Обзор механизмов обеспечения безопасности ос Solaris.
Механизмы обеспечения без-ти:
Process Rights management
Role Based Access Control
Containers
Trusted Exstensions и д.р
Неограниченный доступ пользователя root, при этом возникает ряд проблем: сложность разделения административных полномочий в системе, неограниченность доступа к ресурсам администратора (ответственность администратора за выполняемые ими действия, отв-ть серверов, работающих с привилегиями суперпользователей).
Решением проблемы ограничение доступа суперпользователя является предоставление процессов привилегий необходимых им для выполнения определенных задач.
Привилегия представляет собой дискретное право на выполнение какого либо действия в системе.
Использование привилегий устраняет необходимость использования утилит set-uid и set-gid. Например для установки системного времени, в модели без использования привилегий , программе необходимо было быть запущено с правами супер пользователя, либо из под учетной записи root, либо установить на программу бит set-uid.
При использовании привилегий достаточно иметь привилегию sys_time, в этом случае данная программа сможет влиять только на системное время. Используются привелегии: file_chown, net_rawaccess, proc_exec, sys_mount…
ROLE BASED ACCESS CONTROL
Также как привилегии которые являются основой для управления правами, RBAC является основой для управлениями правами пользователя. Права супер пользователя разделяются на профили прав. Профили прав назначаются ролям, которые по своей сути являются учетными записями специального вида. Администратором систем предоставляются права пользователя входить в определенные роли, что позволяет разделить права по администрированию разных компонентов системы между разными пользователями.
Вместе с системой предоставляются определенные наборы прав, которые охватывают большой спектр административных полномочий супер пользователя.
Роль – псевдо пользователь системы. Авторизация – право пользователя, профили прав,наборы прав.
Авторизации:
Solaris.admin.privilege.write
Solaris.device.mount
Solaris.jobs.admin
Solaris.smf.manage.sendmail
В частности присутствуют такие профили прав:
Primary administrator (эквивалент пользователя root), Network Security, Project Management, Service Management, Software Installation.
Таким образом достаточно создать роль, приписать ей определенные профили прав из уже имеющихся и предоставить пользователям возможность входить в эту роль. Также права можно давать и обычным пользователям . Solaris не содержит ни одной предопределенной роли после установки, тем неимение есть три роли которые можно сконфигурировать на базе уже имеющихся. Эти роли базируются на следующих профилях прав:
Primary Administrator – эквивалент пользователя root
System Administrator-может управлять файловыми системами, ПО, электронной почтой но имеет ряд ограничений по безопасности. Например с помощью этой роли нельзя устанавливать пароли пользователям.
Operator- это тоже роль администратора но которая обладает самыми маленькими административными правами. Ей разрешается резервное копирование и управление системой печати.
Solaris Containers
Технологии Solaris Container:
В ходят две технологии «управление ресурсами» и «зоны». Первая реализует механизм контроля использование приложениями системных ресурсов и позволяет: распределить вычислительные ресурсы между приложениями(процессорное время, оперативная память и т.д), контролировать использование выделенных ресурсов и выделять необходимый дополнительные ресурсы, вести учет информации которую можно использовать для анализа, билинга и планирования выделения вычислительных мощностей.
Вторая технология позволяет создавать независимые друг от друга(но не от глобальной зоны) создавать виртуальные копии ОС что позволяет повысить надежность системы.