- •Кафедра автоматизації і комп’ютерних систем
- •Классификация архитектурных типов процессоров.
- •Традиционно машинный уровень.
- •Команды обращения к процедурам
- •Процедуры
- •Управление циклами
- •Представление данных
- •Управление процессами
- •Типы адресации
- •Поиск и сортировка
- •Сортировка данных
- •Межпроцессорное взаимодействие.
- •Критические области.
- •Методы синхронизации с пассивным ожиданием.
- •Решение задачи производительности потребителя с помощью мониторов.
- •Разработка систем с помощью передачи сообщений.
- •Классические проблемы межпроцессорного взаимодействия.
- •Планировщик процессов
- •Планирования в системах реального времени.
- •Организация виртуальной памяти.
- •Стратегии замещения страниц.
- •Алгоритм «2-я попытка»
- •Алгоритм «часы»
- •Алгоритм nfu (редко используемая страница)
- •Методы ускорения работы со страницами
- •Способы ассемблирования
- •Связывание программ
- •Структура объектного модуля
- •Атака системы безопасности
- •Принципы проектирования систем безопасности.
- •Аутентификация пользователей
- •Механизм защиты
- •Технические механизмы защиты
- •Защита информации при передаче
- •Основные понятия криптографии:
- •Криптографический протокол
- •Гибридные криптосистемы
- •Цифровая подпись
- •Сертификаты
- •Алгоритм des
- •Принципы аутентификации управления доступом
- •Аутентификация с использованием односторонних функций
- •Аутентификация по принципу "запрос-ответ"
- •Аутентификация управления доступом в Unix
- •Супер-пользователь Root
- •Теневые пароли
- •Поддержка возможностей в Linux.
- •Аутентификация.
- •Идентификаторы безопасности.
- •Одалживание прав.
- •Управление доступом Windows xp.
- •Аудит. Общие принципы.
- •Локальная безопасность.
- •Сетевая безопасность
Аутентификация управления доступом в Unix
Каждому пользователю Unix ставят учетную запись, которая характеризуется именем пользователя и идентификатором (они должны быть уникальны в пределах всей системы).
С учетной записью пользователя связан его домашний каталог, куда он по умолчанию записывает файлы.
При входе пользователь автоматически переходит в свой каталог. Пользователи объединены в группы, каждая из которых имеет имя и идентификатор. Процессы, запускаемые пользователями, в общем случае обладают правами того же пользователя.
Для доступа к идентификатору пользователя, равно как и к группе, предусмотрены специальные системные вызовы.
Супер-пользователь Root
Root обладает нулевым идентификатором и может выполнять в системе любые действия без ораничений. Существование единого супер-пользователя в системе Unix считается основной слабостью в системе безопасности Unix. Кроме того, существует рад процессов, которые, будучи запущены под супер-пользователем могут нанести вред системе, т.к. изначально были расчитаны на простого пользователя и на увеличение возможности области защиты ОС.
Для стандартной аутентификации в Unix исполузуется метод односторонней ф-ции с добавлением соли. При этом шифровались нулевая строка, в качестве ключа использовался пароль с солью.
Сейчас используется MD2. При входе пользователя в систему утилита getty инициализирует терминал который выдает запрос на логин и пароль. После чего проводит аутентификацию и начинает сессию пользователя.
Информация о пользователях Unix сохраняется по адресу: /etc/passwd, который является БД учетных записей. Каждый пользователь имеет строку в этом файле следующего формата:
<Имя пользователя> : <шифр пароль: идентификатор пользователя> : <идентификатор группы> : <дополнительные ведомости о пользователе> : <путь к домашнему каталогу> : <командный интерпретатор запущенный для пользователя>
Информация о группах хранится в файле group по адресу: /etc/group. Строка в файле имеет следующий формат: имя группы: пароль группы: идентификатор группы: Список имен всех пользователей которые входят в группу (через ,) Для доступа приложений к файлу паролей существуют специальные POSIX функции.
Теневые пароли
В традиционных Unix системах злоумышленник мог свободно осуществлять словарную атаку на файл passwd. Поэтому к данному файлу был запрещен доступ для всех пользователей кроме root. В результате большие программы, которым необходимо получить доступ к файлу необходимо запускать с правами root. Поэтому в современных ОС используется технология теневых паролей. При этом информацию о паролях перенесли в отдельный теневой файл, который находится в папке /etc/shadow. Доступ к нему имеет только root. Недостатки такого подхода: если необходимость использования подключаемых модулей аутентификации, которые согласовывают работу старых и новых Unix-приложений о плане аутентификации (без этого модуля необходимо было бы перекомпилировать старые приложения).
Управление доступом под Unix. Имеет несколько основных принципов:
1. Все файлы и каталоги имеют собственника, пренадлежащего определенной группе и права доступа.
2. Выделяются три категории прав доступа:
- чтение (кроме особых файлов );
- запись;
- выполнение;
3. Для каталогов есть тот же набор прав, что и для файлов, но они отличаются по содержимому:
а) право чтения для каталога – возможность получения списка имен файлов в этом каталоге;
б) право записи в каталог означает право создания и удаления файлов каталогов причем для удаления файла прав на него можно и не иметь , т.к. достаточно иметь право на каталог.
в) право исполнения значит возможность поиска в каталоге. Последнее право может быть ограничено для того, чтобы посторонний не мог случайно найти файл каталога. Кроме того, ограничение последнего права запрещает постороннему просматривать содержимое файла.
4. Права каждой категории задают отдельно для владельца файла, для пользователей его группы и для всех остальных.
Всего 9 базовых комбинаций.
Для работ с правом доступа под доступа под Unix сущ. Соответствующие функции библиотеки POSIX. Недостатки схемы управления доступом в Unix:
1. Ограничение длины списка контроля доступа до 3-х элементов, поэтому невозможно дать конкретному пользователю права доступа к файлу без того чтобы взять его в свою группу либо выделиться с ним в отдельную группу. Это невозможно сделать без прав администратора. В системах Linux это ограничение снято.