Система безопасности Linux

ОС Linux является высоконадежной и устойчивой к повреждению вирусами. К Linux-машинам возможно удаленное подключение по протоколам HTTP, FTP, SMTP, TELNET, через механизм демонов (=серверы в Windows NT) – специальных программ, постоянно активных на Linux машине и позволяющих пользователю удаленно подключаться к ним. Все пользователи в Linux подразделяются на:

1) Суперпользователя – имеет неограниченные права и стандартное имя "root".

2) Обычный пользователь – имеет права с ограничениями, установленными суперпользователем ему и группе в которую входит пользователь.

3) Специальный пользователь – имеет дополнительные права для работы с конкретным приложением.

4) Псевдопользователь – пользователь, подключившийся к Linux-машине удаленно, через программу-демон. Не имеет никаких прав, не идентифицируется системой, все действия такого пользователя определяются возможностями программы-демона.

5) Владелец – пользователь создавший файл или каталог. Владелец имеет полный доступ к созданным им объектам, если он сам или root не установит дополнительные ограничения.

При подключении к Linux-системе пользователь вводит свой пароль. Пароли в зашифрованном виде хранят-ся на Linux-машине в специальном файле (/etc/passwd). Каждый подключившийся пользователь характеризуется своим уникальным идентификатором UID (User Identifier) и идентификатором группы GID (Group Identifier). Любой файл, созданный пользователем или запускаемая от его имени программа получа-ют UID и GID пользователя. --> В Linux нет "ничьих" программ или файлов. Каждая программа может выполнять действия в пределах прав пользователя и его группы, а каждый файл может создаваться, читаться или изменяться только если у пользователя достаточно для этого прав. Таким образом всегда известен "автор" последних изменений в файле, а вирус, случайно принесенный пользователем, сможет разрушить только файлы пользователя и не сможет повредить системные файлы (нет прав) или файлы других пользо-вателей. Такой подход обеспечивает достаточно стройную систему защиты, однако и в ней есть слабые места – во первых вирус принесенный пользователем root сможет повредить любые файлы, во-вторых катастрофической будет ситуация когда пароль root-а подберет какой-нибудь злобный вандал или сам root решит "насолить" начальству. Во-вторых, в Linux есть ряд программ, называемых SetUID (SUID/SGID)-программ, которые выполняются не от имени человека подключившегося к Linux, а от имени человека создавшего эти программы. Поясним на примере. Допустим, пользователю необходимо сменить собственный пароль подключения к Linux-машине. Естественно, пользователь должен иметь возможность сделать это, т.к. одно из основных правил безопасности – это периодическая смена паролей. Однако для смены пароля, пришлось бы разрешить пользователю чтение и запись в файл паролей (/etc/passwd), что недопустимо, т.к. в таком случае пользователь сможет его случайно испортить (и больше никто не получит доступ на Linux-машину) или сменить чужие пароли. Поэтому пользователю доступ к файлу паролей не разрешается. Вместо этого, системная команда смены пароля запускается с атрибутом SUID/SGID, т.е. не от имени пользователя, а от имени администратора root - владельца этой команды, создавшего ее при инсталляции Linux. Root имеет право чтения-записи в файл паролей, что позволяет пользователю изменить свой пароль, но только при помощи системной команды, созданной Root-ом. Любые другие программы пользователя доступа к файлу паролей не получат.

Дата добавления: 2014-01-20; Просмотров: 306; Нарушение авторских прав?; Мы поможем в написании вашей работы!