15. Схемы разделения дисков

Довольно сложно разбить диск на несколько разделов наилучшим образом, так как на это влияет довольно много факторов.

Обычно используется отдельный раздел или диск для файловой системы root, которая содержит каталоги /bin, /etc, /dev, /lib, /tmp и некоторые другие, требуемые для нормальной загрузки и запуска системы. Таким образом, все, что нужно для запуска системы - это файловая система root.

Для файловой системы /usr, личных каталогов пользователей (обычно каталог /home) и для swap-области используются отдельные диски или их разделы. Разделение каталогов с пользовательскими файлами облегчает создание резервных копий, так как обычно не требуется сохранять рабочие программы (расположенные в каталоге /usr). Также возможно разделение системы /usr между несколькими компьютерами в сети (с использованием NFS) для уменьшения общего используемого дискового пространства.

Для жестких дисков небольшого объема лучше всего использовать один раздел. При использовании большого диска обычно его разбивают на несколько крупных разделов. Если в системе используется несколько дисков, то, возможно, неплохим вариантом будет установить файловую систему root (включая /usr) на один диск, а личные каталоги пользователей - на другой.

26. Защита информации в ОС UNIX. Парольная защита и шифрование.

Поскольку ОС UNIX с самого своего зарождения задумывалась как многопользовательская операционная система, в ней всегда была актуальна проблема авторизации доступа различных пользователей к файлам файловой системы.

Существуют четыре типа стратегий защиты информации:

1. Защитные «заборы» (барьеры).

2. Перемещение информации в другие места хранения (мобильность данных и приложений).

3. Маскировка

4. Уничтожение нападающего.

В системах UNIX реализованы четыре типа защиты информации:

1. Парольная защита.

2. Защита файлов через права доступа.

3. С использованием команды изменения контекста.

4. Шифрование.

Парольная защита обеспечивает аутентификацию (авторизацию) пользователя при входе в систему.

Под авторизацией доступа понимается действия системы, которые допускают или не допускают доступ данного пользователя к данному файлу в зависимости от прав доступа пользователя и ограничений доступа, установленных для файла.

Схема авторизации доступа, примененная в ОС UNIX, настолько проста и удобна и одновременно настолько мощна, что стала фактическим стандартом современных операционных систем (не претендующих на качества систем с многоуровневой защитой).

Аутентификация (авторизация) пользователя предполагает наличие идентификации и протокола идентификации.

Идентификатор пользователя UID (User ID) имеет символическое или числовое значение и однозначно определяет пользователя системы.

Кроме того, каждый пользователь принадлежит к некоторой группе и имеет GID (Group ID).

Внутри системы используются числовые идентификаторы, за пределами системы – символические.

Связь между числовыми и символическими идентификаторами пользователей и групп устанавливается с помощью таблицы соответствия, которая хранится в файлах /etc/passwd и /etc/group.

/etc/passwd – файл паролей. Данный файл разрешен для чтения всем пользователем системы и на запись только пользователю root. Файл паролей содержит идентификатор пользователя, свертку пароля, UID, GID, рабочий каталог пользователя, Shell (/bin/bash).

bill:5fg63fhD3d5g:9406:12:Bill Spencer:/home/fsg/will:/bin/bash

Каждому пользователю разрешается сменить свой пароль. Смена пароля производится с помощью программы /bin/passwd [UID].

Идентификатор группы используется по умолчанию при входе.

В открытом виде пароли пользователей в системах UNIX не хранятся. Вместо этого используется свертка пароля. Свертка пароля получается путем применения однонаправленной функции шифрования к паролю пользователя. Данная функция относится к классу криптографических функций и выполняет шифрование по одному из заданных алгоритмов шифрования (например, MD5). На выходе 128 бит. В качестве ключа используется пароль пользователя

Однонаправленная функция осуществляет последовательности входных байтов в выходное слово фиксированной длины. Обратное преобразование не возможно. Кроме того, функция обладает свойством отсутствия коллизий (т.е. двум разным паролям соответствует одна и так же свертка). Например, для y=f(x) не существует функции x=f^-(x), где x – свертка (хеш-функцией).

Вероятность коллизии для алгоритма MD5 = 2^-128.

Аутентификация пользователя выполняется с помощью программы Login, которая запускается при обнаружении нового терминала в системе getty-login.

Программа Login запрашивает идентификатор пользователя и пароль. Введенный пароль подвергается преобразованию однонаправленной функцией. Затем в файле /etc/passwd ищется строка с идентификатором пользователя, и сравниваются свертки паролей.

В современных системах UNIX программа Login не выполняет самостоятельное сравнение паролей, а использует специальную программу Shadow. Данная программа работает со своим собственным файлом сверток паролей. В этом случае в файле /etc/passwd вместо сверки пароля записываются *, подразумевая, что для сравнения паролей используется специальная программа Shadow.

Основное преимущество использования «теневых паролей» заключается в том, что файл /etc/shadow закрыт для чтения для всех пользователей системы, кроме root. Таким образом, удается скрыть свертки паролей, которые доступны пользователям при хранении их в файле /etc/passwd.

user_01:x:169:10:Student:/home/user_01:/bin/sh

Пользователь может менять собственный пароль.

В файл /etc/passwd запрещена запись всем, кроме суперпользователя (суперпользователь может писать в любой файл).

Пользователь может поменять свой пароль с помощью программы /bin/passwd.

Однако пользователь не может сделать это даже с помощью этой программы, поскольку запись в файл /etc/passwd запрещена. В системе UNIX эта проблема разрешается следующим образом.

С каждым процессом в системе UNIX связаны UID и GID. При выполняемом файле может быть указано, что при его запуске должны устанавливаться идентификаторы пользователя и/или группы. Если пользователь запрашивает выполнение такой программы (с помощью системного вызова exec), то для соответствующего процесса устанавливаются идентификатор пользователя, соответствующий идентификатору владельца выполняемого файла. В частности, при запуске программы /bin/passwd процесс получит идентификатор суперпользователя, и программа сможет произвести запись в файл /etc/passwd.

Для просмотра базы данных учетных записей системы предназначена команда logins. Команда logins выдает информацию о пользовательских и системных регистрационных именах. (данная команда в Linux системах отсутствует).

Для получения списка пользователей, работающих сейчас в системе, используется команда who со следующим синтаксисом:

/usr/bin/who [ -abdHlmpqrstTu ] [ файл ]

Утилита who выдает имя пользователя, терминал, время регистрации, время, прошедшее после последней выполненной команды, а также идентификатор процесса командного интерпретатора.

Подбор пароля через систему блокируется введением временных задержек. Например, после трех неверных попыток ввода пароля, следующая возможность дается только через несколько минут.

Однако, следует отметить, что парольная защита работает только, если пароль составлен правильно. Существуют программы и средства обеспечения криптографической стойкости пароля.

Пароль должен меняться периодически. Пароли действительны в течение ограниченных периодов времени (определяемых системным администратором), после чего их необходимо изменить. Поэтому необходимо хранить информацию о периоде активности для каждого пароля. Когда приближается дата истечения срока действия пароля, его владельцу предлагается выбрать новый пароль в течение определенного количества ближайших дней.