- •1.Основные св-в безопасной ос. Основные принципы построения безопасных ос.
- •2.Стандарты иб в обл. Ос. Оценка и сертификация ос по треб-ям без-ти инф-ции
- •4 Уровня контроля отсутствия ндв:
- •3. Упр-е доступом в ос. Дискрец. Упр-е дост. Особ-ти реал-ции в ос unix и Linux
- •4.Упр-е дост. В ос. Принудит. Упр-е дост. Особ-ти реализации в ос unix и Linux.
- •5. Суб. И объекты доступа в ос. Атр. Без-ти файла в ос Linux. Хранение атр. Без-ти.
- •6. Суб. И об. Доступа в ос. Атр. Без-ти процесса. Хранение атр.В без-ти. Жиз. Цикл процесса. Сост-я процесса. Вып-е процесса в режиме ядра и в режиме польз-ля.
- •7. Субъекты и объекты доступа в ос. Взаимод-е процессов в ос Linux. Механизм сигналов. Реакция на получение сигнала. Игнорир-е и перехват сигналов.
- •9. Упр-е дост. Польз-лей к файлам в ос Linux. Права доступа к файлам и кат-гам в ос Linux. Кодир-е прав доступа. Влия-е прав доступа на вып-е операций над ф и к.
- •10. Упр-е доступом польз-лей к файлам в ос Linux. Назначение прав доступа к файлам и каталогам при создании файла. Маска доступа. Изменение прав доступа.
- •11.Упр-е доступом к файлам в linux. Списки прав доступа acl: формат, хранение, создание, удаление, права по умолчанию для каталогов.
- •12. Упр-е польз-лями в ос Linux. Хар-и бюджета польз-ля. Формат файла /etc/passwd.
- •13. Идт-я, аут. И авт. Польз-ля. Вход польз. В сист. Вып-е команд от им. Др. Польз
- •14.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удаление бюджета польз-ля
- •15.Упр-е польз. В ос Linux. Гр. Польз. Перв. Гр., pug. Формат файла /etc/group.
- •16.Упр-е польз-лями в ос Linux. Создание, модиф-ция, удал-е группы польз-лей.
- •17. Упр-е польз-ми в ос Linux. Хар-ки пароля польз-ля. Формат файла /etc/shadow
- •18. Упр-е польз-лями в ос Linux.
- •19. Упр-е дисковыми разделами, фс и простр-вом свопинга.
- •20. Упр-е дисковыми разделами, фс и пространством свопинга. Дисковые фс. Типы фс. Формат фс unix. Создание фс. Монтир-еФс.
- •21. Упр-е дисковыми разделами, фс и простр-вом свопинга. Создание и форматир-е раздела свопинга. Подключение и отключение раздела свопинга.
- •22.Упр-е по, входящим в состав ос. Без-ть при установке, обновлении и удалении по. Основные возм-ти системы упр-я пакетами rpm.
- •23.Упр-е по ос. Пакет rpm. Зависимости пакетов. Состав пакета (файлы, метаданные, скрипты). Бинарные и src-пакеты. Назначение spec-файла.
- •24.Упр-е по ос. Верификация установл. Пакета. Восстановление прав доступа файлов по бд пакетов. Восстановление владельца и группы файлов по бд пакетов.
- •25. Упр-е по ос. Обесп-е без-ти при уст-е и обнов-ии по ос. Подпись пакетов rpm.
- •26. Упр-е сервисами
- •27. Упр-е системными и сетевыми сервисами. Упр-е service-юнитами. Разрешенные и запрещённые сервисы. Запуск, останов и перезагрузка сервиса.
- •28. Упр-е системными и сетевыми сервисами. Упр-е target-юнитами, target-юнит по умолчанию.
- •29.Упр-е системными и сетевыми сервисами. Выгрузка системы, перезагрузка, приостановка и остановка системы.
- •30.Система принудит. Упр-я доступом seLinux. Режимы работы. Формат файла /etc/selinux/config. Получение инф-ции о режиме работы. Изменение режима работы.
- •31. Сист. Принуд. Упр-я дост. SeLinux. Об и суб дост. Назн-е и формат контекста без.
Разрешенные сервисы – сервисы, которые будут запускаться при загрузке.
systemctllist-unit-files --typeservice – отображает все сервисы и проверяет, какие из них активированы
28. Упр-е системными и сетевыми сервисами. Упр-е target-юнитами, target-юнит по умолчанию.
.target – группа юнитов systemd
Юниты целей исп-ся для связывания и группировки других юнитов с целью описания соответствующего состояния системы. Некоторые из этих юнитов м.б. юнитами служб. Др. юниты м.б. дополнительными юнитами целей со своими собственными группами юнитов. Юниты целей позволяют группировать другие юниты не только на основе содержимого соответствующих файлов юнитов. Файл юнита цели может использовать директорию .wants для размещения ссылок на юниты, которые должны запускаться вместе с юнитом цели.
Показать юнит по умолчанию: systemctl get-default
Показать активные юниты: systemctl list-units --type target
Показать все загруженные юниты: systemctl list-units --type target –all
Изменить юнит по умолчанию: systemctl set-default name.target
Включить все сервисы из name.target и выключить все остальные включенные сервисы: systemctl isolate name.target
Узнать статус (запущен/остановлен): systemctl status my-name.target
Запуск сервиса или target: systemctl start my-name.target
Остановка сервиса или target: systemctl stop my-name.target
29.Упр-е системными и сетевыми сервисами. Выгрузка системы, перезагрузка, приостановка и остановка системы.
Упр-е системными и сетевыми сервисами.
Systemd – системный менеджер инициализации демонов в linux. За счет распараллеливания запуска служб systemd позволяет ускорить загрузку ОС, а также обладает удобным функционалом. Systemd оперирует специально оформленными файлами конфигурации - юнитами(unit). Каждый юнит отвечает за отдельно взятую службу, точку монтирования, подключаемое устройство, файл подкачки, виртуальную машину и т.д.
Сущ-ют специальные типы юнитов, которые не несут функциональной нагрузки, но позволяют задействовать доп. возм-ти systemd. К ним относятся юниты типа target, slice, automount и др. systemd поддерживает следующие типы юнитов:
.target - позволяет группировать юниты, воплощая концепцию уровней запуска (runlevel)
.service - отвечает за запуск сервисов (служб), также поддерживает вызов интерпретаторов для исполнения пользовательских скриптов
.mount - отвечает за монтирование файловых систем и т.д.
Юниты разложены в трех каталогах:
/usr/lib/systemd/system/ – юниты из установленных пакетов RPM
/run/systemd/system/ – юниты, созданные в рантайме
/etc/systemd/system/ – юниты, созданные системным администратором
Systemctl - главная команда для отслеживания и контроля состояния systemd.
Основные команды system ($ …):
systemctl status – инф-ция о состоянии всех юнитов
systemctl –type=service – инф-ция о состоянии всех юнитов
systemctl status имя.тип – инф-ция о состоянии сервиса (напр, $ systemctl status auditd.service)
инф-ция о состоянии сервиса (другим способом): systemctl is-active auditd.service systemctl is-enabled auditd.service
инф-ция о зависимостях сервисов друг от друга: systemctl list-dependencies --after auditd.service systemctl list-dependencies --before auditd.service
Команда shutdown исп-ся для завершения сеанса польз-ля, перезагрузки компьютера, перевода его в спящий режим или выключения питания. При наличии соответствующих разрешений, команда может выполняться для удаленной системы.
Пример: shutdown -s -t 10 – выключение компьютера через десять секунд .
Упр-е работой системы и питанием компьютера. Выгрузка системы, перезагрузка, приостановка и остановка системы.
выключение системы (выгрузить систему и отключить питание компьютера): # systemctl poweroff
остановить систему (выгрузить систему без отключения питания компьютера): # systemctl halt
Перезагрузка системы: # systemctl reboot (в лабе было: systemctl --no-wall reboot)*
Приостановление работы системы: # systemctl suspend
30.Система принудит. Упр-я доступом seLinux. Режимы работы. Формат файла /etc/selinux/config. Получение инф-ции о режиме работы. Изменение режима работы.
SELinux (Security Enhanced Linux) – система мандатного контроля доступа, встроенная в ядро. Является дополнительным уровнем без-ти к стандартной в системах GNU/Linux дискреционной модели упр-я доступом (user/group/other). Основная цель – защитить пользовательские данные от системных процессов, которые м.б. скомпрометированы.
SELinux включает в себя систему правил без-ти, которые определяют, какой процесс имеет доступ к каким файлам, каталогам, портам. Каждый файл, процесс, каталог, порт в SELinux имеет спец. атрибут, который называется контекстом без-ти. Он исп-ся в политике SELinux, чтобы разграничивать доступ. По умолчанию (если в политике нет разрешающего правила) – доступ запрещен.
Структура контекста: user : role : type : sensitivity
Режимы работы SELinux.
Enforcing. Режим по умолчанию. При выборе этого режима все действия, которые каким-то образом нарушают текущую политику без-ти, будут блокироваться, а попытка нарушения будет зафиксирована в журнале.
Permissive. В случае исп-я этого режима, инф-ция о всех действиях, которые нарушают текущую политику без-ти, будут зафиксированы в журнале, но сами действия не будут заблокированы.
Disabled. Полное отключение системы SELinux.
Помимо режима работы к основным настройкам SELinux относится также параметр SELINUXTYPE, указывающий какую политику без-ти необходимо использовать. Был создан ряд стандартных политик без-ти для системы мандатного контроля доступа (targeted, strict, mls)
По умолчанию SELinux использует целевую (targeted) политику без-ти, направленную на защиту от потенциально компрометируемых злоумышленниками системных процессов.
Режим работы и тип политики системы SELinux описаны в файле /etc/selinux/config. Содержимое файла включает в себя две переменные:
SELINUX=(enforcing/permissive/disabled) // режим работы
SELINUXTYPE=(targeted/mls) // типа политики
Команда
Что возвращает
getenforce
Enforcing/Permissive/Disabled
Sestatus
Статус SELinux и используемой политики:
SELinux status:
enabled
SELinuxfs mount:
/selinux
Current mode:
enforcing
Mode from config file:
enforcing
Policy version:
23
Policy from config file:
targeted
Способы изменения режима работы:
Сконфигурировать файл /etc/selinux/config, указать явно значение режима работы в переменной SELINUX, перезагрузить систему.
Использовать команду: setenforce [ Enforcing | Permissive | 1 | 0 ], которая переключает между режимами.
Отредактировать строку загрузки ядра.