Тестирование / tsure052

последовательных копий данного файла журнала и их последовательного обновления регулярно исполняющимся сценарием.

Файл журнала lastlog создан для простого доступа ко времени последнего доступа пользователя в систему. Для регистрации детальной истории всех подключений к системе UNIX существует файл журнала wtmp.

Файлы /var/adm/wtmp или /etc/wtmp хранят список всех подключений к системе и времен выхода из нее для всех пользователей. Файл wtmp пополняется при каждом подключении или отключении пользователя от системы и может достигать значительных размеров, если не принимать специальных мер по "урезанию" этих размеров. ОС семейства UNIX отслеживают подключенных к системе в данный момент пользователей и хранят их список в файле журнала /etc/utmp. Этот файл хранится в двоичном виде и содержит записи для всех активных линий терминального типа tty.

Многие системные команды UNIX используют данные из файлов utmp и wtmp в своей работе. К числу этих команд относятся, например, who, whodo, w, users, finger, last. Записи в файлах utmp и wtmp содержат имя терминального устройства, использованного для подключения пользователя; пользовательское имя; имя сервера, с которого было произведено подключение, если оно было сделано через сеть; время подключения к системе.

Некоторые ОС семейства UNIX используют расширенный формат хранения записей о подключении пользователей к системе в специализированных файлах wtmpx.

Права доступа к файлу журнала /etc/utmp во многих реализациях UNIX дают возможность записи любому пользователю системы. Это позволяет различным прикладным программам, организующим виртуальные терминалы, без использования привилегированных полномочий "показывать" пользователя подключенным к каждому виртуальному терминалу.

К сожалению, установленное право на запись для файла utmp позволяет любому пользователю редактировать содержимое файла. Факт подключения к системе какоголибо пользователя может быть скрыт или сфальсифицирован при изменении злоумышленником записи о входе в систему.

Если в системе установлен режим доступа для записи всем категориям пользователей, файлу журнала /etc/utmp следует изменить права доступа так, чтобы отменить право доступа по записи для невладельцев файла.

72

Когда пользователь пользуется командой su для изменения своего действительного и эффективного идентификаторов, запускается новый процесс с новыми пользовательскими идентификаторами, позволяющими получить все права доступа к ресурсам необходимого пользователя. Однако при этом su не изменяет запись в журналах utmp и wtmp. Утилиты, определяющие имя работающего пользователя согласно файлам журналов utmp и wtmp, не будут правильно функционировать в данном случае.

ОС UNIX имеет стандартные средства регистрации выполняемых пользователем команд. Эту подсистему часто называют Process accounting и обычно применяют для определения процессорного времени, использованного приложениями пользователя.

Данные о выполняемых пользователями командах сохраняются в файлах

/var/adm/acct в BSD или /var/adm/pacct в System V и выводятся командой lastcomm или acctcom соответственно. Для активизации данных подсистем учета обычно необходимо воспользоваться командами accton в Berkeley UNIX или /usr/lib/acct/startup в System V.

1.4. БЕЗОПАСНОСТЬ СЕТЕВОЙ ОПЕРАЦИОННОЙ СИСТЕМЫ

IBM OS/2 WARP SERVER

1.4.1. ОБЩИЕ ПРИНЦИПЫ

OS/2 Warp Server версии 4 - это универсальная сетевая серверная операционная система фирмы IBM. Дополняя клиентские сетевые операционные системы OS/2 Warp Connect и OS/2 Warp 4, OS/2 Warp Server объединяет в себе возможности OS/2 Warp и LAN Server 4.0, ранее выпускавшихся как отдельные продукты, а также содержит ряд функциональных усовершенствовании в управлении системой, резервном копировании и восстановлении. организации удаленного доступа, функциях печати и других подсистемах.

Фирма IВМ поставляет 2 различные версии OS/2 Warp Server:

•OS/2 Warp Server Entry - начальная версия, рассчитанная на работу до 120 пользователей на сервер.

•OS/2 Warp Server Advanced - расширенная версия, рассчитанная на работу до 1000 пользователей на сервер, включающая дополнительно средства поддержки отказоустойчивости и 32-разрядной файловой системы HPFS386.

Организация сетей на базе Warp Server основывается на концепции домена. Под

73

доменом понимается поименованная группа рабочих станций с установленным Warp Server, связанных между собой и предоставляющих свои ресурсы для коллективного использования. Регистрация пользователя выполняется не на каждой рабочей станции в отдельности, а в домене в целом, после чего пользователь получает доступ к ресурсам, находящимся на любом из серверов домена. Для доступа к ресурсу достаточно знать только его символическое имя, называемое синонимом, которое присваивается ресурсу администратором домена. Таким образом, домен представляется пользователю Warp Server как единое целое, состоящее из набора сетевых ресурсов.

Доменная организация Warp Server имеет следующие ограничения:

•администратор может управлять ресурсами только одного домена в любой момент времени;

•клиент может получить доступ к ресурсам только одного домена;

•в домене может быть определено не более 255 групп пользователей;

•домен может состоять не более чем из 128 серверов.

Данные ограничения можно обойти и выйти за пределы одного домена с помощью механизма внешних ресурсов Это дает возможность работать с ресурсами домена, отличного от того, в котором была выполнена регистрация. Для этого необходимо в другом домене создать пользователя с точно таким же именем и паролем, и дать ему соответствующие права доступа к ресурсам. После этого таким ресурсам можно присвоить синонимы, называемыми кросс-доменными, и работать с ними как с ресурсами текущего домена.

Рабочая станция в домене Warp Server может играть одну из следующих ролей:

•Основной контроллер домена - PDC (Primaiy Domain Controller). Сервер,

координирующий связь между клиентами и серверами. Содержит описания сетевых ресурсов домена в базе данных управления доменом DCDB (domain control database) и основную копию файла описания пользователей и групп (NET.ACC). Должен быть единственным в домене.

•Резервный контроллер домена - BDC (Backup Domain Controller) Сервер,

содержащий резервную копию DCDB. которая тиражируется с основного контроллера домена. Может выполнять функции контроллера домена при перегрузке или аварии основного контроллера.

•Дополнительный сервер (Additional Server). Предоставляет свои ресурсы для

74

коллективного использования, не выполняет дополнительных функций.

•Реквестор (Requestor) Клиентская рабочая станция, с которой пользователи могут получить доступ к ресурсам домена.

Система безопасности OS/2 Warp Server функционирует на двух различных, но взаимосвязанных уровнях:

•Проверка пользователя. Идентификаторы и пароли пользователей создаются и помещаются и базу данных бюджетов пользователей. При регистрации пользователя в домене его имя и пароль проверяются на соответствие содержимому базы (аутентификация).

•Контроль доступа. На всех серверах домена для каждого из разделяемых ресурсов создаются списки управления доступом, содержащие сведения о правах пользователей. При обращении пользователя к разделяемому ресурсу выполняется проверка прав доступа

1.4.2. АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ

Warp Server относится к числу операционных систем, в которых защита ресурсов реализована на уровне пользователей. Перед тем, как подключиться к любому из серверов домена, выполняется аутентификация пользователя, т.е. проверка и подтверждение его имени и пароля. Поэтому ключевым элементом системы безопасности является база данных бюджетов пользователей. Она хранится в отдельном файле с именем NET.ACC и содержит определения всех пользователей и групп (бюджетов) для домена Warp Server. Главная копия NET.ACC находится на сервере, выполняющем функцию основного контроллера домена, и информация о пользователях и группах из нее тиражируется на все дополнительные серверы и резервные контроллеры домена. Файл NET.ACC включает три основные секции:

•Данные заголовка. Содержат общие параметры настройки безопасности сервера, большинство из которых можно посмотреть командой NET ACCOUNTS. Данные, представленные в этой секции, содержат также информацию о целостности файла NET.ACC, счетчик обновлений файла на контроллере домена и дополнительных серверах, необходимый для синхронизации NET.ACC, минимальную длину пароля, имя данного сервера и его роль (контроллер домена или дополнительный сервер). Часть информации данной секции, не специфичная для каждого из серверов, тиражируется с основного контроллера домена на другие серверы домена.

75

•Определения бюджетов пользователей и групп. Содержат список групп, список идентификаторов. имен и зашифрованных паролей пользователей домена, а также данные о составе групп и значения различных счетчиков для статистики. Данная секция полностью тиражируется с основного контроллера на другие серверы домена.

•Профили управления доступом - АСР (Access Control Profiles). Управляют доступом к ресурсам данного сервера, кроме каталогов и файлов дисковых разделов

сфайловой системой HPFS386 (например, последовательные устройства, принтеры, именованные каналы и каталоги разделов с файловой системой FAT). Каждый профиль состоит из имени ресурса, списка пользователей/групп и их прав доступа к этому ресурсу. Данная информация специфична для каждого сервера и поэтому не тиражируется на другие серверы домена. Профили для каталогов и файлов разделов

сфайловой системой HPFS386 хранятся вместе с ними, т. е. как часть этой файловой

системы. NET.ACC может содержать до 8192 АСР.

Функция поддержания идентичности данных о пользователях и группах на всех серверах домена возложена на сетевой сервис NETLOGON, запускаемый на контроллере домена, который отслеживает изменения в определении пользователей/групп домена и оповещает дополнительные сервера об изменениях в NET.ACC контроллера домена. После этого дополнительные серверы выдают запросы контроллеру домена на обновление их собственных NET.ACC. Все серверы домена по отношению к домену являются пользователями и принадлежат группе, называемой SERVERS, в которой каждый сервер имеет свой уникальный идентификатор и пароль. Пароль сервера передается при его аутентификации контроллером домена, благодаря чему только серверы данного домена могут получить доступ к файлу NET.ACC. Синхронизация файла NET.ACCна всех серверах домена важна для поддержания целостности системы безопасности домена Warp Server, так как при регистрации пользователя в домене проверяется содержимое файла NET.ACC контроллера домена. В ходе дальнейшей работы пользователя при каждой попытке доступа к любому из сетевых ресурсов домена проверяется содержимое файла NET.ACC того сервера, на котором находится требуемый ресурс. Так как NET.ACC уникален для каждого домена, кроссдоменные операции требуют дополнительного администрирования для обеспечения доступа пользователей к ресурсам вне домена, в котором они зарегистрировались. Для этого необходимо создать пользователей с одинаковыми именами и паролями в доменах, к

76

ресурсам которых требуется доступ данным пользователям.

Перед тем, как получить возможность работы с ресурсами домена, пользователь Warp Server должен пройти регистрацию в домене. Регистрация подразумевает аутентификацию пользователя, т.е. проверку имени и пароля пользователя, введенных с помощью реквестора, и, в случае успеха, предоставление доступа к некоторым ресурсам домена, т. е. выполнение назначения ресурсов. Она заключается в обмене данными между реквестором пользователя и контроллером домена и проходит в несколько этапов:

1.Реквестор и контроллер домена устанавливают соединение по протоколу NetBIOS, обменявшись кадрами инициирования соединения и подтверждения установки соединения. Затем реквестор посылает команду Negotiate по протоколу SMB (Server Message Block). В этой команде реквестор запрашивает у сервера версию протокола SMB, которую тот поддерживает. Данный протокол используется для взаимодействия клиентов и файл-серверов и бывает нескольких версий.

2.Контроллер домена, осуществляющий регистрацию, отвечает клиенту выбором версии SMB, которая обеспечивает наивысший режим безопасности, например, версия LANMAN 2.1. Контроллер домена также посылает реквестору сгенерированнный случайным образом ключ шифрации.

3.Программа регистрации пользователя на реквесторе шифрует пароль, введенный пользователем. Результат должен совпасть с хранящимся в NET.ACC.

4.Программа регистрации пользователя на реквесторе шифрует уже зашифрованный пароль пользователя с использованием случайного ключа, возвращенного контроллером домена. Пароль, зашифрованный таким образом, называется пруфом.

5.Программа регистрации пользователя на реквесторе посылает пруф контроллеру домена.

6.Контроллер домена извлекает зашифрованный пароль пользователя из NET.ACC и шифрует с помощью того же ключа, который был послан реквестору. Затем этот дважды зашифрованный пароль сравнивается с пруфом, полученным от реквестора. Если они совпадают, аутентификация пользователя прошла успешно.

7.После того как контроллер домена выполнил аутентификацию пользователя, он посылает ответ реквестору, сообщая при этом, что установка сессии выполнена.

8.Контроллер домена выполняет обработку информации из DCDB для установки

77

сетевого окружения данного пользователя (назначения ресурсов).

9. После установки сетевого окружения пользователя и готовности его доступа к ресурсам домена, регистрация пользователя в домене завершена.

При обращении к ресурсам домена, не назначенным при регистрации, пользователь проходит сеанс аутентификации на серверах, содержащих данные ресурсы, который аналогичен первоначальной аутентификации на контроллере домена. Реквестор также использует протокол SMB для взаимодействия с каждым из серверов, к которым подключается пользователь. В свою очередь серверы передают реквестору случайное число, используемое для генерации дважды зашифрованного пароля (пруфа). Для успешного выполнения аутентификации должен совпасть пароль, введенный при регистрации пользователя и пароль, хранящийся в NET.ACC того сервера, к ресурсам которого обращается пользователь. После проверки пруфа установка сеанса завершается и сетевой запрос (например, команда NET USE) выполняется. Если копии NET.ACC на серверах домена синхронизированы, то подобные запросы отрабатываются успешно.

1.4.3. ДОСТУП К РЕСУРСАМ В WARP SERVER

Warp Server поддерживает так называемую распределенную модель управления доступом, в которой списки управления доступом - ACL (Access Control List), т. е. списки пользователей и групп вместе с их правами доступа задаются не для сетевых объектов, а для физических ресурсов. К сетевым объектам в Warp Server относятся определения сетевых ресурсов, общих приложений, бюджеты пользователей и групп, тогда как к физическим ресурсам относятся каталоги, файлы, принтеры и последовательные устройства. ACL для физических ресурсов не обязательно существуют, но создаются при создании профилей управления доступом к данным ресурсам. ACL может содержать до 64 элементов. Каждый элемент ACL содержит идентификатор пользователя или группы и соответствующий ему набор прав доступа.

Набор возможных прав доступа приведен в таблице ниже. Перечисленные права доступа могут использоваться в различных комбинациях. Однако не все права доступа применяются ко всем видам ресурсов. ACL используется как для предоставления, так и для запрещения доступа пользователям, обращающимся к определенному ресурсу. Так, например, если для некоторого пользователя установлено право None, то независимо от других прав, данных ему или группам, в которые он входит, доступ к ресурсу данному пользователю запрещен.

78

Таблица 19 Права доступа к ресурсам различного вида

(P)ресурсу

Для задания прав доступа по умолчанию Warp Server позволяет использовать так называемые "корневые" профили управления доступом. Механизм предоставления этих прав отражен на Рис. 5.

79