The design of the UNIX Operating System 139 страница
Обычно, говоря о защищенности Unix, рассматривают защищенность автоматизированных систем, од-ним из компонентов которых является Unix-сервер. Безопасность такой системы увязывается с защитой глобальных и локальных сетей, безопасностью удаленных сервисов типа telnet и rlogin/rsh и аутентифи-кацией в сетевой конфигурации, безопасностью X Window-приложений. Hа системном уровне важно на-личие средств идентификации и аудита.
В Unix существует список именованных пользователей, в соответствии с которым может быть построена система разграничения доступа.
|
|
|
В ОС Unix считается, что информация, нуждающаяся в защите, находится главным образом в файлах.
По отношению к конкретному файлу все пользователи делятся на три категории:
• владелец файла;
• члены группы владельца;
• прочие пользователи.
Для каждой из этих категорий режим доступа определяет права на операции с файлом, а именно:
|
|
|
• право на чтение;
• право на запись;
• право на выполнение (для каталогов - право на поиск).
В итоге девяти (3х3) битов защиты оказывается достаточно, чтобы специфицировать ACL каждого фай-ла.
Аналогичным образом защищены и другие объекты ОС Unix, например семафоры, сегменты разделяе-мой памяти и т. п.
|
|
|
Указанных видов прав достаточно, чтобы определить допустимость любой операции с файлами. Напри-мер, для удаления файла необходимо иметь право на запись в соответствующий каталог. Как уже гово-рилось, права доступа к файлу проверяются только на этапе открытия. При последующих операциях чте-ния и записи проверка не выполняется. В результате, если режим доступа к файлу меняется после того, как файл был открыт , это не сказывается на процессах, уже открывших этот файл. Данное обстоятельство является уязвимым с точки зрения безопасности местом.
|
|
|
Наличие всего трех видов субъектов доступа: владелец, группа, все остальные - затрудняет задание прав "с точностью до пользователя", особенно в случае больших конфигураций. В популярной разновидности Unix - Solaris имеется возможность использовать списки управления доступом (ACL), позволяющие ин-дивидуально устанавливать права доступа отдельных пользователей или групп.
Среди всех пользователей особое положение занимает пользователь root, обладающий максимальными привилегиями. Обычные правила разграничения доступа к нему не применяются - ему доступна вся ин-формация на компьютере.
| Основы операционных систем | 175 |
В Unix имеются инструменты системного аудита - хронологическая запись событий, имеющих отноше-ние к безопасности . К таким событиям обычно относят: обращения программ к отдельным серверам; со-бытия, связанные с входом/выходом в систему и другие. Обычно регистрационные действия выполняют-ся специализированным syslog-демоном, который проводит запись событий в регистрационный журнал в соответствии с текущей конфигурацией. Syslog-демон стартует в процессе загрузки системы.
Таким образом, безопасность ОС Unix может быть доведена до соответствия классу C2. Однако разра-ботка на ее основе автоматизированных систем более высокого класса защищенности может быть со-пряжена с большими трудозатратами.
Windows NT/2000/XP
С момента выхода версии 3.1 осенью 1993 года в Windows NT гарантировалось соответствие уровню безопасности C2. В настоящее время (точнее, в 1999 г.) сертифицирована версия NT 4 с Service Pack 6a с использованием файловой системы NTFS в автономной и сетевой конфигурации . Следует помнить, что этот уровень безопасности не подразумевает защиту информации, передаваемой по сети, и не гарантиру-ет защищенности от физического доступа.
Дата добавления: 2021-01-21; просмотров: 86; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!