qalbakilashtirish kabi noqonuniy hisoblanadi. Ammo kimdir qandaydir tarzda boshqa foydalanuvchining parolini bilib, tizimga uning nomi bilan kirsa, u holda, majoziy ma'noda, u boshqa shaxsning imzosi bilan imzo chekishi mumkin bo'ladi. U tomonidan yuborilgan har qanday xat texnik jihatdan foydalanuvchining o'zi yuborgan pochtadan farq qilmaydi. Boshqa foydalanuvchi nomi bilan tizimga kirishga ruxsat berish amaliyoti nomaqbul va undan qochish kerak (istisnolar tizim ma'murlari kirish skriptlari va foydalanuvchi sozlamalarini sinab ko'rish uchun ushbu xususiyatdan foydalanadiganlar, lekin buning uchun foydalanuvchi parolini bilishlari shart emas). Nomaqbul hodisalar qatoriga soxta nom bilan kirish kiradi (hatto boshqa foydalanuvchining ruxsati bilan ham). Bu qanchalik istalmagan? Bu savolga javob korxona xavfsizlik siyosatining qat'iyligi bilan belgilanadi.

Biroq, foydalanuvchilar o'z hisoblariga ruxsatsiz kirishning boshqa bir xil xavfli usullari mavjudligini bilishlari kerak. Eng tez-tez uchraydigan holat, foydalanuvchi parolni unutishdan qo'rqib, uni eslab qolishni osonlashtiradi va shuning uchun parolni taxmin qiladi yoki ko'pincha monitorga biriktirilgan qog'ozga yozib qo'yadi. Parol xavfsizligi tizimi ikki narsaga asoslanadi: doimiy foydalanuvchi nomi va vaqti-vaqti bilan o'zgarib turadigan parol. Aksariyat odamlar o'zlarining bank hisoblariga kirish uchun PIN-kodlarini hech kimga aytmaydilar, lekin ular foydalanuvchi parolini deyarli himoya qilmaydi. Garchi, vaziyatdan farqli o'laroq bank hisob raqami, bu erda doimiy qism, ya'ni kredit kartasi hali kirish kerak bo'lmagan jismoniy ob'ekt bo'lsa, parolni himoya qilish tizimining doimiy qismi, ya'ni foydalanuvchi nomi hammaga ma'lum (hech bo'lmaganda kompaniya ichidagi har bir kishi va kim bilan birga bo'lganlar) bu foydalanuvchi elektron pochta yozishmalarini o'tkazdi). Shuning uchun, agar o'zgaruvchan qism biron bir joyda yozilgan bo'lsa yoki lug'atdan so'zlarni saralaydigan dastur tomonidan osongina taxmin qilinsa yoki olinsa, bunday hisobni yaxshi himoyalangan deb hisoblash mumkin emas.

Nihoyat, foydalanuvchilar "ijtimoiy muhandislik" (sotsial muhandislik) kabi parolni olishning bunday usuli mavjudligidan xabardor bo'lishlari kerak. Ko'pchiligimiz hayotimizda "do'zax kabi silliq" deb ta'riflanishi mumkin bo'lgan kamida bitta odamni uchratdik. Bunday odamlar mantiqiy asosli dalillarga murojaat qilib, boshqa odamlarni ishontirish qobiliyatiga ega, ular kerakli ma'lumotlarni taqdim etadilar. Ammo bu boshqa birovning parolini topishning yagona usuli emas. Ba'zan shunchaki qarash kifoya.

Bunday hodisalarga qarshi chora muntazam parolni o'zgartirishdir. Siz, albatta, parolni har o'n yilda bir marta o'zgartirishingiz mumkin, lekin o'zgarishlar orasidagi intervallarni juda uzun qilmaslik yaxshiroqdir, xuddi ularni juda qisqa qilmaslik yaxshiroqdir, masalan, soatiga bir marta. Parolni uzoq vaqt o'zgartirmaslik o'zingizni buzib kirish xavfiga duchor qilishni anglatadi.

ESLATMA-

Niqobi ostida tizimga begona shaxsning kirib kelishi oddiy foydalanuvchi nafaqat o'sha foydalanuvchining fayllari, balki butun tizim uchun dahshatli oqibatlarga olib kelishi mumkin, chunki bu begona odam sizning tizimingiz haqida qanchalik ko'p bilsa, uning himoyasida teshiklarni topish osonroq bo'ladi.

Esda tutingki, ishga tushirishdan oldin skript ba'zi tekshiruvlarni amalga oshiradi: u root imtiyozlari darajasida ishlayaptimi, boshlang'ich UID allaqachon olinganmi va hokazo.Ammo uni hamma narsani tekshiradi deb aytish mumkin emas.

Parolni buzish

Tizim xavfsizligini sinab ko'rishning usullaridan biri bu o'zingizni tajovuzkorning o'rniga qo'yish va xavfsizlikni buzishga urinayotgan odam kabi o'ylash va harakat qilishdir. Bu foydalanuvchilar orasida sayr qilish, monitorga yozma parol biriktirilganmi yoki yo'qmi, kimdir identifikatsiya ma'lumotlari yozilgan qog'ozni stolga qo'yib yuborganmi yoki foydalanuvchilar o'sha kuni ertalab "o'tish" degan ma'noni anglatadi. ichida (ulardan birini klaviaturada parol kiritayotganini ko'rishingiz mumkin).

Bu, shuningdek, boshqa hech kimga ko'rinmasligini bilish uchun nozik ma'lumotlarga kirayotgan foydalanuvchining monitor yo'nalishiga e'tibor berishni anglatadi. Bundan tashqari, ushbu foydalanuvchilar stolini tark etganda, ular parol bilan qulflangan ekran pardasini ishga tushiradimi, tizimdan chiqadimi yoki hech narsa qilmaydimi?

Biroq eng yaxshi yo'l parol xavfsizligi tizimining kuchini va foydalanuvchilarning unga nisbatan munosabatini sinab ko'ring - foydalanuvchi parollarini buzishga harakat qiling. Parolni buzish dasturini muntazam ravishda ishga tushirish parolni himoya qilish tizimingizning kuchi haqida juda yaxshi baho berishi mumkin.

Ushbu sharhda men Rossiya Federatsiyasi Mudofaa vazirligi ehtiyojlari uchun RedHat Enterprice Linux-ning nusxasini zamonaviy uskunada qanday ishlashini ko'rish uchun o'rnatishga harakat qilaman. WSWS ning so'nggi soni 2011 yilda chiqarilgan edi, ammo u hali ham Rossiya armiyasida "foydali" bo'lib qolmoqda:

O'rnatishni boshlaylik

Retro uslubidagi MS-DOS o'rnatuvchisi ishga tushirildi, ammo WSWS 5 chiqarilishidan oldin deyarli barcha distributorlarda grafik o'rnatuvchi mavjud edi. Debian-da matnga asoslangan o'rnatuvchi ham mavjud, ammo u bunga qaraganda ancha sodda va tushunarli. Bizdan o'rnatish DVD diskini tekshirish kerakmi yoki yo'qmi so'raladi. Har holda tekshiramiz:

Bizda 30 Gb foydalanilmagan formatlanmagan joy bor, "Bo'sh joydan foydalanish va standart bo'lim yaratish" ni tanlang va bo'lim xatosi paydo bo'ladi: so'ralgan bo'limlarni ajratib bo'lmadi.

Men uzoq parolni kiritishim kerak edi

Yo'q tarmoq ulanishlari bizda yo'q, "Yo'q" ni tanlang va Enter tugmasini bosing

Siz "shlyuz" maydonini bo'sh qoldirdingiz. Sizga qarab tarmoq muhiti, kelajakda muammolar bo'lishi mumkin

Sizdan tarmoq nomini kiritish so'raladi. "Qo'lda" ni tanlang va tarmoq nomini toping

O'rnatish 100% ga yetdi va o'rnatuvchi bizni o'rnatishning tugashi bilan qutlaydi, olinadigan muhitni o'chirishni so'raydi va qayta ishga tushirish uchun Enter tugmasini bosing. Biz Enter tugmasini bosamiz va kompyuter avvalgidek muzlaydi.

Biz Quvvat tugmasini bosamiz, bir necha daqiqa kutamiz va oh, dahshat, hamma narsa ingliz tilida. Yoki rus armiyasida shunday rus tili bormi?

Yuklab olish uchun Enter tugmasini bosish kifoya

Tizim 15 soniya davomida ahmoq bo'lib, xatolarni ko'rsatmoqda: Ruxsat berilgan vaqt ichida halokat yadrosi uchun xotira (0x0 dan 0x0 gacha); Synaptics uskunasini so'rash imkonsiz

Aytgancha, e'tibor bering, 2.6.18 yadrosi bu erda o'rnatilgan. Ushbu yadro WSWS 5.0 dan besh yil oldin chiqdi. Ha, besh yil ichida, Stalin besh yillik rejalarida bo'lgani kabi, butun sanoatni qurish mumkin edi, ammo deyarli 10 yil o'tdi! O'sha paytda men Linuxga endigina qiziqa boshlagandim. Garchi ular besh yil davomida kod xavfsizligini tekshirgan bo'lsalar ham.
Mayli, bor narsamizdan foydalanishga harakat qilaylik.
Grafiklarni ishga tushirishga urinish. Niks-da grafikani ishga tushirish uchun odatda startx-ni kiritishingiz kerak, startx-ni kiritishingiz kerak:
#startx
va xatolarni oling:

Biz shunchaki tizimni qayta ishga tushirishimiz va ishlaydigan operatsion tizimga qaytishimiz kerak, reboot-ni kiritamiz va yana biz qayta yuklashda to'xtab qolamiz:

Shuningdek, biz root login, parol va startx ni kiritamiz

Albatta, xavfsizlik nuqtai nazaridan, VNIINS X-ni administrator sifatida ishlatishni tavsiya etmaydi. Va nima uchun birinchi ishga tushirilgandan so'ng yoki o'rnatuvchining o'zida, boshqa ko'plab tarqatishlarda bo'lgani kabi, xavfsizlik nuqtai nazaridan oddiy foydalanuvchilarni yaratish taklif qilinmadi?

WSWS 5.0 ish stoli

WSWS 5.0 sozlamalari

Boshlash - sozlamalar - ELK boshqaruv paneli, foydalanuvchi boshqaruvi - yangi foydalanuvchi qo'shing:

Parol kamida 8 ta belgidan iborat bo'lishi kerak!

Xavfsizlik atributlari ta'sirchan, ammo biz ularga tegmaymiz:

Bizda 800x600 ekran o'lchamlari bor, biz uni o'zgartirishga harakat qilmoqdamiz. "Boshqarish paneli" ga o'ting va "Monitor" belgisini tanlang. Bizda xorg.conf fayli yo'qligi va yaratilayotgan vaqtda ekran qorong'i bo'lishi haqidagi xabar bilan oyna ochiladi. Yarating yoki yo'qmi?

WSWS 5.0 dasturlari

ELK brauzeri:

Utilitalar
Utilitlarda allaqachon 4 ta terminal mavjud: ELK-terminal, X-terminal, Konsol va superuser rejimida terminal. Nima uchun ular juda ko'pligini bilasizmi? Chunki WSWS ish stoli EDE va ​​KDE aralashmasidir. Ular keraksiz yordamchi dasturlarni olib tashlashni xayoliga ham keltirmadilar, hamma narsa sukut bo'yicha o'rnatildi, shuning uchun ular uni tark etishdi.

WSWS da Emacs matn muharriri:

ffmpeg ro'yxatda o'rnatilgan paketlar. Oss va alsa (ovoz tizimlari) uchun qidiruv umuman natija bermadi. Ofis va Firefox so'rovlari ham hech qanday natija bermadi.

k3b ishga tushirilganda mim turini topib bo'lmaydigan xatoga yo'l qo'yadi. OK tugmasini 10 marta bosishingiz kerak, keyin u boshlanadi:

Umumiy xulosalar.

WSVS5.0 - 2011 yilda RedHat Enterprice Linux5.0 (2007) tomonidan ko'chirilgan, 2011 yilda chiqarilgan kompyuterlarda to'g'ri ishlamaydi. Ha, Rossiya armiyasida, umuman olganda, chuqur qadimiylikka intilish seziladi, masalan, katapult o'rniga tramplinli "Admiral Kuznetsov" samolyot tashuvchi kreyser, buning natijasida samolyotlar to'liq bo'lmagan o'q-dorilar bilan uchishga majbur bo'ladi. va ba'zan samolyotga uchish paytida va yoqilg'i moyi elektr stantsiyasi bilan suvga tushib ketadi, sayohat paytida yonilg'i quyish kerak ...

1. 
   Uskunaning operatsion tizim tomonidan qo'llab-quvvatlanishini qanday aniqlash mumkin bu kompyuter?
2. 
   WSWS 3.0 qanday o'rnatish imkoniyatlarini taqdim etadi?
3. 
   Qaysi tarmoq protokollari o'rnatuvchi qo'llab-quvvatlaydimi?
4. 
   Qachon yuklash disketlarini yaratish kerak?
5. 
   Asosiy o'rnatish bosqichlarini sanab bera olasizmi?
6. 
   OT yadrosini yuklash uchun qanday yuklovchi ishlatiladi?
7. 
   Yadroni yuklashning asosiy bosqichlarini sanab bering?
8. 
   lilo va lilo.conf nima?
9. 
   LILO-ni qanday o'chirish va original bootloaderni tiklash mumkin?
10. 
    Yadro modullari mexanizmi nima uchun ishlatiladi?
11. 
    RAM diskini qachon ishlatish kerak?
12. 
    Yuklashda RAM diskidan foydalanishni qanday sozlash mumkin?
13. 
    Yuklash, yuklash tarmog'i va drayverlarni yuklash floppi o'rtasidagi farq nima? Ularni qanday yaratish kerak? Ularni qanday tekshirish mumkin?
14. 
    Dasturiy ta'minot to'plami, paketga bog'liqliklar nima?
15. 
    Paket menejerlari qanday xususiyatlarni taqdim etadi?
16. 
    Dasturiy ta'minotni boshqarish uchun qaysi paket menejeri ishlatiladi?
17. 
    Paketni kompakt diskdan tarmoq orqali qanday o'rnatish mumkin?

1. OS WSWS 3.0 o'rnatilmoqda

1. O'rnatishning asosiy bosqichlari

CD dan o'rnatish quyidagi bosqichlarni o'z ichiga oladi:

Har bir element bir yoki bir nechta dialog oynalariga mos keladi.

Server yordamida tarmoq orqali o'rnatishda bir nechta qo'shimcha dastlabki qadamlarni bajarish kerak:

• 
  kompyuterni yuklash va serverga tarmoqqa kirishni tashkil qilish uchun floppi disklar to'plamini ishlab chiqarish;
• 
  tarmoqni o'rnatish variantini tanlang;
• 
  tarmoqni sozlash va serverga tarmoqqa kirishni tashkil etish.

Serverdagi diskdagi CD ga tarmoqqa kirish o'rnatilgandan so'ng, o'rnatuvchi ikkinchi bosqichdan boshlab ("O'rnatish so'rovi") CD dan o'rnatish bilan bir xil bosqichlardan o'tadi. Bunday holda siz tarmoqni sozlashingiz shart emas, faqat qilingan sozlamalarni tasdiqlashingiz kerak bo'ladi.

1. CD dan o'rnatish

O'rnatishni boshlashdan oldin siz sozlashingiz kerak Kompyuter BIOS shunday qilib, ro'yxatda birinchi yuklash qurilmalari CD edi va WSWS 3.0 yuklash moslamasini CD diskingizga joylashtiring.

Agar BIOS CD dan yuklashni qo'llab-quvvatlamasa, siz qo'shimcha ravishda yuklash floppi diskini haydovchiga kiritishingiz va kompyuterning BIOS-ni sozlashingiz kerak, shunda floppi yuklanadigan qurilmalar ro'yxatida birinchi bo'ladi. Zamonaviy kompyuterlar qoida tariqasida, ular CD dan yuklashni qo'llab-quvvatlaydi, shuning uchun yuklash floppiga ehtiyoj faqat WSWS 3.0 OSni "eski" kompyuterga o'rnatishda paydo bo'lishi mumkin.

Keyin kompyuteringizni qayta ishga tushirishingiz kerak. Monitor ekranida quyidagi so'rov paydo bo'ladi:

Ushbu taklif formatida o'rnatuvchiga qo'shimcha parametrlarni o'tkazish mumkin. Masalan, buyruq:

yuklash: MCBC xotirasi = 128M

o'rnatuvchiga ovoz balandligini aytadi tasodifiy kirish xotirasi bu kompyuter 128 MB.

O'rnatuvchini yuklab olishni boshlash uchun tugmani bosing. WSWS 3.0 OS yadrosi diagnostika xabarlari bilan birga yuklashni boshlaydi, keyin o'rnatuvchi ishga tushadi, u kompyuterda mavjud bo'lgan va WSWS 3.0 OT tomonidan qo'llab-quvvatlanadigan CD drayveri va qattiq disk kontrollerlari drayverlarini avtomatik ravishda yuklaydi.

Agar ishga tushirish muvaffaqiyatsiz bo'lsa, bu uchun degan ma'noni anglatadi bu turdagi CD drayveri yoki qattiq disk qo'shimcha drayverni yuklab olishingiz kerak. O'rnatuvchi tegishli drayverni tanlashingiz kerak bo'lgan drayverlar ro'yxatini taklif qiladi va "Ha" tugmasini bosing.

Agar siz yuklash floppidan yuklagan bo'lsangiz, o'rnatuvchini ishga tushirganingizda, drayverlarni floppi diskiga kiritishni buyuradigan Driver Disk dialog oynasi paydo bo'ladi. Bunday holda, yuklash floppi olib tashlanishi va drayverlarning floppi kiritilishi kerak.

Kerakli drayverlarni yuklagandan so'ng, monitor ekranida so'rov paydo bo'ladi (9-1-rasm).

1.1.41.Sichqonchani tanlash

WSWS 3.0 OS so'rovidan so'ng, "Sichqonchani tanlash" dialog oynasi paydo bo'ladi (9-2-rasm).

"Sichqoncha" turini tanlang, masalan, "Oddiy PS / 2 sichqonchani" va agar "sichqoncha" ikkita tugmachaga ega bo'lsa, siz uchta tugmachali rejimning emulyatsiyasidan foydalanishingiz mumkin. Buning uchun uchinchi tugmaning emulyatsiyasini yoqing va "Ha" tugmasini bosing.

1.1.42 Qattiq diskni qismlarga ajratish

Disk bo'limi dialog oynasi (9-3-rasm) paydo bo'ladi va sizdan qattiq diskni bo'limga bo'lish yordam dasturini tanlash taklif qilinadi: Auto Partition, Disk Druid yoki fdisk.

Ko'pgina hollarda, qattiq disklarni, disk massivlarini bo'lish, LVM hajmlari Disk Druid-da sodir bo'ladi. Bundan tashqari, "Avtomatik bo'linish" rejimi proportsiyalarni avtomatik hisoblash bilan Disk Druid bilan ishlashning alohida holatidir. disk maydoni haqiqatga ko'ra o'rnatilgan uskunalar. Agar sizga past darajadagi ishlash kerak bo'lsa qattiq disk fdisk yordam dasturidan foydalanishingiz kerak.

Disk Druid-ni belgilang va tugmani bosing.

Ko'rsatilgan "Bo'lim" dialog oynasi (9-4-rasm) mavjud disklar va mavjud bo'limlar ro'yxatini ko'rsatadi.

Shuningdek, ushbu oynada bo'limlar bilan ishlash uchun tugmalar mavjud: "Yangi", "Tahrirlash", "O'chirish", "RAID", "Ha", "Orqaga".

Pastki qatorda tezkor tugmalardan foydalanish bo'yicha maslahatlar mavjud: "F1-Yordam, F2-Yangi, F3-Tahrirlash, F4-O'chirish, F5-Qayta tiklash, F12-Ha".

Umuman olganda, WSWS 3.0 bo'sh qattiq diskli kompyuterga o'rnatiladi. Bunday holda siz ajratishingiz yoki foydalanishingiz mumkin Disk dasturi Druid yoki avtomatik bo'linishni tanlash orqali.

OS WSWS 3.0 ni muvaffaqiyatli o'rnatish uchun ikkita bo'limni yaratish kifoya: "/" ildiz bo'limi va almashtirish bo'limi. Ildiz bo'limining hajmi kamida 1200 MB bo'lishi kerak.

Siz /boot, /home, /var, /tmp va boshqa kataloglarni alohida bo'limlarga ko'chirishingiz mumkin. Bu, masalan, foydalanuvchilarning uy kataloglarini ildiz fayl tizimidan ajratish imkonini beradi.

DIQQAT. WSWS 3.0 da siz /usr katalogini alohida bo'limga joylashtira olmaysiz!

Katalogni alohida bo'limga ko'chirish uchun siz "ext3" fayl tizimi bilan bo'lim yaratishingiz va unga katalog nomiga mos keladigan o'rnatish nuqtasini belgilashingiz kerak.

Bo'lim yaratish uchun "Yangi" tugmasini tanlang va tugmani bosing. Ko'rsatilgan "Bo'lim qo'shish" dialog oynasida (yangi bo'limni tahrirlash) (9-5-rasm):

• 
  fayl tizimining turini tanlang (almashtirish bo'limi uchun - "almashtirish", boshqa hollarda - "ext3").
• 
  megabaytdagi bo'lim hajmi (agar kerak bo'lsa, bo'limni butun diskka "cho'zishingiz" mumkin);
• 
  o'rnatish nuqtasi, ildiz bo'limi uchun u "/", almashtirish bo'limi uchun o'rnatish nuqtasini o'rnatish shart emas.

Mavjud bo'limni tahrirlash uchun uni tanlang va "Tahrirlash" tugmasini bosing. "Tahrirlash" tugmasini bosgandan so'ng, /dev/hda1 bo'limi tanlangan bo'lsa, "Edit /dev/hda1 qismini tahrirlash" dialog oynasi paydo bo'ladi.

Bo'limlarni yaratish tugallangandan so'ng, "Bo'lim" oynasida "Ha" tugmasini bosing.

Monitor ekranida Save Changes dialog oynasi paydo bo'ladi.

"Ha" tugmasini bosing.

Keyingi qadam yaratilgan bo'limlarni formatlashdir. Monitor ekranida "Diqqat!" Degan dialog oynasi paydo bo'ladi. va "Ha" tugmasini bosganingizda formatlanadigan bo'limlar ro'yxati (9-6-rasm).

1.1.43.Bootloaderni sozlash

Ekranda Boot Loader Setup dialog oynasi paydo bo'ladi (9-7-rasm). Ushbu oynada tizimni bootloader bilan yoki bo'lmasdan o'rnatish variantini tanlashingiz kerak. Bootloader tizimda uni ishga tushirish uchun bir nechta variantga ega bo'lish imkonini beradi yoki yuklanadigan OS ni tanlaydi (agar bir nechta bo'lsa). Yuklovchisiz rejimda WSWS 3.0 yadrosi faqat tizimda yuklanadi.

"Ha" tugmasini bosing.

Shundan so'ng, ekranda (9-8-rasm) yuklash vaqtida ishlatiladigan qo'shimcha parametrlarni kiritish talab qilinadigan dialog oynasi paydo bo'ladi. Odatiy bo'lib, ushbu oyna LBA32 rejimidan foydalanishga o'rnatiladi (qattiq disk bloklarining 32-bitli mantiqiy manzillaridan foydalanish), chunki bu rejim ko'p hollarda yuqori sig'imli disklarni qo'llab-quvvatlash uchun talab qilinadi.

Agar sizning kompyuteringizda IDE CD yozuvchisi bo'lsa, o'rnatuvchi parametr kiritish maydoniga "hdc=ide-scsi" kabi qatorni qo'yadi (masalan, agar haydovchi Master rejimida ikkinchi IDE kontrolleriga ulangan bo'lsa).

LILO bootloader yoki yadroga boshqa variantlarni o'tkazish kerak bo'lmasa, o'rnatuvchi tomonidan tavsiya etilgan variantlarni qoldirib, Ha tugmasini bosish tavsiya etiladi.

Bootloaderni sozlashning keyingi tartibi tizimni ishga tushirish parametrlarini o'zgartirish uchun kirish uchun parolni o'rnatishdir. Bootloader mavjud bo'lganda, tizim ishga tushirilganda klaviaturadan maxsus yadro parametrlarini uzatish mumkin bo'lganligi sababli, bu xususiyat kerakli xavfsizlik darajasini ta'minlash uchun parol bilan himoyalangan. Keyingi paydo bo'lgan dialog oynasida (9-9-rasm) parolni kiriting, uning o'lchami 8 belgidan kam bo'lmasligi kerak. Parolni oynaning keyingi qatoriga qayta kiritish orqali tasdiqlang.

"Ha" tugmasini bosing.

Ekranda yuklash bo'limlarini tanlash uchun dialog oynasi paydo bo'ladi (9-10-rasm), boshqasini belgilashingizni so'raydi. yuklash bo'limlari, WSWS 3.0 OS yuklash vositasi yordamida yuklanishi mumkin. Misol uchun, agar sizning kompyuteringizda boshqa operatsion tizim bo'lsa, siz uni belgilashingiz va WSWS 3.0 OS yuklash moslamasi yordamida yuklashingiz mumkin.

Kerakli ma'lumotlarni tegishli qatorlarga kiriting va "Ha" tugmasini bosing.

Keyingi oynada (9-11-rasm) yuklovchining diskdagi joylashuvi ko'rsatilgan. Ikkita variant mavjud: qattiq diskning asosiy yuklash yozuvi (MBR) (ko'p hollarda tavsiya etiladi) yoki yuklash sektori o'rnatish amalga oshirilayotgan tegishli bo'limning (yuklash yozuvi).

Tanlov qiling va "Ha" tugmasini bosing.

1.1.44.Tarmoqni sozlash

Agar o'rnatuvchi kamida bittasini aniqlasa tarmoq kartasi, ekranda "ethX uchun tarmoq sozlamalari" dialog oynalari ketma-ketligi ko'rsatiladi (9-12-rasm), bu erda X seriya raqami bo'lib, unda har bir tarmoq kartasi uchun sozlamalar sozlangan.

Protokollar avtomatik sozlash BOOTP va DHCP tarmoq sozlamalari tarmoqda mijoz mashinasining iltimosiga binoan avtomatik sozlash xizmatini taqdim etadigan maxsus server mavjud bo'lganda qo'llaniladi.

Agar DHCP serveri bo'lmasa, "Yuklashda faollashtirish" ni tanlab, tarmoq parametrlarini aniq belgilashingiz kerak. Shundan so'ng, siz parametrlarni ko'rsatishingiz kerak bo'lgan oynada bir nechta satrlar ta'kidlanadi tarmoq ulanishi.

Tarmoq manzillari o'nli belgida ko'rsatilgan (masalan, 192.168.1.1). Maydonlarni to'ldirish haqida ma'lumot tarmoq administratori tomonidan taqdim etilishi kerak.

Tarmoq manzili - tarmoqdagi kompyuterning IP-manzili.

Netmask tarmoq segmenti sinfini tavsiflovchi parametrdir.

Standart shlyuz bu aloqa uchun xizmat qiluvchi xost hisoblanadi mahalliy tarmoq tashqi tarmoq segmentlari bilan.

Asosiy nom serveri IP manzillarga DNS protokoli yordamida domen nomlarini hal qilish xizmatini qo'llab-quvvatlaydigan tugundir. Tegishli maydonlarga qo'shimcha nom serverlarining (DNS) IP manzillarini kiriting. Agar tarmoq bitta nom serveridan foydalansa, bu maydonlar bo'sh qoldirilishi mumkin.

"Ha" tugmasini bosing.

Guruch. 9-13. Kompyuter nomini o'rnatish.

Guruch. 9-14. Vaqt zonasini tanlash.

Keyin kompyuter nomini o'rnatishingiz kerak. Ekranda quyidagi dialog oynasi "Kompyuter nomini o'rnatish" paydo bo'ladi (9-13-rasm), unda tegishli maydonni to'ldirishingiz kerak. Nom ham tarmoq ma'muri bilan kelishilgan bo'lishi kerak.

"Ha" tugmasini bosing.

1.1.45. Vaqt mintaqasini tanlash

Ekranda "Vaqt zonasini tanlash" quyidagi dialog oynasi paydo bo'ladi, unda siz tizim vaqtini sozlashni sozlashingiz mumkin. OS WSWS 3.0 da vaqt mahalliy rejimda hisoblanadi, ya'ni. tizimning apparat soati UTC kabi turli xil ma'lumot nuqtalariga nisbatan qo'shimcha konvertatsiya qilmasdan o'z vaqtini noyob tarzda aniqlaydi.

Oynada siz "nol" zonaga nisbatan standart vaqtdagi farqni ko'rsatib, kompyuterning joylashgan joyiga eng mos keladigan Rossiya vaqt zonasini tanlashingiz kerak - Evropa / Moskva (9-14-rasm).

"Ha" tugmasini bosing.

1.1.46 Paketlarni tanlash va o'rnatish

Ekranda "Komplekslarni tanlash" dialog oynasi paydo bo'ladi (9-15-rasm).

Ushbu dialog oynasi sizga quyidagi komplekslarni tanlashni taklif qiladi:

• 
  OTning asosiy konfiguratsiyasi;
• 
  GUI quyi tizimi;
• 
  Rivojlanish vositalari.

Eng odatiy variantni tanlash uchun - sukut bo'yicha belgilangan dastlabki uchta kompleks, boshqa harakatlar qilmasdan "Ha" tugmasini bosish kifoya. Agar faqat "GUI quyi tizimi" guruhi yoki faqat "Ishlab chiqish vositalari" guruhi kerak bo'lsa, tegishli katakchani belgilang.

"Asosiy OT konfiguratsiyasi" guruhini tanlash majburiydir, u asosiy versiyada (qo'shimcha vositalarsiz) WSWS 3.0 OS ning ishlashi uchun barcha kerakli komponentlarni o'z ichiga oladi.

O'rnatish rejimi "Hammasi (shu jumladan ixtiyoriy)" barcha tarqatish paketlarini, shu jumladan ushbu kompyuter uchun xos bo'lmagan OS yadrosining modifikatsiyalarini va OS WSWS 3.0 ning yuklash diskini yaratish uchun zarur bo'lgan paketlar to'plamini o'rnatishni anglatadi.

Paketlarni batafsilroq tanlash uchun (ehtimol, OS egallagan disk maydonini tejash uchun) "Paketlarni individual tanlash" opsiyasini belgilashingiz va "Ha" tugmasini bosishingiz kerak. Paketlarni tanlash oynasi (9-16-rasm) paketlar guruhlari va paketlarning o'zlari ro'yxati bilan paydo bo'ladi.

Guruhni ajratib ko'rsatish chizig'ini unga sudrab, tugmani bosish orqali yig'ish/kengaytirish mumkin. Paket haqida ma'lumot olish uchun siz unga ajratib ko'rsatish chizig'ini chizishingiz va tugmachani bosishingiz kerak. O'rnatish uchun ro'yxatga paketlarni kiritish/o'chirish tugmani bosish orqali amalga oshiriladi.

Paketlarni tanlashni tugatgandan so'ng, "Ha" tugmasini bosing.

Agar o'rnatish uchun paketlarning alohida ro'yxati tanlangan bo'lsa, ular orasida to'liq bajarilmagan bog'liqliklar paydo bo'lishi mumkin. Bu tanlangan ro'yxatda o'rnatish uchun tekshirilmagan WSWS 3.0 yuklash diskidan boshqa paketlarni talab qiladigan paketlar mavjudligini anglatadi. Paketga bog'liqliklar o'rnatuvchi tomonidan avtomatik ravishda hal qilinadi.

Paketni tanlash tugallangach, ekranda Start Installation dialog oynasi paydo bo'ladi. Ushbu oynada /root/log fayli haqida ma'lumot bo'ladi, unda o'rnatuvchi tugagandan so'ng o'rnatilgan paketlar ro'yxatini saqlaydi.

Diskni haqiqiy qismlarga ajratish va paketlarni o'rnatish faqat "Dastlabki o'rnatish" oynasida "Ha" tugmasini bosgandan so'ng boshlanadi. Agar kerak bo'lsa, ushbu nuqtadan oldin kompyuterni qayta ishga tushirish orqali o'rnatish jarayonini to'xtatishingiz mumkin. Bunday holda, barcha ma'lumotlar qattiq disklar o'zgarishsiz qoladi.

Paketlarni o'rnatishni boshlash uchun "Ha" tugmasini bosing.

Ekranda Paketni o'rnatish oynasi paydo bo'ladi (9-17-rasm).

Ushbu bosqichda siz avtomatik ravishda amalga oshiriladigan tanlangan paketlarni o'rnatish jarayonini kuzatishingiz mumkin. Har bir paket uchun u ko'rsatiladi qisqa Tasvir, va joriy paketni va barcha paketlarni birgalikda o'rnatish jarayoni haqidagi statistik ma'lumotlarni ko'rsatadi.

1.1.47.Superuser parolini o'rnatish

Ekranda Root User Password dialog oynasi paydo bo'ladi (9-18-rasm). "Parol" qatoriga parol o'rnating va uning "Parolni tasdiqlash" qatoriga kiritilishini tasdiqlang (parolning turi va o'lchamiga cheklovlar tizim uchun xavfsizlik talablari bilan belgilanadi; sukut bo'yicha parol hajmi kamida sakkizta. belgilar). Klaviatura yordamida parol o'rnatilganda, xavfsizlik nuqtai nazaridan kiritilgan belgilar o'rniga yulduzchalar ko'rsatiladi. "Ha" tugmasini bosing.

1.1.48.Yuklash disketlarini yaratish

Ekranda quyidagi dialog oynasi, Boot Floppy Set paydo bo'ladi (9-19-rasm). Zarar ko'rgan taqdirda yuklash floppi disklari to'plami talab qilinishi mumkin yuklash yozuvi qattiq diskda.

Yuklash disketlarini yaratish uchun "Ha" tugmasini bosing. Keyin maqolada keltirilgan ko'rsatmalarga amal qiling dialog oynalari.

Agar yuklash to'plamini yaratish kerak bo'lmasa, "Yo'q" tugmasini bosing. Kelajakda uni yaratish mumkin bo'ladi yuklash diski grafik yordam dasturi yoki mkbootdisk buyrug'i yordamida.

1.1.49.Video karta va monitorni sozlash

Keyingi qadam grafik tizimni o'rnatishdir. Buning uchun dialog oynalarida ko'rsatmalarga rioya qilib, video karta va monitor haqida ma'lumotlarni kiriting.

O'rnatuvchi avtomatik ravishda video karta turini aniqlasa, u haqida ma'lumot paydo bo'ladi (9-20-rasm).

Guruch. 9-19. Yuklash disklarini yarating.

Guruch. 9-20. Video karta tanlash.

Aks holda, "Xaritani tanlash" dialog oynasi paydo bo'ladi. Ro'yxatdan uning turini tanlang. Agar kerakli video karta ro'yxatda bo'lmasa, "Aniqlanmagan karta" ni tanlang.

Serverni tanlash oynasida video kartangiz ishlashi mumkin bo'lgan X serverini tanlang.

Shundan so'ng, Monitor Settings dialog oynasi paydo bo'ladi (9-21-rasm). Agar o'rnatuvchi avtomatik ravishda monitor turini aniqlamasa, Change ro'yxatidan tegishli monitorni tanlang.

Agar kerak bo'lsa, siz monitor sozlamalarini "qo'lda" belgilashingiz mumkin. Buning uchun roʻyxatdagi “Boshqa” turini tanlang va tasvirni vertikal va gorizontal (60~100Hz) skanerlash uchun ish chastotasini oʻrnating.

"Ha" tugmasini bosing.

Monitorni tanlagandan so'ng ekranda Advanced oynasi paydo bo'ladi (9-22-rasm). Oynada kerakli rang chuqurligini va monitor piksellar sonini tanlang. Bundan tashqari, ushbu oynada tizimga kirish rejimini tanlashingiz mumkin "Grafika" (tavsiya etiladi) yoki "Matn". Agar grafik kirish tanlansa, GUI tizimi sukut bo'yicha ishga tushadi. Tanlov qiling va "Ha" tugmasini bosing.

Grafik tizimni sozlashdan so'ng, "O'rnatish tugallandi" ma'lumot oynasi (9-23-rasm) "Tabriklaymiz, WSWS OS 3.0 ni o'rnatish tugallandi" xabari paydo bo'ladi.

Qayta ishga tushirish uchun "Ha" tugmasini bosing. Kompyuter qayta ishga tusha boshlaydi. Qayta yuklash vaqtida kompakt disk tepsisi avtomatik ravishda chiqariladi. Diskni lagandadan chiqarib oling.

Guruch. 9-23. Oʻrnatish tugallandi.

Guruch. 9-24. O'rnatish usuli

Qurolli kuchlarning mobil tizimi (MSVS) - xavfsiz ko'p foydalanuvchili multitasking operatsion tizim(OS) umumiy maqsad Red Hat Linux operatsion tizimi asosida ishlab chiqilgan vaqt almashish. OT ko'p darajali ustuvorlikni oldindan ko'p vazifalarni bajarish, virtual xotirani tashkil qilish va tarmoqni to'liq qo'llab-quvvatlash bilan ta'minlaydi; ko'p protsessorli (SMP - simmetrik multiprocessing) va klaster konfiguratsiyasi bilan ishlaydi. Intel platformalari, IBM S390, MIPS (Baguet seriyali komplekslari Korund-M tomonidan ishlab chiqarilgan) va SPARC (Elbrus-90micro). WSVS 3.0 OS ning o'ziga xos xususiyati - bu Rossiya Federatsiyasi Prezidenti huzuridagi Davlat Texnik Komissiyasining 2-sinf vositalari uchun Yo'riqnomasi talablariga javob beradigan ruxsatsiz kirishdan himoya qilishning o'rnatilgan vositalari. Kompyuter fanlari. Xavfsizlik vositalariga kirishni majburiy boshqarish, kirishni boshqarish ro'yxati, namuna va ilg'or audit vositalari (hodisalar jurnali) kiradi. WSWS OS statsionar xavfsizlikni yaratish uchun mo'ljallangan avtomatlashtirilgan tizimlar. WSVS ishlab chiqaruvchisi V.I. nomidagi sanoat bo'lmagan sohada boshqaruvni avtomatlashtirishning Butunrossiya ilmiy-tadqiqot instituti. V. V. Solomatina (VNIINS). 2002 yilda RF Qurolli Kuchlariga etkazib berish uchun qabul qilingan.

Fayl tizimi OS WSVS 3.0 rus tilidagi fayl va katalog nomlarini, ramziy havolalarni, kvota tizimini va kirish huquqlari ro'yxatini yaratish qobiliyati bilan 256 belgigacha bo'lgan fayl nomlarini qo'llab-quvvatlaydi. Faylni o'rnatish imkoniyati mavjud FAT tizimlari va NTFS, shuningdek ISO-9660 (CD). Kvota mexanizmi foydalanuvchilarning disk maydonidan foydalanishini, ishga tushirilgan jarayonlar sonini va har bir jarayon uchun ajratilgan xotira hajmini nazorat qilish imkonini beradi. Tizim foydalanuvchi tomonidan so'ralgan resurslar belgilangan kvotaga yaqinlashganda ogohlantirishlar berish uchun sozlanishi mumkin.

WSWS 3.0 OS X oynasiga asoslangan grafik tizimni o'z ichiga oladi. Grafik muhitda ishlash uchun ikkita oyna boshqaruvchisi taqdim etiladi: IceWM va KDE. WSWS OTdagi dasturlarning aksariyati grafik muhitda ishlashga mo'ljallangan bo'lib, bu nafaqat foydalanuvchilarning ishlashi, balki ularning Windows-dan WSWS-ga o'tishi uchun ham qulay shart-sharoitlarni yaratadi.

WSVS 3.0 OT asosiy boshqaruv dasturiga (yadro) qo'shimcha ravishda qo'shimcha dasturiy mahsulotlar to'plamini o'z ichiga olgan konfiguratsiyada etkazib beriladi. OTning o'zi avtomatlashtirilgan ish stantsiyalarini (AWP) tashkil etishda va avtomatlashtirilgan tizimlarni qurishda asosiy element sifatida ishlatiladi. Qo'shimcha dasturiy ta'minot (dasturiy ta'minot) ixtiyoriy ravishda o'rnatilishi mumkin va domenni boshqarish va ma'muriyatini maksimal darajada avtomatlashtirishga qaratilgan bo'lib, bu sizga ish stantsiyalariga xizmat ko'rsatish xarajatlarini kamaytirishga va foydalanuvchilarning maqsadli vazifalarini bajarishga e'tiborni qaratishga imkon beradi. O'rnatish dasturi sizga operatsion tizimni yuklanadigan CD dan yoki tarmoq orqali o'rnatish imkonini beradi FTP protokoli. Odatda, o'rnatish serveri birinchi navbatda disklardan o'rnatiladi va sozlanadi, so'ngra qolgan kompyuterlar tarmoq orqali o'rnatiladi. Ishlayotgan domendagi o'rnatish serveri ish stantsiyalarida dasturiy ta'minotni yangilash va tiklash vazifasini bajaradi. Yangi versiya faqat serverda joylashtirilgan va keyin sodir bo'ladi avtomatik yangilash Ish joyi dasturiy ta'minot. Agar dastur ish stantsiyalarida shikastlangan bo'lsa (masalan, dastur fayli o'chirilganda yoki nazorat summalari bajariladigan yoki konfiguratsiya fayllari), tegishli dasturiy ta'minot avtomatik ravishda qayta o'rnatiladi.

O'rnatish vaqtida administratordan standart o'rnatish turlaridan birini yoki maxsus o'rnatishni tanlash so'raladi. Standart turlar standart ish stantsiyalariga o'rnatilganda ishlatiladi va asosiyni qamrab oladi tipik variantlar OS WSWS 3.0 asosida ish o'rinlarini tashkil etish. Har bir standart turi o'rnatilgan dasturiy mahsulotlar to'plamini, disk konfiguratsiyasini, fayl tizimlari to'plamini va bir qator tizim sozlamalarini belgilaydi. Maxsus o'rnatish sizga individual dasturiy paketlarni tanlashgacha yakuniy tizimning barcha belgilangan xususiyatlarini aniq belgilash imkonini beradi. Agar siz maxsus o'rnatishni tanlasangiz, WSWS 3.0 ni boshqa operatsion tizim o'rnatilgan (masalan, Windows NT) kompyuterga o'rnatishingiz mumkin.

OS WSWS 3.0 o'z ichiga oladi bitta tizim tizim faoliyatining turli jihatlari haqidagi ma'lumotlarga ega hujjatlar (ESD). ESD hujjat serveri va brauzerlar orqali kirish mumkin bo'lgan tavsif matnlarini o'z ichiga olgan ma'lumotlar bazasidan iborat. Qo'shimcha dasturiy ta'minotni o'rnatishda tegishli mos yozuvlar bo'limlari ESD ma'lumotlar bazasiga o'rnatiladi. ESD har bir ish joyida mahalliy sifatida joylashtirilishi mumkin yoki WSWS OS domenida maxsus hujjat serveri ajratilishi mumkin. Oxirgi variant katta WSWS OS domenlarida umumiy disk maydonini tejash, boshqaruv jarayonini soddalashtirish va hujjatlarni yangilash uchun foydalidir. Boshqa ish stantsiyalaridan hujjatlarga kirish OS WSWS 3.0 bilan ta'minlangan veb-brauzer orqali mumkin.

MSVS 3.0 OS ham harf-raqam, ham grafik rejimlarda ruslashtirilgan. Virtual terminallar qo'llab-quvvatlanadi, ular o'rtasida almashish tugmalar birikmasi yordamida amalga oshiriladi.

Tizim yaxlitligi nuqtai nazaridan muhim moment WSWS OS ning yangi foydalanuvchilarini ro'yxatdan o'tkazish operatsiyasi bo'lib, foydalanuvchi atributlari, shu jumladan xavfsizlik atributlari aniqlanganda, unga ko'ra kirishni boshqarish tizimi foydalanuvchi ishini qo'shimcha nazorat qiladi. Mandat modeli uchun asos yangi foydalanuvchini ro'yxatdan o'tkazishda kiritilgan ma'lumotlardir.

Ixtiyoriy kirishni boshqarishni amalga oshirish uchun kirishni boshqarish bitlari va kirishni boshqarish ro'yxatlarining (ACL) an'anaviy Unix mexanizmlari qo'llaniladi. Ikkala mexanizm ham OS WSWS 3.0 fayl tizimi darajasida amalga oshiriladi va fayl tizimi ob'ektlariga kirish huquqlarini o'rnatish uchun xizmat qiladi. Bitlar foydalanuvchilarning uchta toifasi (egasi, guruh, boshqalar) huquqlarini aniqlashga imkon beradi, ammo bu etarli darajada moslashuvchan mexanizm emas va OSning asosiy qismi tomonidan xuddi shunday tarzda ishlatiladigan aksariyat OS fayllari uchun huquqlarni o'rnatishda foydalaniladi. foydalanuvchilar. ACLlar ruxsatlarni darajada o'rnatishga imkon beradi individual foydalanuvchilar va/yoki foydalanuvchilar guruhlari va shu bilan huquqlarni belgilashda muhim tafsilotlarga erishadilar. Ro'yxatlar, masalan, bir nechta aniq foydalanuvchilar uchun turli xil kirish huquqlarini o'rnatishni talab qiladigan fayllar bilan ishlashda ishlatiladi.

Texnik xususiyatlari OS WSWS 3.0:

Parametr	Xarakterli
Axborot xavfsizligi tizimi	o'rnatilgan
Axborot xavfsizligi modeli	Diskretsiya modeli, mandat modeli, namuna modeli
GISning boshqa operatsion tizimlar bilan muvofiqligi	"Omonim-390VS", "Olivia", WSWS 5.0
Yadro	2.4.32 (aslida 2.4.37.9)
Fayl tizimi majburiydir	EXT2, EXT3
Boshqa fayl tizimlarini qo'llab-quvvatlash	FAT16, FAT32, NTFS (ro), ISO9660
Fayl nomi uzunligi	256 belgigacha
Grafik quyi tizimi	X oynasi
Grafik tizim	Xorg-x11-7.3
Turi	mijoz - server
oyna menejeri	Elk, TWM, KDE, IceWM
Grafik qobiq	Elk-1.9.9
Ko'p protsessorli tizimlarni qo'llab-quvvatlash	32 tagacha protsessor
Ram	64 GB
Oʻrnatilgan xizmatlar	DNS, FTP, Telnet, NTP, FTP, TFTP, SFTP, DHCP, RIP, BGP, OSPF, PPP, PPTP
Qo'llab-quvvatlanadigan shinalar	ISA, barcha PCI, SCSI, IDE, SATA, SAS, AGP, USB 2.0
Rivojlanish vositalari quyidagilarni o'z ichiga oladi:
Dasturlash tillari	C/C++, Perl, Python, Shell, Tcl
C/C++ kompilyatori	2.95.4, 3.3.6, 4.1.3
Tizim kutubxonasi	glibc-2.3.6
QT	4.6.3
Nosozliklarni tuzatuvchi	gdbver 6.8
O'rnatish imkoniyatlari	CD-ROM, HDD, tarmoq

OS WSWS 3.0 o'rnatilmoqda

Amaliy darsda WSWS OT ni shaxsiy kompyuter yoki serverga o'rnatish jarayoni ko'rib chiqiladi kompyuter tarmog'i. WSWS 3.0 OSni o'rnatish jarayoni quyidagi bosqichlardan iborat:

1. OS WSWS 3.0 bilan tarqatish to'plamini o'z ichiga olgan saqlash vositasidan shaxsiy kompyuter yoki kompyuter tarmoq serverini yuklash. Yuklash jarayoni tugagandan so'ng, ekranda 1-rasmda ko'rsatilgan rasm ko'rsatiladi. 2.1. Davom etish uchun tugmani bosing<Ввод> ().

2.1-rasm. WSWS 3.0 OS o'rnatish ustasining ishga tushirish ekrani.

1. WSWS OS yadrosini ishga tushirish va apparatni aniqlash amalga oshiriladi, shundan so'ng ekranda 1-rasmda ko'rsatilgan tasvir ko'rsatiladi. 2.2. Davom etish uchun tugmani bosing<Готово>.

2.2-rasm. Topilgan qurilmalar ekrani.

1. Ekranda rasmda ko'rsatilgan "Salomlashish" ko'rsatiladi. 2.3. Davom etish uchun tugmani bosing<Да>.

2.3-rasm. Xush kelibsiz ekran.

1. Kompyuterga ulangan sichqoncha modelini tanlash (2.4-rasm). "Sichqoncha" manipulyatori keyingi ishda ishlatilmasligi sababli siz "Sichqoncha yo'q" bandini tanlashingiz va tugmani bosishingiz kerak.<Да>.

2.4-rasm. Kompyuterga ulangan sichqoncha modelini tanlang.

1. Qattiq diskni qismlarga ajratish WSWS OS ni o'rnatishning eng muhim daqiqalaridan biridir. Qattiq diskni qismlarga ajratish juda murakkab bo'lgani uchun emas, balki uning davomida yo'l qo'yilgan xatolar faqat katta qiyinchilik bilan tuzatilishi mumkin va bu jarayon ma'lumotlar yo'qolishi bilan to'la bo'lishi mumkin.