Исследование уровня безопасности операционной системы Linux

айловой  системы  установить  параметр  usrquota  и/или  grpquota  в  файле
/etc/fstab.
    quotaoff – программа для выключения пользовательских квот на  указанной
файловой системе.
    repquota – программа для вывода статистики по  использованию  дискового
пространства для указанной файловой системы.
    setquota – программа для редактирования пользовательских квот в  режиме
командной строки.
    warnquota – программа для информирования пользователей о  том,  что  их
дисковое пространство на исходе.  Информирование  происходит  путем  посылки
предупреждающего сообщения по электронной почте.
    Более  подробная  информация  о  программах  пакета  quota  может  быть
получена из соответствующих man-руководств.
    Практическое   применение   рассмотренной   информации   приводится   в
приложении в примере 4.

                             2.3. Библиотека PAM

    PAM  (Pluggable   Authentication   Modules)   –   подгружаемые   модули
аутентификации. PAM является набором  динамически  подключаемых  модулей,  с
помощью  которых  привилегированный   пользователь   может   выбирать,   как
приложение должно  осуществлять  процесс  аутентификации.  Такая  технология
оказалась  очень  полезна,  особенно   при   появлении   различных   методов
аутентификации пользователя в системе. Эта  технология  имеет  два  основных
преимущества.  Первым   преимуществом   является   модульность   приложений,
поддерживающих PAM. Это означает, что для приложения,  поддерживающего  PAM,
появляется возможность изменить механизм  аутентификации  пользователей  без
перекомпиляции  программы,  как  говорят  «на  ходу»,  достаточно   изменить
конфигурационный   файл   PAM.   Второе   преимущество   использования   PAM
заключается в том, что  администратор  системы  получает  полную  свободу  в
выборе схемы аутентификации для каждого отдельного  приложения,  причем  эта
схема может быть  достаточно  сложной  и  состоящей  из  нескольких  этапов.
Единственным  неотъемлемым  требованием  для  использования   PAM   является
наличие изначально встроенных в  приложение  функций  работы  с  библиотекой
PAM.  Сейчас  практически  все   популярные   программные   продукты   имеют
встроенную поддержку PAM.


    [pic]

   Рис. 2.3.1 Структурная схема взаимодействия приложения и библиотеки PAM


На рисунке 2.3.1 наглядно показано,  как  происходит  взаимодействие  некого
приложения А с библиотекой PAM.  Приложение  взаимодействует  с  библиотекой
PAM,  причем   приложению   неизвестно,   какие   алгоритмы   аутентификации
используются  при  проверке  подлинности  пользователя.  Все   операции   по
аутентификации,  то  есть  шифрование  пароля  и  его  проверку,  производит
библиотека PAM. Библиотека Linux-PAM (в середине рисунка) производит  чтение
параметров  аутентификации  приложения  А  из  конфигурационного   файла   и
загружает необходимые модули в память. Затем загруженные модули  попадают  в
одну из четырех управляющих групп  (расположенных  в  нижней  части  рисунка
посередине) и помещаются туда в  порядке  появления  их  в  конфигурационном
файле (сначала модуль а в группу auth, за ним b и  так  далее).  Эти  модули
при вызове библиотекой Linux-PAM выполняют различные  задачи  аутентификации
для  приложения  А.  Для  передачи  текстовой  информации,  запрашиваемой  у
пользователя, может быть использована встроенная функция обмена.
    Все модули PAM по умолчанию располагаются в каталоге  /lib/security,  а
конфигурационные  файлы  PAM  –   в   каталоге   /etc/pam.d.   Имя   каждого
конфигурационного файла, расположенного в каталоге /etc/pam.d,  совпадает  с
именем приложения, использующего его. Например, для программы  login  полный
путь  к  конфигурационному  файлу  PAM  будет  иметь  вид  /etc/pam.d/login.
Содержимое этого файла может иметь следующий вид:
#%PAM-1.0
auth  required  /lib/security/pam_securetty.so
auth  required  /lib/security/pam_stack.so service=system-auth
auth  required  /lib/security/pam_nologin.so
account     required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session  required /lib/security/pam_stack.so  service=system-auth
session  required /lib/security/pam_limits.so
session  optional /lib/security/pam_console.so

    Каждая  строчка  файла  означает,  что   для   удачной   аутентификации
пользователь должен пройти через  указанный  модуль.  Формат  строки  любого
конфигурационного файла PAM имеет вид:
тип_модуля  флаг_контроля   путь_к_модулю    параметры_модуля

    Все модули библиотеки PAM по функциональному признаку делятся на четыре
типа:
    auth  –  этот  тип   модулей   позволяет   осуществлять   два   аспекта
аутентификации.  Во-первых,  он  выполняет  саму  аутентификацию,  то   есть
устанавливает факт того, что пользователь действительно тот,  за  кого  себя
выдает. Это может быть запрос пароля или другие  методы  идентификации.  Во-
вторых, модуль может разрешить членство в группе (независимо от файла  групп
пользователей  group)  или  определить  другие  привилегии,  основываясь  на
информации о пользователе.
    account  –  этот  тип  модулей  выполняет  функции,  не   связанные   с
аутентификацией  напрямую.  Обычно  он  используется  для   разрешения   или
запрещения доступа в зависимости от определенных условий, таких  как   время
дня, количество пользователей, одновременно  запросивших  ресурс,  различные
параметры системы и так далее.
    sessions  –  в  основном  этот   тип   используется   для   определения
дополнительных  действий,  которые  необходимо  выполнить   до   или   после
предоставления сервиса пользователю.  Сюда  можно  отнести  протоколирование
действий по открытию определенных файлов, монтирование  каталогов,  удаление
временных файлов и так далее.
    password – этот последний тип необходим для обновления опознавательного
признака  (например,  того  же  самого   пароля),   который   идентифицирует
пользователя.
    Наличие четырех управляющих типов говорит о том,  что  сама  технология
аутентификации с использованием  библиотеки  PAM  способна  предоставить  не
только  «голый»  способ  установления  подлинности  пользователя,  а  еще  и
широкий   спектр   дополнительных   возможностей   по   защите   системы   и
предоставлению доступа к сервисам.
    Флаг контроля определяет, как система будет себя вести при удачном  или
неудачном прохождении соответствующего модуля. Поскольку модули  запускаются
один  за  другим,  то  специальной  расстановкой  флагов  можно   определить
значимость каждого из них. В качестве флагов могут быть использованы  четыре
ключевых слова:
    required – этот флаг определяет, что для удачной аутентификации в целом
необходимо  успешное   прохождение   соответствующего   модуля.   Если   при
прохождении этого модуля  система  получила  отказ,  процесс  аутентификации
продолжается до тех пор, пока все  модули  не  будут  обработаны,  и  только
потом выдается сообщение об ошибке.
    requisite – эффект действия этого флага тот же, что и флага required, с
одним  различием:  при  получении  отказа  управление   сразу   возвращается
приложению, прохождение остальных модулей не производится.
    sufficient –  весь  процесс  аутентификации  считается  успешным,  если
работа модуля с этим флагом  была  успешной  и  проверка  на  предшествующих
модулях с флагом required не провалилась. Если работа модуля с  этим  флагом
была неудачной, это не считается фатальной ошибкой.
    optional – успешность модуля с этим флагом  является  необязательной  и
его использование не критично для аутентификации.
    Путь к модулю содержит строку полного пути к модулю в файловой системе.
Все модули хранятся в каталоге  /lib/security,  поэтому,  например,  путь  к
модулю pam_limits будет выглядеть как /lib/security/pam_limits.so.
    Параметры  модуля  являются  индивидуальным  для   каждого   модуля   и
описываются в документации модуля.
    Помимо основных конфигурационных  файлов  некоторые  модули  используют
дополнительные файлы конфигурации,  находящиеся  в  каталоге  /etc/security.
Каждый файл в этом каталоге предназначен для конкретной группы настроек:
    time.conf – в этом файле можно ограничить время доступа пользователей с
различных терминалов к различным сервисам. Эти настройки  использует  модуль
pam_time, поэтому для вступления в  силу  временных  ограничений  необходимо
добавить модуль pam_time в  конфигурационный  файл  приложения,  на  которое
должны распространяться эти ограничения.
    pam_env.conf – с  помощью  этого  файла  можно  ограничить  возможность
изменения некоторых переменных среды пользователями. Этот файл  используется
модулем pam_env.
    limits.conf – этот файл дает возможность ограничить размер  core-файла,
максимально допустимый размер файла,  максимальное  количество  одновременно
открытых файлов,  запущенных  процессов,  количество  одновременно  открытых
пользовательских сессий и так далее. Используется модулем pam_limits.
    access.conf  –  с  помощью  этого  файла  можно  определить   различные
параметры входа  пользователя  в  систему,  например,  с  каких  компьютеров
пользователь  имеет   доступ   в   систему.   Этот   конфигурационный   файл
используется модулем pam_access.
    group.conf  –  в  этом  файле  можно  указать,  к  какой  группе  будет
принадлежать  процесс,  запущенный  пользователем  в  определенное  время  с
определенного терминала. Файл читается модулями pam_time и pam_group.
    console.perms  –  в  этом  файле  имеется  возможность  указать  права,
назначаемые  привилегированным  пользователям  при   входе   в   систему   и
возвращаемые консоли при его выходе. Файл используется модулем pam_console.
    Как уже неоднократно упоминалось, все модули располагаются  в

Пред. 6 7 8 9 10 След.

скачать работу

Отправка СМС бесплатно