12.4. Адміністрування засобів безпеки unix 12.4.1. Особливості адміністрування

Основу безпеки UNIX створює ефективна система розмежування доступу. Однак навіть найефективнішу систему безпеки можна звести нанівець її неправильним настроюванням. Для досягнення достатньої безпеки будь-якої комп'ютерної сис­теми необхідно забезпечити ефективне адміністрування. Адміністрування UNIX вважають складним завданням; його питанням присвячено численні видання, зо­крема [99, 105].

Один із суттєвих недоліків UNIX — відсутність централізованих засобів адмі­ністрування. Типовою процедурою адміністрування UNIX є ручне редагування численних текстових файлів. Адміністратор має знати формат відповідних файлів, де їх розташовано, а також (і це — найскладніше) які саме файли впливають на ті чи інші особливості функціонування системи. Вичерпну інформацію щодо фор­матів важливих для безпеки системи файлів наведено у довідкових сторінках сис­теми man. Багато таких файлів міститься в каталозі /etc, але у файловій системі є безліч інших місць, де такі файли можуть бути розташовані. Формати деяких фай­лів у різних системах також можуть бути різними. Крім того, на одні й ті самі функції системи можуть впливати різні файли, які потрібно знати і контролювати. Саме через це UNIX набула слави складної в адмініструванні системи. 3 іншого боку, UNIX дуже гнучка в настроюванні. Первинністьінтерфейсу командного ряд­ка та підтримка розвинених засобів програмування сценаріїв дають змогу адмі­ністраторам автоматизувати більшість складних завдань.

Графічний багатовіконний інтерфейс дає змогу створювати зручні та інту­їтивно зрозумілі утиліти адміністрування. Такі утиліти містять більшість сучас­них UNIX-систем і дистрибутивів Linux. Як приклад можна навести Admintool у системі Solaris. Разом із перевагами вони мають і суттєві недоліки. По-перше, немає єдиної стандартної утиліти адміністрування, спільної для різних систем. По-друге, в кожній системі одночасно можуть існувати (і дуже часто так воно і є) різні утиліти адміністрування з різними інтерфейсами та можливостями. Іноді такі утиліти мають взаємні конфлікти. Зрештою, не завжди прозорими є механіз­ми роботи таких утиліт.

На функціонування системи UNIX безпосередньо впливають саме файли кон­фігурації, які майже завжди — або текстові файли визначеного формату, або фай-ли-сценарії, що містять команди, зрозумілі командному інтерпретатору (shell). Часто достатньо внести зміни в такий файл ~ і система (ядро або процес-демон) автоматично «підхоплює» їх. Іноді, для того щоб ці зміни мали певний ефект, процесу необхідно надіслати відповідний сигнал. I майже ніколи не потрібно

перезапускати систему. Будь-яка високорівнева утиліта адміністрування має приймати команди від користувача-адміністратора (наприклад, коли він обирає певний пункт меню або встановлює чи знімає помітки деяких опцій) і транслюва­ти їх у певні записи файлів конфігурації або фрагменти коду сценаріїв. На жаль, цей процес не завжди є прозорим. Крім того, одні утиліти адміністрування фак­тично зберігають свої параметри настройки у власних файлах, формат яких не та­кий прозориЙ, як у системних файлах, а інші — читають лише власні файли, в яких вони зберегли настройки системи, і взагалі не звертають уваги на системні файли. Внаслідок цього в разі запускутакої утиліти вона віднрвлю.є настройки, зроблені під час попереднього сеансу роботи саме за її використання, та знищує всі зміни, внесені зй допомогою інших утиліт або шляхом безпосереднього реда­гування системних файлів.

Отже, необхідною умовою ефективного адміністрування UNIX-системй є до­бирання адміністратором ефективних і найзручніших для нього засобів і постій­не їх використання. Більшість досвідчених адміністраторів схиляється до безпо­середнього редагування системних файлів, причому роблять це вони переважно у текстовому режимі терміналу. У комерційних версіях UNIX, які мають розвине­ну систему сервісної підтримки, доцільним є дотримання рекомендацій розроб­ників щодо адміністрування. Так, у системі Solaris стандартною можна вважати процедуру використання утиліти Admintool.