23. Механизмы идентификации и аутентификации, разграничение прав в ос Linux

Механизмы идентификации и аутентификации

Раньше:

программа login для доступа в систему;

пароль хранится в файле, к которому можно получить доступ;

у каждого приложения – свои механизмы

Сейчас:

Стандартный механизм обеспечения безопасности в Linux-системах:

Pluggable Authentication Modules 

(PAM, подключаемые модули аутентификации) 

Разграничение прав в Linux

Наличие привилегированных и неприви-легированных пользователей

• root (суперпользователь);

• user (обычный пользователь)

Разграничение доступа к каталогам, файлам и процессам

Права назначаются пользователям, группам пользователей, всем остальным пользователям

24. Атрибуты файлов в ос Linux

Возможные действия над файлом:

r (read) – просмотр или чтение файла;

w (write) – запись или изменение файла;

x (execution) – исполнение файла

Права устанавливаются отдельно для:

владельца файла;

группы-владельца файла;

всех остальных

Тип файла; права доступа владельца, группы-владельца, всех остальных; владелец файла; группа-владелец файла

Дополнительные флаги (атрибуты) для файлов:

• -a – Append (дополнение) – разрешается дополнять, нельзя изменять;

• -i – Immutable (неизменный) – запрещаются любые изменения;

• -d – No Dump (не создавать backup) – игнорируются попытки создания backup;

• -s – Secure Deletion (безопасное удаление) – при удалении – перезапись блоков диска нулями

И другие…

25. PAM-аутентификация

PAM – набор подключаемых модулей

У каждого модуля – свой механизм аутентификации

Плюсы:

единый механизм аутентификации для всех приложений ;

позволяет создать свой сценарий аутентификации;

поддерживается в AIX, DragonFly BSD, FreeBSD, HP-UX, GNU/Linux, Mac OS X, NetBSD и Solaris

Минусы:

PAM не хватает для реализации Kerberos

Kerebros сетевой протокол аутентификации, позволяющий передавать данные через незащищённые сети для безопасной идентификации. Он ориентирован в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию — оба пользователя через сервер подтверждают личности друг друга. 

Типы модулей PAM

Модуль аутентификации - аутентификация или создание и удаление учетных данных;

Модуль управления учетными записями - контроль доступа, истечения учетных данных или записей, правил и ограничений для паролей и т. д.;

Модуль управления сеансами - создание и завершение сеансов;

Модуль управления паролями - операции, связанные с изменением и обновлением пароля

Порядок полей в конфигурационном файле:

имя службы, имя подсистемы, управляющий флаг, имя модуля и параметры модуля

26. Регистрация событий в ос Linux

Регистрация событий в Linux:

на локальной машине и удаленно;

настраиваемые уровни регистрации событий;

настраиваемые файлы для хранения логов;

обеспечивается демоном syslogd (или rsyslogd);

все события собираются из сокета /dev/log, порта UDP - 514, а так же от "помощника" - демона klogd

Конфигурационный файл /etc/syslog.conf (или /etc/rsyslog.conf):

• главный конфигурационный файл для демона syslogd;

• содержит набор правил, которые в зависимости от источника события и приоритета данного источника определяют действия демона

Источники событий и приоритеты

Источники событий			Уровни приоритетов
0 - kern	9 - cron		0 - emergency
1 - user	10 - authpriv		1 - alert
2 - mail	11 - ftp		2 - critical
3 - daemon	12 - NTP		3 - error
4 - auth	13 - log audit		4 - warning
5 - syslog	15 - clock daemon		5 - notice
6 - lpr	с 16 по 23   local0 - local7		6 - info
7 - news (не используется)	mark (не имеющая цифрового эквивалента)		7 - debug
8 - uucp

Действием может быть:

• запись в обычный файл;

• использовать именованный канал (fifo) в качестве приемника сообщений;

• пересылать сообщения на терминал и консоль;

• пересылать сообщения на другие машины;

• пересылать сообщения определенным или всем пользователям

• Для журналирования событий ядра – отдельный демон klogd;

• Команда logrotate (демон cron) создает резервные копии журналов и новые чистые файлы журналов, кофигурируется файлом /etc/logrotate.conf;

• записи в журналах обычно содержат метку времени, имя хоста, на котором выполняется описываемый процесс, и имя процесса