آموزش: سیستم موبایل نیروهای مسلح (MFS) - سیاست های کاربر و گروه. در مراقبت از اطلاعات محرمانه نحوه نصب msvs 3.0 از دیسک

این فصل به سوالات زیر می پردازد:

کاربران؛

تفاوت بین کاربران ممتاز و غیرمجاز؛

فایل های ورود؛

فایل /etc/passwd؛

فایل /etc/shadow;

فایل /etc/gshadow.

FILE /etc/login.defs

اصلاح اطلاعات قدیمی رمز عبور؛

امنیت WSWS بر اساس مفاهیم کاربران و گروه ها است. تمام تصمیم‌گیری‌ها در مورد اینکه کاربر چه کاری مجاز است یا نمی‌تواند انجام دهد، بر اساس اینکه کاربر وارد شده از نقطه نظر هسته سیستم عامل چه کسی است گرفته می‌شود.

نمای کلی کاربران

WSWS یک سیستم چند کاربره چند وظیفه ای است. این وظیفه سیستم عامل است که کاربران را از یکدیگر جدا و محافظت کند. این سیستم بر هر کاربر نظارت می‌کند و بر اساس اینکه این کاربر چه کسی است، تعیین می‌کند که آیا می‌توان به او اجازه دسترسی به یک فایل خاص را داد یا اجازه اجرای برنامه خاصی را به او داد.

هنگامی که یک کاربر جدید ایجاد می شود، یک نام منحصر به فرد به آن اختصاص داده می شود

توجه داشته باشید

سیستم امتیازات کاربر را بر اساس شناسه کاربری (userID، UID) تعیین می کند. برخلاف نام کاربری، یک UID ممکن است منحصر به فرد نباشد، در این صورت اولین نامی که با UID داده شده مطابقت دارد برای تطبیق آن با نام کاربری استفاده می شود.

به هر کاربر جدیدی که در سیستم ثبت می شود، عناصر خاصی از سیستم اختصاص داده می شود.

کاربران ممتاز و غیر ممتاز

هنگامی که یک کاربر جدید به سیستم اضافه می شود، یک شماره خاص به او اختصاص می یابد شناسه کاربر(UserID، UID). در Caldera WSWS، تخصیص شناسه‌ها به کاربران جدید از 500 شروع می‌شود و به اعداد بالاتر، تا 65534 می‌رسد. اعداد تا 500 برای حساب‌های سیستم رزرو می‌شوند.

به طور کلی، شناسه هایی با اعداد کمتر از 500 هیچ تفاوتی با سایر شناسه ها ندارند. اغلب یک برنامه برای عملکرد صحیح به یک کاربر خاص با دسترسی کامل به همه فایل ها نیاز دارد.

شماره گذاری شناسه از 0 شروع می شود و تا 65535 می رسد. UID 0 یک UID ویژه است. هر فرآیند یا کاربری با شناسه صفر دارای امتیاز است. چنین شخص یا فرآیندی قدرت نامحدودی بر سیستم دارد. هیچ چیز نمی تواند برای او منع شود. حساب ریشه ( حساب، که UID آن 0 است)، همچنین یک حساب نامیده می شود ابر کاربر،باعث می شود شخصی که وارد می شود با استفاده از آن، اگر نه مالک، حداقل نماینده تام الاختیار او باشد.

این یک UID 65535 باقی می‌گذارد. همچنین غیرعادی است. این UID متعلق به هیچکس کاربر نیست (هيچ كس).

روزی روزگاری یکی از راه های هک سیستم ایجاد کاربری با شناسه 65536 بود که در نتیجه امتیازات سوپرکاربر را دریافت کرد. در واقع، اگر هر UID را انتخاب کنید و عدد مربوطه را به شکل باینری ترجمه کنید، ترکیبی از شانزده رقم دودویی به دست می‌آید که هر کدام 0 یا 1 است. اکثریت قریب به اتفاق شناسه‌ها شامل صفر و یک هستند. استثناها UID صفر ابرکاربر، شامل همه صفرها، و UIDnobody، برابر با 65535 و متشکل از 16 یک، یعنی 1111111111111111 است. شما باید از 17 بیت استفاده کنید. مهم ترین رقم برابر با یک (1) و بقیه برابر با صفر (0) خواهد بود. پس چه اتفاقی می‌افتد وقتی کاربری با شناسه 17 بیتی ایجاد می‌کنید - 100000000000000000؟ از نظر تئوری، کاربری با شناسه صفر: از آنجایی که فقط 16 رقم باینری برای شناسه اختصاص داده شده است، جایی برای ذخیره بیت 17 وجود ندارد و دور انداخته می شود. بنابراین، تنها واحد شناسه گم می شود و فقط صفرها باقی می مانند و سیستم ظاهر می شود کاربر جدیدبا شناسه و در نتیجه امتیازات ابرکاربر. اما اکنون هیچ برنامه‌ای در WSWS وجود ندارد که به شما اجازه دهد UID را روی 65536 تنظیم کنید.

توجه داشته باشید

می توانید کاربرانی با شناسه های بزرگتر از 65536 ایجاد کنید، اما بدون تغییر /bin/login نمی توانید از آنها استفاده کنید.

هر کرکری قطعا سعی می کند امتیازات ابرکاربر را به دست آورد. هنگامی که او آنها را دریافت کرد، سرنوشت بیشتر سیستم کاملاً به نیت او بستگی دارد. شاید او که از خود هک شدن راضی است، هیچ کار بدی با او انجام ندهد و با ارسال نامه ای در توصیف حفره هایی که در سیستم امنیتی پیدا کرده است، او را برای همیشه تنها بگذارد، یا شاید نه. اگر نیت هکر چندان خالص نباشد، بهترین چیزی که می توانید به آن امیدوار باشید این است که سیستم را پایین بیاورید.

FILE /etc/passwd

شخصی که مایل به ورود به سیستم است باید یک نام کاربری و رمز عبور وارد کند که با پایگاه داده کاربر ذخیره شده در فایل /etc/passwd تأیید شده است. در میان چیزهای دیگر، رمز عبور همه کاربران را ذخیره می کند. در هنگام اتصال به سیستم، رمز وارد شده با رمز عبور مربوط به نام داده شده بررسی می شود و در صورت مطابقت، کاربر به سیستم اجازه ورود داده می شود و پس از آن برنامه ای که برای نام کاربری داده شده در فایل رمز عبور تعیین شده است، راه اندازی می شود. اگر یک پوسته فرمان باشد، به کاربر امکان وارد کردن دستورات داده می شود.

فهرست 1.1 را در نظر بگیرید. این یک فایل passwd به سبک قدیمی است.

فهرست 1.1.فایل /etc/passwd به سبک قدیمی

root: *:1i DYwrOmhmEBU: 0:0: root:: /root: /bin/bash

bin:*:1:1:bin:/bin:

شیطان:*:2: 2: دیمون:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

sync:*:5:0:sync:/sbin:/bin/sync

shutdown:*:6:11: shutdown:/sbin:/sbin/shutdown

halt:*:7:0:halt:/sbin:/sbin/halt

mail:*:8:12:mail:/var/spool/mail:

اخبار:*:9:13:news:/var/spool/news:

uucp:*:10:14:uucp:/var/spool/uucp:

عملگر:*:11:0:operator:/root:

بازی ها:*:12:100:games:/usr/games:

gopher:*:13:30:gopher:/usr/1ib/gopher-data:

ftp:*:14:50:FTP کاربر:/home/ftp:

man:*:15:15:مالک کتابچه راهنمای کاربر:/:

majordom:*:16:16:majordomo:/:/bin/false

postgres:*:17:17:Postgres کاربر:/home/postgres:/bin/bash

mysql:*:18:18:MySQL کاربر:/usr/local/var:/bin/false

silvia:1iDYwrOmhmEBU:501:501:Silvia Bandel:/home/silvia:/bin/bash

هیچکس:*:65534:65534:هیچکس:/:/bi n/false

david:1iDYwrOmhmEBU:500:500:David A. Bandel:/home/david:/bin/bash

فایل رمز دارای یک ساختار سخت کد شده است. محتوای فایل یک جدول است. هر خط از فایل یک ورودی جدول است. هر ورودی از چندین فیلد تشکیل شده است. فیلدهای فایل passwd با دونقطه از هم جدا می شوند، بنابراین نمی توان از دو نقطه در هیچ یک از فیلدها استفاده کرد. در مجموع هفت فیلد وجود دارد: نام کاربری، رمز عبور، شناسه کاربری، شناسه گروه، فیلد GECOS (معروف به فیلد نظر)، فهرست اصلی و پوسته ورود.

اطلاعات بیشتر در مورد /etc/passwd

فیلد اول شامل نام کاربری است. باید منحصر به فرد باشد - دو کاربر سیستم نمی توانند یک نام داشته باشند. فیلد نام تنها فیلدی است که مقدار آن باید منحصر به فرد باشد. فیلد دوم رمز عبور کاربر را ذخیره می کند. برای اطمینان از امنیت سیستم، رمز عبور به صورت هش ذخیره می شود. اصطلاح "هش" در این زمینه به معنای "رمزگذاری شده" است. در مورد WSWS، رمز عبور با استفاده از الگوریتم DES (DataEncryptionStandard) رمزگذاری می شود. طول رمز عبور هش شده در این فیلد همیشه 13 کاراکتر است و برخی از کاراکترها مانند کولون و تک نقل قول هرگز در بین آنها وجود ندارد. هر مقدار فیلد دیگری غیر از رمز عبور 13 نویسه ای هش شده، ورود به سیستم را غیرممکن می کند این کاربربه سیستم، با یک استثنا بسیار مهم: فیلد رمز عبور می تواند خالی باشد.

فیلد دوم خالی است، حتی یک فاصله نیست، به این معنی که کاربر مربوطه برای ورود به رمز عبور نیاز ندارد. اگر رمز عبور ذخیره شده در فیلد را با افزودن یک کاراکتر، مانند یک نقل قول، به رمز عبور تغییر دهید، حساب کاربری قفل می شود و کاربر مربوطه نمی تواند وارد شود. واقعیت این است که پس از افزودن یک کاراکتر غیرقانونی به رمز عبور هش شده 14 کاراکتری، سیستم از احراز هویت کاربر با چنین رمز عبور خودداری کرد.

طول رمز عبور در حال حاضر به هشت کاراکتر محدود شده است. کاربر می تواند رمزهای عبور طولانی تری وارد کند، اما تنها هشت کاراکتر اول مهم خواهند بود. دو کاراکتر اول رمز عبور هش شده هستند دانه(نمک). (seed عددی است که برای مقداردهی اولیه الگوریتم رمزگذاری استفاده می‌شود. هر بار که رمز عبور تغییر می‌کند، Seed به‌طور تصادفی انتخاب می‌شود.) در نتیجه تعداد جایگشت‌های احتمالی به اندازه‌ای زیاد است که نمی‌توان تعیین کرد که آیا کاربر وجود دارد یا خیر. در سیستم با رمزهای عبور یکسان با مقایسه رمزهای عبور هش شده.

توجه داشته باشید

Dictionaryattack به روش های brute force شکستن رمز عبور اشاره دارد و شامل استفاده از یک فرهنگ لغت و یک seed شناخته شده است. این حمله شامل تکرار همه کلمات در فرهنگ لغت، رمزگذاری آنها با یک دانه معین و مقایسه نتیجه با رمز عبوری است که باید شکسته شود. در عین حال، علاوه بر کلمات از فرهنگ لغت، برخی از اصلاحات آنها معمولاً در نظر گرفته می شود، به عنوان مثال، تمام حروف بزرگ می شوند، فقط حرف اول بزرگ می شوند و اعداد (معمولا فقط 0-9) به انتهای آن اضافه می شود. همه این ترکیبات بسیاری از رمزهای عبور آسان برای حدس زدن را می توان از این طریق شکست.

فیلد سوم شامل شناسه کاربری است. شناسه کاربری لازم نیست منحصر به فرد باشد. به طور خاص، علاوه بر کاربر ریشه، هر تعداد کاربر دیگر با شناسه تهی می‌تواند وجود داشته باشد و همه آنها دارای امتیازات سوپرکاربر خواهند بود.

قسمت چهارم شامل شناسه گروه (GroupID, GID) است. گروه مشخص شده در این قسمت نامیده می شود گروه اصلی کاربر(گروه اولیه). یک کاربر می تواند به چندین گروه تعلق داشته باشد، اما یکی از آنها باید گروه اصلی باشد.

فیلد پنجم اکنون فیلد نظر نامیده می شود، اما نام اصلی آن GECOS برای "GEConsolidatedOperatingSystem" بود. هنگام درخواست اطلاعات کاربر از طریق انگشت یا برنامه دیگر، محتوا زمینه داده شدهاکنون به عنوان نام کاربری واقعی برگردانده شده است. قسمت نظر می تواند خالی باشد.

فیلد ششم فهرست اصلی کاربر را مشخص می کند. هر کاربر باید فهرست اصلی خود را داشته باشد. معمولاً وقتی کاربر لاگین می‌کند، در فهرست اصلی خود قرار می‌گیرد، اما اگر وجود نداشته باشد، به دایرکتوری ریشه می‌رود.

فیلد هفتم پوسته ورود را مشخص می کند. هر پوسته ای را نمی توان در این قسمت مشخص کرد. بسته به تنظیمات سیستم، ممکن است فقط یک پوسته از لیست پوسته های معتبر داشته باشد. در WSWS، لیست پوسته های مجاز به طور پیش فرض در فایل /etc/shells یافت می شود.

FILE /etc/shadow

فایل /etc/shadow متعلق به کاربر ریشه است و تنها کسی است که می تواند فایل را بخواند. برای ایجاد آن، باید نام کاربری و رمزهای عبور هش شده را از فایل passwd بردارید و در فایل سایه قرار دهید و تمام رمزهای عبور هش شده در فایل passwd را با کاراکتر x جایگزین کنید. اگر به فایل passwd سیستم نگاه کنید، می بینید که به جای رمزهای عبور هش شده، x وجود دارد. این نماد به سیستم می گوید که رمز عبور را نباید در اینجا جستجو کرد، بلکه باید در فایل /etc/shadow جستجو کرد. انتقال از رمزهای عبور سادهبه سایه و پشت از طریق سه ابزار انجام می شود. برای دسترسی به رمزهای عبور سایه، ابتدا ابزار pwck اجرا می شود. فایل passwd را برای هر گونه ناهنجاری که می تواند باعث شکست یا حلقه زدن مرحله بعدی شود، بررسی می کند. پس از اتمام pwck، ابزار pwconv برای ایجاد /etc/shadow اجرا می شود. این کار معمولا بعد از آن انجام می شود به روز رسانی دستیفایل /etc/passwd. برای بازگشت به رمزهای عبور عادی، pwuncov اجرا می شود.

یک فایل رمز عبور سایه از بسیاری جهات شبیه به یک فایل رمز عبور معمولی است. به طور خاص، دو فیلد اول این فایل ها یکسان هستند. اما علاوه بر این فیلدها، طبیعتاً حاوی فیلدهای اضافی است که در فایل رمز عبور معمولی یافت نمی شوند. فهرست 1.2. محتویات یک فایل /etc/shadow معمولی را نشان می دهد.

فهرست 1.2. FILE /etc/shadow

root:1iDYwrOmhmEBU:10792:0:: 7:7::

bin:*:10547:0::7:7::

دیمون:*:10547:0::7:7::

adm:*:10547:0::7:7::

lp:*:10547:0::7:7::

همگام سازی:*:10547:0::7:7::

خاموش شدن:U:10811:0:-1:7:7:-1:134531940

halt:*:10547:0::7:7::

پست الکترونیکی:*:10547:0::7:7::

اخبار:*:10547:0::7:7::

uucp:*:10547:0::7:7::

اپراتور:*:10547:0::7:7::

بازی ها:*: 10547:0: :7:7::

gopher:*:10547:0::7:7::

ftp:*:10547:0::7:7::

مرد:*:10547:0::7:7::

رشته تحصیلی:*:10547:0::7:7::

postgres:*:10547:0::7:7::

mysql:*:10547:0::7:7::

si1via:1iDYwrOmhmEBU:10792:0:30:7:-l::

هیچ کس:*:10547:0::7:7::

david:1iDYwrOmhmEBU:10792:0::7:7::

اطلاعات بیشتر در مورد /etc/shadow

هدف از اولین فیلد در فایل shadow همان فیلد اول در فایل passwd است.

فیلد دوم حاوی رمز عبور هش شده است. اجرای WSWS از رمزهای عبور سایه اجازه می دهد تا رمزهای عبور هش شده بین 13 تا 24 کاراکتر داشته باشند، اما برنامه رمزگذاری رمز عبور رمزگذاری تنها می تواند رمزهای عبور هش شده 13 کاراکتری را تولید کند. کاراکترهای استفاده شده در هش از مجموعه ای متشکل از 52 کاراکتر الفبایی (کوچک و بزرگ)، ارقام 0-9، نقطه، و بک اسلش (/) گرفته شده است. در مجموع 64 کاراکتر در قسمت رمز عبور هش شده مجاز است.

بنابراین، دانه، که مانند قبل، دو نماد اول است، می تواند از 4096 ترکیب ممکن (64x64) انتخاب شود. برای رمزگذاری از الگوریتم DES با کلید 56 بیتی استفاده می شود یعنی فضای کلید این الگوریتم دارای 256 کلید است که تقریباً برابر با 72,057,590,000,000,000 یا 72 کوادریلیون است. این عدد چشمگیر به نظر می رسد، اما در واقع می توان روی همه کلیدها در فضایی به این اندازه در مدت زمان بسیار کوتاهی تکرار کرد.

فیلد سوم با اطلاعات مربوط به قدیمی شدن رمز عبور شروع می شود. تعداد روزهایی را که از 1 ژانویه 1970 تا آخرین روز تغییر رمز عبور گذشته است را ذخیره می کند.

قسمت چهارم حداقل تعداد روزهایی را که باید برای تغییر مجدد رمز عبور سپری شود، مشخص می کند. تا زمانی که تعداد روزهای مشخص شده در این قسمت از تاریخ آخرین تغییر رمز عبور نگذرد، رمز عبور را نمی توان دوباره تغییر داد.

قسمت پنجم حداکثر تعداد روزهایی را که می توان رمز عبور را استفاده کرد و پس از آن باید تغییر کرد را مشخص می کند. اگر این فیلد روی مثبت تنظیم شود، اگر کاربر پس از منقضی شدن رمز عبور اقدام به ورود به سیستم کند، دستور رمز عبور به طور معمول اجرا نمی شود، بلکه در حالت تغییر رمز عبور اجباری اجرا می شود.

مقدار در فیلد ششم تعیین می کند که چند روز قبل از انقضای رمز عبور باید اخطار در این مورد صادر کنید. پس از دریافت اخطار، کاربر می تواند شروع به ایجاد رمز عبور جدید کند.

فیلد هفتم تعداد روزهایی را مشخص می کند که از روز تغییر اجباری رمز عبور شروع می شود و پس از آن این حساب مسدود می شود.

فیلد ماقبل آخر روز مسدود شدن حساب را ذخیره می کند.

آخرین قسمت رزرو شده و استفاده نشده است.

اطلاعات بیشتر در مورد /etc/group

هر ورودی در فایل /etc/group شامل چهار فیلد است که با دو نقطه از هم جدا شده اند. فیلد اول نام گروه را مشخص می کند. مانند یک نام کاربری.

فیلد دوم معمولاً همیشه خالی است، زیرا مکانیسم رمز عبور برای گروه ها معمولاً استفاده نمی شود، اما اگر این فیلد خالی نباشد و دارای رمز عبور باشد، هر کاربری می تواند به گروه بپیوندد. برای این کار باید دستور newgrp را با نام گروه به عنوان پارامتر اجرا کنید و پسورد صحیح را وارد کنید. اگر رمز عبور برای گروهی تنظیم نشده باشد، تنها کاربرانی که در لیست اعضای گروه قرار دارند می توانند به آن بپیوندند.

فیلد سوم شناسه گروه (GroupID, GID) را مشخص می کند. معنی آن همان شناسه کاربری است.

آخرین قسمت لیستی از نام های کاربری است که به گروه تعلق دارند. نام های کاربری با کاما و بدون فاصله از هم جدا شده اند. گروه اصلی کاربر در فایل passwd مشخص شده است (اجباری) و زمانی که کاربر بر اساس این اطلاعات به سیستم متصل می شود اختصاص داده می شود. بر این اساس، اگر گروه اصلی کاربر در فایل passwd تغییر کند، کاربر دیگر نمی‌تواند به گروه اولیه قبلی خود بپیوندد.

FILE /etc/login.defs

راه های مختلفی برای افزودن کاربر جدید به سیستم وجود دارد. WSWS از برنامه های زیر برای این کار استفاده می کند: coastooL، LISA، useradd. هر کدام از آنها انجام خواهد داد. ابزار COAS از فایل خود استفاده می کند. و برنامه های useradd و LISA اطلاعات مربوط به مقادیر پیش فرض فیلدهای فایل های passwd و shadow را از فایل /etc/login.defs می گیرند. محتویات این فایل به صورت اختصاری در فهرست 1.4 نشان داده شده است.

لیست 1.4.فایل کوتاه /etc/login.defs

#حداکثر تعداد روزهایی که یک رمز عبور مجاز است استفاده شود:

#(-1 - تغییر رمز عبور اختیاری است) PASS_MAX_DAYS-1

حداقل تعداد روز بین تغییر رمز عبور: PASS_MIN_DAYSO

#چند روز قبل از تاریخ تغییر رمز عبور باید اخطار داده شود: PASS_WARN_AGE7

#چند روز باید از انقضای رمز عبور بگذرد تا حساب قفل شود: PASS_INACTIVE-1

#اجباری انقضای رمز عبور در روز معین:

# (تاریخ مشخص شده بر اساس تعداد روزهای بعد از 70/1/1، -1 = اجبار نکنید) PASS_EXPIRE -1

#مقادیر فیلدهای حساب ایجاد شده برای برنامه useradd

#گروه پیش فرض:GROUP100

#user home directory: %s = username) HOME /home/%s

#پوسته پیش فرض: SHELL/bin/bash

#دایرکتوری که اسکلت فهرست اصلی در آن قرار دارد: SKEL/etc/skel

#حداقل و حداکثر مقداربرای انتخاب خودکار gid در groupaddGID_MIN100

محتوای این فایل مقادیر پیش فرض فیلدهای فایل های passwd و shadow را تعیین می کند. اگر آنها را از خط فرمان لغو نکنید، از آنها استفاده می شود. به عنوان نقطه شروع، این مقادیر خوب هستند، اما برخی از آنها برای پیاده سازی قدیمی شدن رمز عبور نیاز به تغییر دارند. مقدار -1 به معنای عدم محدودیت است.

برنامه COAS توزیع Caldera از یک رابط کاربری گرافیکی استفاده می کند

برای تغییر اطلاعات قدیمی شدن رمز عبور برای یک یا دو کاربر می توانید از دستور chage (تغییر) استفاده کنید. کاربران غیرمجاز فقط با گزینه های -l و نام کاربری خود می توانند chage را اجرا کنند، یعنی فقط رمز عبور خودشان قدیمی می شود. برای تغییر اطلاعات منسوخ شدن، کافی است نام کاربری را مشخص کنید، بقیه پارامترها در حالت گفتگو درخواست خواهند شد. فراخوانی بدون پارامتر، یادداشت استفاده مختصری را به همراه خواهد داشت.

COAS می تواند برای تغییر تنظیمات قدیمی رمز عبور بر اساس هر حساب استفاده شود. مقادیر در روز داده می شود. رابط برنامه واضح است.

توجه داشته باشید -

می‌توانید از فرمان expiry برای دریافت اطلاعات مربوط به انقضای رمز عبور کاربر یا برای اجبار فرآیند استفاده کنید.

سیستم امنیتی رم

ایده اصلی PAM این است که همیشه می‌توانید یک ماژول امنیتی جدید بنویسید که برای اطلاعات به یک فایل یا دستگاه دسترسی داشته باشد و نتیجه فرآیند مجوز را برگرداند: SUCCESS (SUCCESS)، FAIL (FAILURE) یا IGNORE (IGNORE). و PAM نیز به نوبه خود SUCCESS یا FAILURE را به سرویسی که آن را فراخوانی کرده است برمی گرداند. بنابراین، فرقی نمی‌کند که چه رمزهای عبور، سایه یا معمولی، در سیستم استفاده می‌شود، اگر رم داشته باشد: همه برنامه‌هایی که از RAM پشتیبانی می‌کنند با هر دو به خوبی کار می‌کنند.

اجازه دهید اکنون به بررسی اصول اولیه عملکرد RAM بپردازیم. فهرست 1.6 را در نظر بگیرید. دایرکتوری /etc/pam.d حاوی فایل های پیکربندی برای سرویس های دیگر مانند su، passwd و غیره است، بسته به اینکه چه نرم افزاری روی سیستم نصب شده است. هر سرویس محدود شده فایل پیکربندی خاص خود را دارد. اگر وجود نداشته باشد، این سرویس با دسترسی محدود در دسته "دیگر" قرار می گیرد، با فایل پیکربندی other.d. (سرویس محدود به هر سرویس یا برنامه ای گفته می شود که شما را ملزم به داشتن مجوز برای استفاده از آن می کند. به عبارت دیگر، اگر سرویسی به طور معمول از شما نام کاربری و رمز عبور بخواهد، یک سرویس محدود است.)

فهرست کردن 1.6. فایل پیکربندی سرویس ورود

pam_securetty.so مورد نیاز است

pam_pwdb.so مورد نیاز است

pam_nologin.so مورد نیاز است

#auth مورد نیاز pam_dialup.so

تأیید اختیاری pam_mail.so

حساب مورد نیاز pam_pwdb.so

جلسه مورد نیاز pam_pwdb.so

جلسه اختیاری pam_lastlog.so

رمز عبور مورد نیاز pam_pwdb.so

همانطور که از لیست مشاهده می کنید، فایل پیکربندی از سه ستون تشکیل شده است. خطوطی که با علامت پوند (#) شروع می شوند نادیده گرفته می شوند. بنابراین، ماژول pam_dialup (خط چهارم فهرست 1.6.) حذف خواهد شد. فایل حاوی خطوطی با همان فیلد سوم - pam_pwd.so، و اولین - auth است. استفاده از چندین خط با همان فیلد اول، انباشته شدن ماژول نامیده می شود و به شما امکان می دهد مجوز چند مرحله ای (پشته ماژول) را دریافت کنید که شامل چندین روش مختلف مجوز است.

ستون اول ستون نوع است. نوع با یکی از چهار برچسب کاراکتر تعیین می شود: اعتبار، حساب، جلسه و رمز عبور. محتویات تمام ستون ها به حروف بزرگ و کوچک در نظر گرفته می شود.

نوع احراز هویت (authentication - authentication) برای اینکه بفهمیم کاربر همان چیزی است که ادعا می کند یا خیر استفاده می شود. به عنوان یک قاعده، این با مقایسه رمزهای عبور وارد شده و ذخیره شده به دست می آید، اما گزینه های دیگری امکان پذیر است.

نوع حساب (حساب) بررسی می کند که آیا کاربر داده شده مجاز به استفاده از سرویس است یا خیر، در چه شرایطی، آیا رمز عبور قدیمی است و غیره.

نوع رمز عبور برای تمدید توکن های مجوز استفاده می شود.

نوع جلسه زمانی که کاربر وارد سیستم می شود و زمانی که کاربر از سیستم خارج می شود، اقدامات خاصی را انجام می دهد.

کنترل پرچم ها

ستون دوم یک فیلد پرچم کنترل است که مشخص می کند پس از بازگشت ماژول چه کاری باید انجام شود، یعنی پاسخ PAM به SUCCESS، IGNORE و FAILURE. مقادیر مجاز، ضروری، لازم، کافی و اختیاری هستند. مقدار موجود در این فیلد تعیین می کند که آیا خطوط باقی مانده از فایل پردازش می شوند یا خیر.

پرچم الزامی محدود کننده ترین رفتار را مشخص می کند. هر رشته ای با پرچم مورد نیاز که ماژول آن مقدار FAILURE را برگرداند لغو می شود و سرویس فراخوان وضعیت FAILURE را برمی گرداند. هیچ خط دیگری در نظر گرفته نخواهد شد. این پرچم به ندرت استفاده می شود. واقعیت این است که اگر ماژول علامت گذاری شده توسط آن در ابتدا اجرا شود، ممکن است ماژول های بعدی از جمله آنهایی که مسئول ورود به سیستم هستند اجرا نشوند، بنابراین معمولاً از پرچم مورد نیاز به جای آن استفاده می شود.

پرچم مورد نیاز اجرای ماژول ها را قطع نمی کند. نتیجه اجرای ماژول که توسط آن مشخص شده باشد: SUCCESS (SUCCESS)، IGNORE (نادیده گرفتن) یا FAILURE (FAILURE)، PAM همیشه به پردازش ماژول بعدی ادامه می دهد. این پرکاربردترین پرچم است، زیرا نتیجه اجرای ماژول تا زمانی که تمام ماژول‌های دیگر تکمیل نشده باشند برگردانده نمی‌شود، به این معنی که ماژول‌های مسئول ثبت‌نام قطعا اجرا خواهند شد.

پرچم کافی باعث می شود که رشته بلافاصله پردازش را پایان دهد و یک مقدار SUCCESS را برگرداند، مشروط بر اینکه ماژول علامت گذاری شده با آن مقدار SUCCESS را برگرداند و هیچ ماژولی که قبلاً با پرچم مورد نیاز مواجه شده بود وجود نداشته باشد که وضعیت FAILURE را برگرداند. اگر با چنین ماژولی مواجه شده باشد، پرچم کافی نادیده گرفته می شود. اگر یک ماژول علامت گذاری شده با این پرچم مقدار IGNORE یا FAILURE را برگرداند، آنگاه با پرچم کافی مانند پرچم اختیاری رفتار می شود.

نتیجه اجرای یک ماژول با پرچم اختیاری تنها در صورتی در نظر گرفته می‌شود که تنها ماژول موجود در پشته باشد که مقدار SUCCESS را برگردانده است. در غیر این صورت نتیجه اجرای آن نادیده گرفته می شود. بنابراین، اجرای ناموفق ماژول علامت گذاری شده با آن، منجر به شکست کل فرآیند مجوز نمی شود.

ماژول هایی که با پرچم های مورد نیاز و مورد نیاز علامت گذاری شده اند نباید FAILURE را برگردانند تا کاربر بتواند به سیستم دسترسی پیدا کند. نتیجه اجرای یک ماژول با پرچم اختیاری تنها در صورتی در نظر گرفته می شود که تنها ماژول موجود در پشته باشد که SUCCESS را برگردانده است.

ماژول های رم

ستون سوم شامل نام فایل کاملا واجد شرایط ماژول مرتبط با ردیف داده شده است. در اصل، ماژول ها را می توان در هر جایی قرار داد، اما اگر آنها در یک فهرست از پیش تعریف شده برای ماژول ها قرار گیرند، تنها یک نام می تواند مشخص شود، در غیر این صورت یک مسیر نیز مورد نیاز است. در WSWS، دایرکتوری از پیش تعریف شده /lib/security است.

ستون چهارم برای ارسال پارامترهای اضافی به ماژول است. همه ماژول ها دارای پارامتر نیستند و در صورت وجود، ممکن است مورد استفاده قرار نگیرند. ارسال یک پارامتر به یک ماژول به شما این امکان را می دهد که رفتار آن را به روشی تغییر دهید.

لیست 1.7 ماژول های PAM را که WSWS را تشکیل می دهند فهرست می کند.

لیست 1.7.لیست ماژول های RAM که بخشی از WSWS هستند

pam_rhosts_auth.so

pam_securetty.so

pam_unix_acct.so

pam_unix_auth.so

pam_unix_passwd.so

pam_unix_session.so

اطلاعات بیشتر در مورد ماژول ها

ماژول pam_access.so برای اعطای/رد کردن دسترسی بر اساس فایل /etc/security/access.conf استفاده می شود. خطوط این فایل دارای فرمت زیر هستند:

حقوق: کاربران: از

مجوزها - یا + (اجازه) یا - (رد کردن)

کاربران - ALL، نام کاربری، یا user@host، جایی که میزبان با نام ماشین محلی مطابقت دارد، در غیر این صورت ورودی نادیده گرفته می‌شود.

از - یک یا چند نام فایل ترمینال (بدون پیشوند /dev/)، نام میزبان، نام های دامنه(با یک نقطه شروع می شود)، آدرس های IP، ALL یا LOCAL.

ماژول pam_cracklib.so گذرواژه‌ها را با فرهنگ لغت بررسی می‌کند. این رمز عبور برای تأیید اعتبار رمز عبور جدید و جلوگیری از استفاده از رمزهای عبور آسان مانند کلمات رایج، رمزهای عبور حاوی کاراکترهای تکراری و رمزهای عبور بسیار کوتاه در سیستم طراحی شده است. پارامترهای اختیاری وجود دارد: debug، type= و retry=. گزینه debug امکان نوشتن اطلاعات اشکال زدایی در فایل log را فراهم می کند. پارامتر نوع به دنبال یک رشته، کلمه پیش‌فرض NewUnixpassword: را تغییر می‌دهد تا کلمه Unix را به رشته مشخص شده تغییر دهد. پارامتر retry تعداد تلاش‌هایی را که کاربر برای وارد کردن رمز عبور انجام می‌دهد مشخص می‌کند و پس از آن یک خطا برگردانده می‌شود (پیش‌فرض یک تلاش است).

فهرست 1.8 را در نظر بگیرید. محتویات فایل /etc/pam.d/other را نشان می دهد. این فایل شامل پیکربندی مورد استفاده توسط موتور PAM برای سرویس هایی است که فایل های پیکربندی خود را در دایرکتوری /etc/pam.d ندارند. به عبارت دیگر، این فایل برای تمام سرویس های ناشناخته برای سیستم PAM اعمال می شود. این هر چهار نوع مجوز، احراز هویت، حساب کاربری، رمز عبور و جلسه را ارائه می دهد که هر کدام ماژول pam_deny.so را که با پرچم مورد نیاز مشخص شده است فراخوانی می کند. بنابراین، اجرای سرویس ناشناخته ممنوع است.

فهرست 1.8. FILE /etc/pam.d/other

تأیید اعتبار pam_deny.so لازم است

تأیید اعتبار pam_warn.so لازم است

حساب کاربری لازم است pam_deny.so

رمز عبور مورد نیاز pam_deny.so

رمز عبور مورد نیاز pam_warn.so

جلسه مورد نیاز pam_deny.so

ماژول pam_dialup.so با استفاده از فایل /etc/security/ttys.dialup بررسی می کند که آیا برای دسترسی به ترمینال یا پایانه های راه دور به رمز عبور نیاز است یا خیر. این ماژول نه تنها برای ttyS، بلکه به طور کلی برای هر ترمینال tty قابل استفاده است. هنگامی که به یک رمز عبور نیاز است، آن را با رمزی که در فایل /etc/security/passwd.dialup است بررسی می شود. تغییرات فایل passwd.dialup توسط برنامه dpasswd انجام می شود.

ماژول pam_group.so بررسی محتوای فایل /etc/security/group.conf را انجام می دهد. این فایل گروه هایی را مشخص می کند که کاربر مشخص شده در فایل در صورت رعایت شرایط خاص می تواند عضو آن ها شود.

ماژول pam_lastlog.so اطلاعات مربوط به زمان و مکان ورود کاربر را به فایل lastlog می نویسد. به طور معمول، این ماژول با نوع جلسه و پرچم اختیاری مشخص می شود.

ماژول pam_limits.so به شما این امکان را می دهد که محدودیت های مختلفی را برای کاربران وارد شده اعمال کنید. این محدودیت ها برای کاربر ریشه (یا هر کاربر دیگری با شناسه تهی) اعمال نمی شود. محدودیت‌ها در سطح ورود تنظیم شده‌اند و جهانی یا دائمی نیستند، فقط در یک ورود معتبر هستند.

ماژول pam_lastfile.so مقداری ورودی (مورد) می گیرد، آن را با لیست موجود در فایل مقایسه می کند و بر اساس نتایج مقایسه، SUCCESS (SUCCESS) یا FAILURE (FAILURE) را برمی گرداند. پارامترهای این ماژول به شرح زیر است:

مورد=[کاربر پایانه | remote_host | remote_user | گروه| پوسته]

Sense= (وضعیت برای بازگشت؛ زمانی که ورودی در لیست یافت می شود، در غیر این صورت وضعیت مخالف برمی گردد)

file=/full/path/and/file_name - onerr= (در صورت بروز خطا چه وضعیتی را باید برگردانید)

App1y=[user|@group] (کاربر یا گروهی را که باید محدود شود مشخص می‌کند. فقط برای ورودی‌هایی مانند item=[ترمینال | remote_host | shell] معنی‌دار است، برای ورودی‌هایی مانند item=[user | remote_user | group] نادیده گرفته می‌شود)

ماژول pam_nologin.so برای مجوز از نوع auth با پرچم مورد نیاز استفاده می شود. این ماژول بررسی می کند که فایل /etc/nologin وجود داشته باشد یا خیر و اگر وجود نداشته باشد SUCCESS را برمی گرداند، در غیر این صورت محتویات فایل به کاربر نشان داده می شود و FAILURE برگردانده می شود. این ماژول معمولاً زمانی استفاده می شود که سیستم هنوز به طور کامل عملیاتی نشده است یا به طور موقت برای تعمیر و نگهداری بسته است اما از شبکه جدا نشده است.

ماژول pam_permit.so مکمل ماژول pam_deny.so است. همیشه SUCCESS را برمی گرداند. هر پارامتری که ماژول ارسال می کند نادیده گرفته می شود.

ماژول pam_pwdb.so یک رابط برای فایل های passwd و shadow فراهم می کند. گزینه های زیر ممکن است:

اشکال زدایی - نوشتن اطلاعات اشکال زدایی در فایل لاگ.

حسابرسی - اطلاعات رفع اشکال اضافی برای کسانی که اطلاعات اشکال زدایی معمولی کافی ندارند.

Use_first_pass - هرگز از کاربر رمز عبور نخواهید، بلکه آن را از ماژول های پشته قبلی بگیرید.

Try_first_pass - سعی کنید رمز عبور را از ماژول های قبلی دریافت کنید، در صورت عدم موفقیت از کاربر بپرسید.

Use_authtok - اگر pam_authtok تنظیم نشده بود مقدار FAILURE را برگردانید، از کاربر رمز عبور نخواهید، بلکه آن را از ماژول های پشته قبلی بگیرید (فقط برای پشته ای از ماژول های نوع رمز عبور).

not_set_pass - رمز عبور این ماژول را به عنوان رمز عبور ماژول های بعدی تنظیم نکنید.

Shadow - از سیستم رمز عبور سایه پشتیبانی کنید.

یونیکس - رمزهای عبور را در فایل /etc/passwd قرار دهید.

Md5 - از رمزهای عبور md5 برای تغییر رمز بعدی استفاده کنید.

Bigcrypt - دفعه بعد که رمزهای عبور را تغییر می دهید از رمزهای عبور DECC2 استفاده کنید.

Nodelay - یک ثانیه تاخیر در مجوز ناموفق را غیرفعال کنید.

ماژول pam_rhosts_auth.so استفاده از فایل های .rhosts یا hosts.equiv را اجازه/انکار می کند. علاوه بر این، استفاده از ورودی های "خطرناک" در این فایل ها را نیز مجاز یا رد می کند. پارامترهای این ماژول به شرح زیر است:

No_hosts_equiv - فایل /etc/hosts.equiv را نادیده بگیرید.

No_rhosts - فایل /etc/rhosts یا ~/.rhosts را نادیده بگیرید.

اشکال زدایی - ثبت اطلاعات اشکال زدایی؛

Nowarn - هشدارها را نمایش ندهید.

سرکوب - هیچ پیامی نمایش داده نشود.

بی بند و بار - اجازه دهید کاراکتر عام "+" در هر زمینه ای استفاده شود.

ماژول pam_rootok.so یک مقدار SUCCESS را برای هر کاربری با شناسه تهی برمی گرداند. هنگامی که با پرچم کافی علامت گذاری می شود، این ماژول اجازه دسترسی به سرویس را بدون تعیین رمز عبور می دهد. ماژول فقط یک پارامتر دارد: اشکال زدایی.

ماژول pam_securetty.so فقط می تواند علیه ابرکاربران استفاده شود. این ماژول با فایل /etc/securetty کار می کند و به ابرکاربر اجازه می دهد فقط از طریق پایانه های فهرست شده در این فایل وارد شود. اگر می‌خواهید ورود ریشه از طریق telnet (شبه ترمینال ttyp) را مجاز کنید، باید خطوطی را برای ttyp0-255 به این فایل اضافه کنید، یا تماس با pam_securetty.so را در فایل مربوط به سرویس ورود کامنت بگذارید.

اگر پوسته کاربر مشخص شده در فایل /etc/passwd در فایل /etc/shells فهرست شده باشد، ماژول pam_shells.so SUCCESS را برمی گرداند. اگر فایل /etc/passwd هیچ پوسته ای را به کاربر اختصاص ندهد، /bin/sh شروع می شود. اگر فایل /etc/passwd پوسته‌ای را برای کاربری مشخص کند که در /etc/shells فهرست نشده است، ماژول FAILURE را برمی‌گرداند. فقط ابرکاربر باید اجازه داشته باشد در فایل /etc/shells بنویسد.

ماژول pam_stress.so برای مدیریت رمزهای عبور استفاده می شود. پارامترهای زیادی دارد، از جمله اشکال زدایی بدون تغییر، اما در مورد کلیاز بین تمام پارامترها، تنها دو مورد مورد توجه هستند:

Rootok - به ابرکاربر اجازه می دهد تا رمزهای عبور کاربر را بدون وارد کردن رمز عبور قدیمی تغییر دهد.

Expired - با این گزینه، ماژول به گونه ای اجرا می شود که گویی رمز عبور کاربر قبلاً منقضی شده است.

گزینه های دیگر ماژول به شما امکان می دهد هر یک از این دو حالت را غیرفعال کنید، از یک رمز عبور از ماژول دیگری استفاده کنید، یا رمز عبور را به ماژول دیگری ارسال کنید، و غیره. من در اینجا همه گزینه های ماژول را پوشش نمی دهم، بنابراین اگر نیاز به استفاده از ویژگی های خاص دارید این ماژول، آنها را بخوانید.توضیحات در مستندات ماژول.

WSWS به طور پیش فرض از ماژول pam_tally.so در فایل های /etc/pam.d استفاده نمی کند. این ماژول تلاش های مجوز را شمارش می کند. پس از تأیید موفقیت آمیز، شمارنده تعداد تلاش ها می تواند بازنشانی شود. اگر مقدار تلاش های ناموفقاتصال از آستانه خاصی فراتر رفته است، دسترسی را می توان رد کرد. به طور پیش فرض، اطلاعات مربوط به تلاش ها در فایل /var/log/faillog قرار می گیرد. گزینه های جهانی عبارتند از:

Onerr= - اگر خطایی رخ داد چه باید کرد، مثلاً فایل باز نشد.

File=/full/path/and/file_name - در صورت عدم وجود، از فایل پیش فرض استفاده می شود. پارامتر زیر فقط برای نوع auth معنی دارد:

No_magic_root - شمارش تعداد تلاش‌ها را برای ابرکاربر روشن می‌کند (پیش‌فرض انجام نمی‌شود). در صورتی مفید است که ورود ریشه از طریق telnet مجاز باشد. گزینه های زیر فقط برای نوع حساب معنی دارند:

Deny=n - پس از n تلاش دسترسی را رد کنید. هنگام استفاده از این گزینه، رفتار پیش فرض ماژول reset/no_reset از no_reset به reset تغییر می کند. این برای همه کاربران به جز کاربر ریشه (UID 0) اتفاق می افتد، مگر اینکه از گزینه no_magic_root استفاده شود.

No_magic_root - گزینه انکار را برای تلاش های دسترسی کاربر root نادیده نگیرید. هنگامی که همراه با گزینه deny= استفاده می‌شود (به قبل مراجعه کنید)، رفتار پیش‌فرض برای کاربر ریشه مانند سایر کاربران تنظیم مجدد می‌شود.

Even_deny_root_account - اجازه می دهد تا در صورت وجود گزینه no_magic_root، حساب superuser قفل شود. این یک هشدار تولید می کند. اگر از گزینه no_magic_root استفاده نشود، بدون در نظر گرفتن تعداد تلاش های ناموفق، حساب superuser، برخلاف حساب های کاربری عادی، هرگز قفل نمی شود.

بازنشانی - شمارنده تعداد تلاش‌ها برای ورود موفقیت آمیز را بازنشانی کنید.

No_reset - شمارنده تعداد تلاش برای ورود موفقیت آمیز را تنظیم مجدد نکنید. به طور پیش فرض استفاده می شود مگر اینکه deny= مشخص شده باشد.

ماژول pam_time.so به شما امکان می دهد دسترسی به یک سرویس را بر اساس زمان محدود کنید. تمام دستورالعمل‌های تنظیم آن را می‌توانید در فایل /etc/security/time.conf بیابید. هیچ پارامتری ندارد: همه چیز در فایل پیکربندی تنظیم شده است.

ماژول pam_unix مجوز WSWS معمولی را کنترل می کند (معمولاً به جای آن از pam_pwdb.so استفاده می شود). از نظر فیزیکی، این ماژول از چهار ماژول تشکیل شده است که هر کدام مربوط به یکی از انواع PAM است: pam_unix_auth.so، pam_unix_session.so، pam_unix_acct.so و pam_unix_passwd.so. ماژول‌های انواع حساب و اعتبار هیچ پارامتری ندارند. ماژول فقط یک پارامتر برای نوع passwd دارد: strict=false. اگر وجود داشته باشد، ماژول گذرواژه‌ها را از نظر مقاومت در برابر هک بررسی نمی‌کند، و امکان استفاده از رمزهای عبور دلخواه، از جمله نامطمئن (به راحتی قابل حدس زدن یا بیرحمی) است. ماژول برای نوع جلسه دو پارامتر را درک می کند: اشکال زدایی و ردیابی. اطلاعات اشکال زدایی گزینه debug همانطور که در syslog.conf مشخص شده است در فایل log اطلاعات debug قرار می گیرد و اطلاعات گزینه trace به دلیل حساسیت آن در لاگ authpriv قرار می گیرد.

ماژول pam_warn.so یک پیام در مورد تماس خود با syslog ثبت می کند. هیچ پارامتری ندارد.

ماژول pam_wheel.so تنها به اعضای گروه چرخ اجازه می دهد تا ابرکاربر شوند. گروه چرخ یک گروه سیستمی خاص است که اعضای آن نسبت به کاربران عادی امتیازات بیشتری دارند، اما از ابرکاربران کمتر. وجود آن به شما این امکان را می دهد که تعداد کاربران سیستم را با امتیازات superuser کاهش دهید، آنها را به عضوی از گروه چرخ تبدیل کنید و در نتیجه امنیت سیستم را افزایش دهید. اگر ابرکاربر فقط با استفاده از یک ترمینال می‌تواند وارد شود، آنگاه می‌توان از این ماژول برای غیرممکن کردن تلنت با امتیازات ابرکاربر برای کاربران استفاده کرد و دسترسی آنها را ممنوع کرد مگر اینکه به گروه چرخ تعلق داشته باشند. ماژول از پارامترهای زیر استفاده می‌کند:

اشکال زدایی - ثبت اطلاعات اشکال زدایی؛

Use_uid - مالکیت را بر اساس شناسه فعلی کاربر تعیین کنید، نه آنچه به کاربر پس از ورود به سیستم اختصاص داده شده است.

اعتماد - اگر کاربر به گروه چرخ تعلق دارد، به جای IGNORE، SUCCESS را برگردانید.

انکار - معنای رویه را معکوس می کند (بازگشت ناموفق). در ترکیب با group= به شما امکان می دهد دسترسی به اعضای این گروه را رد کنید.

توجه داشته باشید -

دایرکتوری /etc/security مربوط به دایرکتوری /etc/pam.d است زیرا حاوی فایل های پیکربندی برای ماژول های مختلف PAM است که در فایل های /etc/pam.d نامیده می شوند.

ورودی های رم در فایل های لاگ

فهرست کردن 1.9. محتویات /var/log/secure

11 ژانویه 16:45:14 chiriqui PAM_pwdb: جلسه (su) برای root کاربر باز شد

11 ژانویه 16:45:25 chiriqui PAM_pwdb: (su) جلسه برای root کاربر بسته شد

ژانویه 11 17:18:06 chiriqui ورود: ورود ناموفق 1 از (تهی) برای دیوید،

عدم موفقیت در احراز هویت

ژانویه 11 17:18:13 ورود به سیستم: ورود ناموفق 2 از (تهی) برای دیوید.

عدم موفقیت در احراز هویت

ژانویه 11 17:18:06 chiriqui ورود: ورود ناموفق 1 از (تهی) برای دیوید.

عدم موفقیت در احراز هویت

ژانویه 11 17:18:13 ورود به سیستم: ورود ناموفق 2 از (تهی) برای دیوید،

عدم موفقیت در احراز هویت

11 ژانویه 17:18:17 chiriqui PAM_pwdb: جلسه (ورود به سیستم) برای کاربر دیوید باز شد

ژانویه 11 17:18:17 chiriqui -- دیوید: ورود در ttyl توسط دیوید

11 ژانویه 17:18:20 chiriqui PAM_pwdb: جلسه (ورود به سیستم) برای کاربر david بسته شد

هر ورودی با تاریخ، زمان و نام میزبان شروع می شود. پس از آن، نام ماژول PAM و شناسه فرآیند، در براکت های مربع قرار می گیرد. سپس در داخل پرانتز، نام سرویس محدود شده می آید. برای لیست 1.9، این یا su یا ورود است. پس از نام سرویس، عبارت "sessionopened" (جلسه باز است) یا "sessionclosed" (جلسه بسته است) دنبال می شود.

ورودی بلافاصله بعد از ورودی "sessionopened" یک پیام ورود به سیستم است که به شما می گوید چه کسی و از کجا وارد شده است.

سوالات زیر در حال بررسی است:

گروه کاربری پیش فرض و گروه های کاربری خصوصی چیست.

تغییر کاربر/گروه؛

چگونه تغییر کاربر/گروه بر رابط کاربری گرافیکی تأثیر می گذارد.

امنیت و کاربران؛

امنیت و رمز عبور؛

حفاظت از رمز عبور؛

انتخاب یک رمز عبور خوب؛

شکستن رمز عبور.

گروه پیش فرض

در حال حاضر، دیگر محدودیتی برای کاربرانی که هر بار فقط به یک گروه تعلق دارند، وجود ندارد. هر کاربر می تواند به طور همزمان به چندین گروه تعلق داشته باشد. با دستور newgrp کاربر عضو گروه مشخص شده در دستور می شود و این گروه برای این کاربر می شود. گروه ورود(گروه ورود). در این حالت کاربر عضو گروه هایی می ماند که قبل از اجرای دستور newgrp در آنها عضویت داشت. گروه لاگین گروهی است که مالک گروه فایل های ایجاد شده توسط کاربر می شود.

تفاوت بین گروه های پیش فرض و گروه های کاربری خصوصی در میزان باز بودن دو طرح است. در مورد طرحواره ای با گروه پیش فرض، هر کاربری می تواند فایل های کاربر دیگر را بخواند (و اغلب آنها را اصلاح کند). با این حال، در گروه‌های خصوصی، خواندن یا نوشتن یک فایل ایجاد شده توسط کاربر دیگر تنها در صورتی امکان‌پذیر است که مالک آن به صراحت حقوق این عملیات را به سایر کاربران اعطا کرده باشد.

اگر می‌خواهید کاربران بتوانند بدون دخالت مدیر سیستم به گروهی بپیوندند و از آن خارج شوند، می‌توانید یک رمز عبور به آن گروه اختصاص دهید. یک کاربر تنها در صورتی می تواند از امتیازات یک گروه خاص استفاده کند که متعلق به آن گروه باشد. در اینجا دو گزینه وجود دارد: یا از لحظه ورود به گروه تعلق دارد یا بعد از شروع کار با سیستم، عضو گروه می شود. برای اینکه کاربر به گروهی که به آن تعلق ندارد ملحق شود، باید به آن گروه یک رمز عبور اختصاص داده شود.

به‌طور پیش‌فرض، WSWS از پسوردهای گروهی استفاده نمی‌کند، بنابراین هیچ فایل gshadow در فهرست /etc وجود ندارد.

اگر دائماً فقط از یکی از برنامه‌ها - useradd، LISA یا COAS - برای انجام کارهای معمول مدیریت کاربر استفاده می‌کنید، فایل‌های تنظیمات کاربر سازگارتر و نگهداری آسان‌تر هستند.

مزیت یک طرح با گروه پیش فرض این است که آن را آسان تر می کند اشتراک گذاریفایل‌ها، زیرا هنگام استفاده از آن نیازی نیست نگران حقوق دسترسی به آنها باشید. این طرح حاکی از رویکرد باز به سیستم بر اساس اصل "هر چیزی که ممنوع نیست مجاز است."

تنظیم پیش فرض های کاربر یک کار با اولویت بالا است که باید به محض نصب سیستم تکمیل شود.

گروه های کاربری خصوصی

گروه های کاربری خصوصی هم نام هایی با نام های کاربری دارند. گروه خصوصی به گروه ورود تبدیل می‌شود، بنابراین به‌طور پیش‌فرض، یعنی، مگر اینکه ویژگی‌های دایرکتوری خلاف آن را حکم کنند، به عنوان گروهی که همه فایل‌های کاربر را در اختیار دارد، اختصاص داده می‌شود.

مزیت گروه های خصوصی کاربر این است که کاربران مجبور نیستند به محدود کردن دسترسی به فایل های خود فکر کنند: به طور پیش فرض، دسترسی به فایل های کاربراز همان لحظه ایجاد آنها محدود خواهد شد. در WSWS، هنگام استفاده از گروه‌های خصوصی، کاربر فقط می‌تواند فایل‌هایی را که متعلق به او هستند بخواند یا تغییر دهد. علاوه بر این، او فقط می تواند فایل ها را در فهرست اصلی خود ایجاد کند. این رفتار پیش‌فرض را می‌توان توسط مدیر یا کاربر سیستم، هم در سطح فایل فردی و هم در سطح فهرست، تغییر داد.

چندین دستور وجود دارد که کاربر می تواند نام خود و/یا گروهی که به آن تعلق دارد یا نام یا گروهی که برنامه تحت آن اجرا می شود را کنترل کند. یکی از این برنامه ها newgrp است.

دستور newgrp می تواند توسط هر کاربری اجرا شود. این به او اجازه می دهد تا به گروهی بپیوندد که به آن تعلق ندارد، اما تنها در صورتی که به آن گروه یک رمز عبور اختصاص داده شده باشد. اگر عضو آن گروه نباشید، این دستور به شما اجازه نمی دهد بدون رمز عبور به یک گروه بپیوندید.

دستور newgrp را می توان در گروهی استفاده کرد که کاربر قبلاً عضو آن است. در این صورت newgrp گروه مشخص شده را به گروه ورود تبدیل می کند. گروه های کاربر به دو نوع تقسیم می شوند: گروه ورود به سیستم و همه گروه های دیگری که کاربر به آنها تعلق دارد. یک کاربر می تواند به بیش از یک گروه تعلق داشته باشد، اما گروهی که مالک فایل های ایجاد شده توسط کاربر است، همیشه گروه ورود کاربر خواهد بود.

علاوه بر newgrp، می توانید از دستورات chown و chgrp نیز برای کنترل اینکه یک فایل متعلق به کدام کاربر یا گروه است استفاده کنید.

دامنه دستور newgrp در محیط XWindow محدود به برنامه xterm است که در آن اجرا شده است: فقط برنامه هایی که از طریق این ترمینال راه اندازی شده اند در زمینه گروه جدید اجرا می شوند، به این معنی که کاربر نمی تواند از آن برای تغییر استفاده کند. گروه لاگین برای برنامه هایی که از طریق مدیر پنجره راه اندازی شده اند. برنامه ای که همیشه باید در زمینه یک گروه ثانویه اجرا شود، می تواند از طریق یک اسکریپت اجرا شود که آن را روی گروه لاگین مورد نیاز تنظیم می کند.

سیستم XWindow همیشه مشکلات بیشتری را وارد زندگی کاربران می کند. در این مورد، این دشواری ها مستقیماً به X مربوط نمی شوند، بلکه از منطق /etc/groups و /etc/gshadow پیروی می کنند. کسانی که از رمزهای عبور سایه برای گروه ها استفاده نمی کنند، نگرانی زیادی در مورد آنها ندارند. در مورد X، امکان راه اندازی یک گروه محافظت شده با رمز عبور از یک اسکریپت ساده وجود ندارد، اما برای گروه های ثانویه کاربر که نیازی به رمز عبور ندارند، تغییر گروه بسیار ساده است. اسکریپت زیر کافی است:

sg - gifs -c /usr/X11R6/bin/xv &

این اسکریپت برنامه xv را با گروه gif به عنوان گروه اصلی راه اندازی می کند. چیزی که باید بدست آورید.

برای کسانی که از پسوردهای گروه سایه استفاده می کنند سخت تر است، زیرا در این حالت هنگام اجرای این اسکریپت، یک پیام خطا روی صفحه ظاهر می شود. هنگامی که فایل /etc/groups کاربرانی را که به یک گروه تعلق دارند لیست می کند، هر یک از آنها بلافاصله پس از ورود به سیستم به طور خودکار عضو گروه در نظر گرفته می شود. اما در مورد رمزهای عبور سایه، لیست کاربران گروه به فایل /etc/gshadow منتقل شده است، به طوری که کاربری که وارد می شود به طور خودکار به عنوان عضو گروه ثبت نمی شود، اما می تواند با newgrp به آن بپیوندد. با دستور sg هر برنامه ای را از طرف آن فرمان داده یا اجرا کنید. مشکل این است که از دیدگاه X، این کاربر (که لزوماً کاربر شروع کننده جلسه کاری X نیست) حق برقراری ارتباط را ندارد. بنابراین، برای گروه‌هایی که پسورد محافظت نشده‌اند، اسکریپت بالا به صورت زیر اصلاح می‌شود:

xhosts +localhost

sg - gifs -c /usr/X11R6/bin/xv &

خط اضافه شده به یک گروه جدید (گیف) اجازه دسترسی به صفحه را می دهد. برای اکثر ایستگاه های کاری، این نباید منجر به مشکلات امنیتی مهمی شود، زیرا رشته داده شدهفقط به کاربران میزبان محلی اجازه دسترسی به صفحه نمایش را می دهد (برای اطلاعات بیشتر در مورد X و xhost، به راهنمای خوب مدیر سیستم لینوکس مراجعه کنید).

توجه داشته باشید

استفاده از سرور X (مخصوصاً در ارتباط با xdm یا kdm) مستلزم تعدادی ظرافت‌های خاص خود است که توسط برنامه‌های گرافیکی تشدید می‌شوند، زیرا می‌توانند نه تنها از طریق آن اجرا شوند. خط فرمان، بلکه از طریق نماد روی دسکتاپ گرافیکی.

تغییر کاربر

توجه داشته باشید

یک کاربر عادی نمی تواند به اندازه یک ابرکاربر بی دقت به سیستم آسیب برساند. عواقب اشتباه تایپی شما به عنوان یک کاربر فوق‌العاده می‌تواند کاملاً کشنده باشد، تا جایی که تمام شما فایل های سیستمی(و حتی با تمام فایل های ذخیره شده در سیستم) امکان خداحافظی وجود خواهد داشت. ممکن است برخی از شرکت ها نیز با شما خداحافظی کنند.

دستور su یک کاربر را به کاربر دیگر تبدیل می کند. این تیم نام خود را از آن گرفته است « جایگزین کاربر » (جایگزینی کاربر)، اما از آنجایی که بیشتر برای تبدیل شدن به ابرکاربر استفاده می شود.

دستور su که بدون آرگومان فراخوانی می شود، از کاربر یک رمز عبور می خواهد و سپس (دریافت رمز عبور صحیح در پاسخ) شما را به کاربر اصلی تبدیل می کند. این دستور یک سرویس محدود است، بنابراین تمام جنبه های امنیتی آن را می توان از طریق فایل /etc/pam.d/su پیکربندی کرد.

توجه داشته باشید -

فراخوانی su بدون تعیین نام کاربری (با یا بدون خط تیره) به عنوان یک دستورالعمل برای تبدیل شما به کاربر اصلی تلقی می شود.

این دستور sudo به کاربران منتخب اجازه می‌دهد تا برخی از برنامه‌ها را به‌عنوان روت اجرا کنند و از کاربری که به این دستور دسترسی پیدا می‌کند، رمز عبور root از او خواسته نمی‌شود، بلکه رمز عبور خود را دریافت می‌کند. توسط sudo مانند دستور sg استفاده می شود. کاربر sudo command_to_execute و سپس رمز عبور خود را تایپ می کند و اگر اجازه انجام این کار را داشته باشد، دستور مشخص شده در چارچوب امتیازات superuser اجرا می شود.

امنیت و کاربران

کاربران معمولاً فقط به نحوه ورود و اجرای برنامه های مورد نیاز خود علاقه مند هستند. علاقه آنها به امنیت تنها پس از از دست دادن پرونده های مهم ظاهر می شود. اما زیاد دوام نمی آورد. پس از اطلاع از اقدامات انجام شده، کاربران به سرعت هرگونه اقدام احتیاطی را فراموش می کنند.

به طور کلی، این نگرانی آنها نیست - ایمنی. مدیر سیستم باید یک خط‌مشی امنیتی را طراحی، اجرا و حفظ کند که به کاربران اجازه می‌دهد کارهای خود را انجام دهند بدون اینکه حواسشان به مسائل امنیتی که خارج از محدوده آنها است، پرت شوند.

خطر اصلی برای سیستم، به عنوان یک قاعده، از درون می آید، نه از بیرون. منبع آن (به ویژه در سیستم های بزرگ) می تواند به عنوان مثال، یک کاربر عصبانی باشد. با این حال، زمانی که آسیب ناشی از ناآگاهی با نیت سوء اشتباه گرفته شود، باید از سوء ظن زیاد خودداری شود. نحوه محافظت از کاربران در برابر آسیب ناخواسته به فایل های خود و دیگران در قسمت اول کتاب توضیح داده شده است. همانطور که تمرین نشان می دهد، کاربر معمولی قادر به آسیب رساندن به سیستم نیست. شما فقط باید نگران آن دسته از کاربرانی باشید که می توانند در مکانیسم های حفاظتی حفره ای پیدا کنند و واقعاً قادر به ایجاد آسیب هدفمند به سیستم هستند. اما معمولاً چنین کاربرانی کم هستند و به مرور زمان شناخته می شوند، به خصوص اگر بدانید به دنبال چه چیزی باشید. گروه خطر شامل کاربرانی است که به دلیل موقعیت یا به لطف اتصالات خود، می توانند در سطح امتیاز root دسترسی داشته باشند. با تسلط بر مطالب این کتاب، یاد خواهید گرفت که به عنوان نشانه های مشکل قریب الوقوع به دنبال چه چیزی باشید.

به طور پیش فرض، کاربران کنترل کاملی بر دایرکتوری های خانگی خود دارند. اگر از گروه پیش فرض استفاده می کنید، همه کاربران سیستم به یک گروه تعلق دارند. هر کاربر حق دسترسی به دایرکتوری های اصلی سایر کاربران و فایل های موجود در آنها را دارد. هنگام استفاده از طرح با گروه های کاربری خصوصی، هر کاربر سیستم فقط به فهرست اصلی خود دسترسی دارد و دایرکتوری های خانگی سایر کاربران در دسترس او نیست.

اگر می خواهید به همه کاربران سیستم ارائه دهید دسترسی عمومیبه مجموعه ای از فایل های به اشتراک گذاشته شده، توصیه می شود یک دایرکتوری به اشتراک گذاشته شده در جایی خاص برای این منظور ایجاد کنید، گروهی ایجاد کنید که همه کاربران عضو آن باشند (این می تواند گروه کاربران یا هر گروه دیگری باشد که ایجاد می کنید) و به این گروه بدهید. حقوق دسترسی مناسب به این فهرست عمومی. اگر کاربر بخواهد برخی از فایل‌های خود را در دسترس سایر کاربران قرار دهد، می‌تواند به سادگی آنها را در این فهرست کپی کرده و مطمئن شود که این فایل‌ها متعلق به همان گروهی هستند که همه کاربران عضو آن هستند.

برخی از کاربران نیاز به استفاده دارند یا به سادگی نمی توانند بدون برنامه هایی که در WSWS گنجانده شده اند استفاده کنند. اکثر کاربران در گذر زمان با تعداد زیادی از فایل‌های خود مواجه می‌شوند: اسناد، فایل‌های پیکربندی، اسکریپت‌ها و غیره. سیستم OpenLinux کمک چندانی به کاربران در سازمان‌دهی فایل‌هایشان نمی‌کند و این کار را به مدیر سیستم واگذار می‌کند.

ساختار دایرکتوری ایجاد شده در فهرست اصلی هر کاربر جدید توسط محتویات دایرکتوری /etc/skel تعیین می شود. یک /etc/skel معمولی معمولا شامل دایرکتوری های زیر است:

این دایرکتوری ها برای ذخیره (به ترتیب) فایل های باینری، فایل های منبع، فایل های سند و سایر فایل های متفرقه استفاده می شوند. بسیاری از برنامه‌ها به‌طور پیش‌فرض، انواع خاصی از فایل‌ها را در یکی از این زیر شاخه‌ها ذخیره می‌کنند. هنگامی که کاربران توضیحی در مورد هدف کاتالوگ هایی که در اختیار دارند دریافت می کنند، کاربران معمولاً مایل به استفاده از آنها هستند، زیرا این کار باعث می شود که مجبور نباشند چیزی از خود ارائه دهند. فقط به یاد داشته باشید که دایرکتوری ~/bin را یکی از آخرین فهرست های فهرست شده در آن قرار دهید متغیر PATHکاربران

امنیت و رمزهای عبور

آنها می گویند که در جایی که نازک است، آنجا می شکند - این ضرب المثل اغلب در مورد اهمیت کلمه عبور در یک سیستم امنیتی یادآوری می شود. به طور کلی، قدرت یک سیستم امنیتی توسط عوامل زیادی تعیین می شود، به ویژه اینکه سیستم WSWS چه خدماتی را در دسترس قرار می دهد. کاربران خارجی(آیا به عنوان یک وب سرور استفاده می شود، آیا می توان با استفاده از telnet وارد آن شد و غیره). یکی دیگر از عوامل تعیین کننده رمزهای عبور کاربر است که ما را به عامل دیگری می رساند - پیروی کاربر از سیاست های امنیتی. یک کاربر ساده نمی خواهد چیزی در مورد امنیت بداند. اگر به کاربر احترام می گذاریم و نمی خواهیم با روش های اجباری نگرش او را نسبت به امنیت تغییر دهیم، باید سیستم امنیتی را برای او راحت و قابل درک کنیم. راحتی سخت ترین کار است. هر چیزی که ایمن است معمولاً خیلی راحت نیست (زیرا در پشت راحتی قابلیت پیش بینی و عنصری وجود دارد که با ایمنی ناسازگار است) و بنابراین با رفتار معمول افرادی که راحت ترین راه را به همه راه های ممکن ترجیح می دهند در تضاد است. از این گذشته ، کاربران با سیستم کار می کنند تا کارهای محول شده به آنها را تکمیل کنند و موارد جدیدی را به خود اضافه نکنند. برای جلوگیری از اینکه کاربران عمداً در مسیر برخورد با رمزهای عبور کمترین مقاومت را در پیش بگیرند، معمولاً سعی می‌کنم به آنها توضیح دهم که پسوردها برای چیست و چرا حفظ امنیت آنها مهم است. این مهم نیست که از موقعیت‌های عمومی مانند «سیستم با امنیت پایین هک شود، دزدیده شود یا آسیب ببیند فایل های مهم"، اما از نقطه نظر منافع شخصی کاربر.

اکثر کاربران اهمیت ایمیل را برای کار خود درک می کنند. با این حال، چیزی که آنها متوجه نمی شوند این است که هر کسی که با نام خود وارد می شود، می تواند از ایمیل خود از طرف خود علیه آنها استفاده کند. از کاربر بپرسید که آیا از ایمیل برای مقاصد شخصی استفاده می کند یا خیر. به احتمال زیاد، او پاسخ مثبت خواهد داد. سپس از او بپرسید که آیا او باید در مورد آن تصمیم بگیرد پست الکترونیکمسائل مهم تجاری هر روز کمتر و کمتری وجود دارد که پاسخ «نه» بدهد. اما حتی اگر پاسخ منفی باشد، برخی از شرکای تجاری ممکن است یک تراکنش ایمیل را مانند یک معامله تلفنی الزام آور بدانند.

سپس به کاربر توضیح دهید که او ایمیل هاگاهی اوقات به اندازه امضای شخصی او اهمیت دارد. اگرچه امکان تغییر هدر یک ایمیل وجود دارد، اما در بیشتر موارد چنین تغییری به اندازه جعل امضا غیرقانونی است. اما اگر شخصی با یادگیری رمز عبور کاربر دیگری به نام خود وارد سیستم شود ، به معنای واقعی کلمه می تواند با امضای شخص دیگری امضا کند. هر نامه ای که توسط او ارسال شود از نظر فنی با نامه های ارسال شده توسط خود کاربر قابل تشخیص نیست. عمل اجازه دادن به شخصی برای ورود با نام دیگری نامطلوب است و باید از آن اجتناب شود (به استثنای مدیران سیستم که از این قابلیت برای آزمایش اسکریپت های ورود و تنظیمات کاربر استفاده می کنند، اما برای انجام این کار نیازی به دانستن رمز عبور کاربر ندارند) . پدیده های نامطلوب شامل ورود با نام جعلی (حتی با اجازه کاربر دیگر) است. این چقدر نامطلوب است؟ پاسخ به این سوال با سختگیری سیاست امنیتی سازمان تعیین می شود.

با این حال، کاربران باید بدانند که راه‌های به همان اندازه خطرناک دیگری برای به دست آوردن وجود دارد دسترسی غیرمجازبه حساب آنها رایج ترین حالت زمانی است که کاربر از ترس فراموشی رمز عبور، به خاطر سپردن آن را آسان می کند و در نتیجه حدس می زند، یا رمز عبور را روی کاغذی که اغلب به سادگی به مانیتور متصل می شود، یادداشت می کند. سیستم امنیتی رمز عبور بر دو چیز استوار است: یک نام کاربری دائمی و یک رمز عبور که به طور دوره ای تغییر می کند. اکثر مردم پین حساب بانکی خود را به کسی نمی گویند، اما از رمز عبور کاربر خود محافظت نمی کنند. اگر چه، بر خلاف وضعیت با حساب بانکی، قسمت ثابت کجاست یعنی کارت اعتباری، یک شی فیزیکی است که هنوز به آن دسترسی پیدا نکرده است، بخش دائمی سیستم امنیتی رمز عبور، یعنی نام کاربری، برای همه (حداقل همه افراد داخل شرکت و کسانی که این کاربر با آنها از طریق ایمیل با آنها مکاتبه کرده است) شناخته شده است. ). بنابراین، اگر قسمت متغیر در جایی نوشته شده باشد یا به راحتی توسط برنامه‌ای که کلمات را از یک فرهنگ لغت مرتب می‌کند، حدس بزند یا برداشت کند، نمی‌توان چنین حسابی را به خوبی محافظت کرد.

در نهایت، کاربران باید از وجود چنین روشی برای دریافت رمز عبور به عنوان «مهندسی اجتماعی» (socialeengineering) آگاه باشند. اکثر ما حداقل یک نفر را در زندگی خود ملاقات کرده ایم که می توان او را "لغزنده مثل جهنم" توصیف کرد. چنین افرادی این توانایی را دارند که با توسل به یک استدلال منطقی، افراد دیگر را متقاعد کنند تا اطلاعات مورد نیاز خود را ارائه دهند. اما این تنها نیست راه ممکنرمز عبور شخص دیگری را یاد بگیرید گاهی فقط نگاه کردن کافی است.

اقدام متقابل در برابر چنین حوادثی تغییر منظم رمز عبور است. البته می توانید هر ده سال یک بار رمز عبور را تغییر دهید، اما بهتر است فواصل بین تغییرات را زیاد نکنید، همانطور که بهتر است مثلاً هر ساعت یک بار، خیلی کوتاه نشوید. عدم تغییر رمز عبور برای مدت طولانی به معنای قرار گرفتن در معرض خطر هک شدن است.

توجه داشته باشید-

نفوذ یک فرد خارجی به سیستم تحت پوشش یک کاربر معمولی می تواند عواقب ناخوشایندی را نه تنها برای فایل های این کاربر، بلکه برای کل سیستم به همراه داشته باشد، زیرا هر چه این فرد خارجی در مورد سیستم شما اطلاعات بیشتری داشته باشد، آسان تر است. برای او خواهد بود که سوراخ هایی را در محافظت از آن پیدا کند.

توجه داشته باشید که اسکریپت قبل از شروع اجرا چند بررسی انجام می دهد: آیا در سطح دسترسی ریشه اجرا می شود، آیا UID اولیه قبلاً گرفته شده است، و غیره. با این حال، نمی توان گفت که همه چیز را بررسی می کند.

شکستن رمز عبور

یکی از راه‌های آزمایش امنیت یک سیستم این است که خود را به جای یک مهاجم قرار دهید و سعی کنید مانند فردی که سعی در نقض امنیت دارد فکر و عمل کنید. این به این معنی است که در میان کاربران قدم بزنید، ببینید آیا یک رمز عبور نوشته شده به برخی از مانیتورها وصل شده است یا خیر، آیا کسی یک تکه کاغذ با اطلاعات شناسایی روی آن نوشته شده روی میز گذاشته است، یا درست در همان ساعت صبح که کاربران وارد سیستم می‌شوند، «راه بروید» در (شاید بتوانید یکی از آنها را در حال تایپ رمز عبور روی صفحه کلید ببینید).

همچنین به معنای توجه به جهت مانیتور کاربر است که به اطلاعات حساس دسترسی دارد تا ببیند آیا برای دیگران قابل مشاهده است یا خیر. علاوه بر این، وقتی این کاربران میز خود را ترک می کنند، آیا محافظ صفحه نمایش قفل شده با رمز عبور را راه اندازی می کنند، از سیستم خارج می شوند یا کاری انجام نمی دهند؟

با این حال بهترین راهقدرت سیستم امنیتی رمز عبور و نگرش کاربران نسبت به آن را آزمایش کنید - سعی کنید رمزهای عبور کاربر را بشکنید. اجرای منظم برنامه شکستن رمز عبور می تواند تخمین خوبی از قدرت سیستم محافظت از رمز عبور شما ارائه دهد.

1. 
   نحوه تشخیص اینکه آیا سخت افزار توسط سیستم عامل پشتیبانی می شود یا خیر این کامپیوتر?
2. 
   WSWS 3.0 چه گزینه های نصبی را ارائه می دهد؟
3. 
   نصب کننده چه پروتکل های شبکه ای را پشتیبانی می کند؟
4. 
   چه زمانی ایجاد دیسکت های بوت ضروری است؟
5. 
   آیا می توانید مراحل اصلی نصب را لیست کنید؟
6. 
   چه بوت لودری برای بارگذاری هسته سیستم عامل استفاده می شود؟
7. 
   مراحل اصلی بارگذاری کرنل را لیست کنید؟
8. 
   lilo و lilo.conf چیست؟
9. 
   چگونه LILO را حذف و بوت لودر اصلی را بازیابی کنیم؟
10. 
    مکانیسم ماژول های هسته برای چه مواردی استفاده می شود؟
11. 
    چه زمانی استفاده از دیسک رم ضروری است؟
12. 
    چگونه استفاده از دیسک RAM را در هنگام بوت پیکربندی کنیم؟
13. 
    تفاوت بین فلاپی های بوت، بوت نت و درایورهای بوت چیست؟ چگونه آنها را ایجاد کنیم؟ چگونه آنها را بررسی کنیم؟
14. 
    بسته نرم افزاری، وابستگی های بسته چیست؟
15. 
    مدیران بسته چه ویژگی هایی ارائه می دهند؟
16. 
    چه مدیر بسته ای برای مدیریت نرم افزار استفاده می شود؟
17. 
    چگونه یک بسته را از روی سی دی، از طریق شبکه نصب کنیم؟

1. نصب سیستم عامل WSWS 3.0

1. مراحل اولیه نصب

نصب از روی سی دی شامل مراحل زیر است:

دعوت به نصب و یادآوری مستندات؛

انتخاب دستکاری کننده "موس"؛

پارتیشن بندی دیسک؛

راه اندازی بوت لودر؛

تنظیمات شبکه؛

تنظیم نام کامپیوتر؛

انتخاب منطقه زمانی؛

انتخاب مجتمع ها برای نصب؛

نصب بسته ها؛

تنظیم رمز عبور برای کاربر اصلی؛

ایجاد دیسکت های بوت؛

راه اندازی کارت گرافیک و مانیتور؛

هر آیتم مربوط به یک یا چند کادر محاوره ای است.

هنگام نصب از طریق شبکه با استفاده از سرور، چند مرحله مقدماتی اضافی وجود دارد که باید انجام شود:

• 
  تولید مجموعه ای از دیسک های فلاپی برای بارگذاری رایانه و سازماندهی دسترسی شبکه به سرور.
• 
  یک گزینه نصب شبکه را انتخاب کنید.
• 
  راه اندازی شبکه و سازماندهی دسترسی شبکه به سرور.

هنگامی که دسترسی شبکه به سی دی موجود در درایو روی سرور نصب شد، نصب کننده همان مراحل نصب از روی سی دی را دنبال می کند و از مرحله دوم ("اعلام نصب") شروع می شود. در این صورت نیازی به پیکربندی شبکه نخواهید داشت، فقط باید تنظیمات انجام شده را تایید کنید.

1. نصب از روی سی دی

قبل از شروع نصب، باید پیکربندی کنید بایوس کامپیوتربه طوری که سی دی در لیست دستگاه های بوت اولین باشد و سی دی را با ماژول بوت WSWS 3.0 در درایو سی دی قرار دهید.

اگر بایوس از بوت شدن از روی سی دی پشتیبانی نمی کند، علاوه بر این باید یک دیسک فلاپی بوت را در درایو قرار دهید و بایوس کامپیوتر را به گونه ای پیکربندی کنید که فلاپی دیسک اولین در لیست دستگاه های قابل بوت باشد. رایانه‌های مدرن معمولاً از بوت شدن از طریق سی‌دی پشتیبانی می‌کنند، بنابراین نیاز به فلاپی بوت ممکن است تنها هنگام نصب WSWS 3.0 بر روی رایانه قدیمی ایجاد شود.

سپس باید کامپیوتر خود را مجددا راه اندازی کنید. اعلان زیر روی صفحه نمایشگر ظاهر می شود:

در قالب این دستور، امکان ارسال پارامترهای اضافی به نصب کننده وجود دارد. برای مثال دستور:

بوت: MCBC mem=128M

به نصاب می گوید که حجم حافظه دسترسی تصادفیاین کامپیوتر 128 مگابایت است.

برای شروع دانلود نصب کننده، کلیدی را فشار دهید. هسته سیستم عامل WSWS 3.0 بارگیری می شود، همراه با پیام های تشخیصی، سپس نصب کننده شروع می شود، که به طور خودکار درایورها را برای درایو CD و کنترلرها بارگیری می کند. دیسکهای سختموجود بر روی کامپیوتر و پشتیبانی شده توسط OS WSWS 3.0.

اگر مقداردهی اولیه ناموفق باشد، به این معنی است که برای از این نوعدرایو سی دی یا هارد دیسکباید دانلود شود راننده کمکی. نصب کننده لیستی از درایورها را ارائه می دهد که در آن باید درایور مناسب را انتخاب کرده و روی دکمه "بله" کلیک کنید.

اگر از فلاپی بوت بوت شده اید، وقتی نصب کننده را اجرا می کنید، کادر محاوره ای Driver Disk ظاهر می شود که به شما دستور می دهد فلاپی درایور را در فلاپی درایو قرار دهید. در این حالت فلاپی بوت باید حذف شود و فلاپی درایورها باید وارد شود.

پس از بارگیری درایورهای مورد نیاز، یک اعلان روی صفحه نمایشگر ظاهر می شود (شکل 9-1).

1.1.41. انتخاب ماوس

پس از اعلان سیستم عامل WSWS 3.0، کادر محاوره ای Select Mouse در ادامه ظاهر می شود (شکل 9-2).

نوع "موس" را انتخاب کنید، به عنوان مثال، "موس PS / 2 معمولی" و، اگر "موس" دارای دو دکمه است، می توانید از شبیه سازی حالت سه دکمه استفاده کنید. برای انجام این کار، شبیه سازی دکمه سوم را فعال کرده و روی دکمه "بله" کلیک کنید.

1.1.42 پارتیشن بندی هارد دیسک

کادر محاوره ای دیسک پارتیشن ظاهر می شود (شکل 9-3) و از شما خواسته می شود که یک ابزار پارتیشن دیسک سخت را انتخاب کنید: Auto Partition، Disk Druid یا fdisk.

در بیشتر موارد، پارتیشن بندی هارد دیسک ها، آرایه های دیسک، حجم های LVM در برنامه Disk Druid اتفاق می افتد. علاوه بر این، حالت "پارتیشن بندی خودکار" یک مورد خاص از کار با Disk Druid با محاسبه خودکار نسبت فضای دیسک مطابق با تجهیزات واقعی نصب شده است. اگر نیاز به کار در سطح پایین دارید هارد دیسکباید از ابزار fdisk استفاده کنید.

Disk Druid را هایلایت کرده و کلید را فشار دهید.

کادر محاوره ای "پارتیشن" که ظاهر می شود (شکل 9-4) لیستی از دیسک های موجود و پارتیشن های موجود را نمایش می دهد.

همچنین در این پنجره دکمه هایی برای کار با بخش ها وجود دارد: "جدید"، "ویرایش"، "حذف"، "RAID"، "بله"، "بازگشت".

خط پایین نکاتی را برای استفاده از کلیدهای میانبر ارائه می دهد: "F1-Help، F2-New، F3-Edit، F4-Delete، F5-Reset، F12-Yes".

به طور کلی، WSWS 3.0 بر روی رایانه ای با هارد دیسک خالی نصب می شود. در این حالت می توانید پارتیشن بندی را با استفاده از Disk Druid یا با انتخاب پارتیشن بندی خودکار انجام دهید.

برای نصب موفقیت آمیز OS WSWS 3.0، کافی است دو پارتیشن ایجاد کنید: پارتیشن ریشه "/" و پارتیشن swap. حجم پارتیشن ریشه باید حداقل 1200 مگابایت باشد.

می توانید دایرکتوری های /boot، /home، /var، /tmp و دیگران را به بخش های جداگانه منتقل کنید. این به شما امکان می دهد، برای مثال، دایرکتوری های خانگی کاربران را از سیستم فایل ریشه جدا کنید.

توجه. در WSWS 3.0، نمی توانید پوشه /usr را در یک پارتیشن جداگانه قرار دهید!

برای انتقال یک دایرکتوری به یک پارتیشن جداگانه، باید یک پارتیشن با سیستم فایل "ext3" ایجاد کنید و یک نقطه اتصال مطابق با نام دایرکتوری به آن اختصاص دهید.

برای ایجاد یک پارتیشن، دکمه "جدید" را انتخاب کنید و کلید را فشار دهید. در کادر محاوره ای ظاهر شده "افزودن بخش" (ویرایش یک بخش جدید) (شکل 9-5):

• 
  نوع سیستم فایل را انتخاب کنید (برای پارتیشن swap - "swap"، در موارد دیگر - "ext3").
• 
  اندازه پارتیشن در مگابایت (در صورت لزوم، می توانید پارتیشن را به کل دیسک "کشش" کنید).
• 
  نقطه mount، برای پارتیشن ریشه "/" است، برای پارتیشن swap تنظیم نقطه اتصال لازم نیست.

برای ویرایش یک بخش موجود، آن را انتخاب کرده و روی دکمه "ویرایش" کلیک کنید. پس از کلیک بر روی دکمه "Edit"، در صورتی که پارتیشن /dev/hda1 انتخاب شده باشد، کادر محاوره ای "Edit /dev/hda1 partition" ظاهر می شود.

پس از اتمام ساخت پارتیشن ها، در پنجره «پارتیشن»، روی دکمه «بله» کلیک کنید.

کادر محاوره ای ذخیره تغییرات روی صفحه نمایشگر ظاهر می شود.

دکمه "بله" را فشار دهید.

مرحله بعدی فرمت کردن پارتیشن های ایجاد شده است. یک کادر محاوره ای با عنوان "توجه!" روی صفحه نمایشگر ظاهر می شود. و لیستی از پارتیشن هایی که با کلیک بر روی دکمه "بله" فرمت می شوند (شکل 9-6).

1.1.43. راه اندازی بوت لودر

کادر محاوره ای Boot Loader Setup روی صفحه ظاهر می شود (شکل 9-7). در این پنجره باید گزینه نصب سیستم با یا بدون بوت لودر را انتخاب کنید. بوت لودر به شما امکان می دهد چندین گزینه برای راه اندازی آن در سیستم داشته باشید یا سیستم عامل قابل بوت را انتخاب کنید (اگر بیش از یک وجود دارد). در حالت بدون بوت لودر، هسته WSWS 3.0 منحصراً در سیستم بوت می شود.

دکمه "بله" را فشار دهید.

بعد، یک کادر محاوره ای روی صفحه ظاهر می شود (شکل 9-8) که از شما می خواهد پارامترهای اضافی را وارد کنید که در حین بارگذاری استفاده می شود. به طور پیش فرض، این پنجره برای استفاده از حالت LBA32 (با استفاده از آدرس های منطقی 32 بیتی بلوک های دیسک سخت) تنظیم شده است، زیرا این حالت در اکثر موارد برای پشتیبانی از دیسک های با ظرفیت بالا مورد نیاز است.

اگر رایانه شما دارای یک رایتر IDE CD است، نصب کننده خطی مانند "hdc=ide-scsi" را در قسمت ورودی پارامتر قرار می دهد (به عنوان مثال، اگر درایو در حالت Master به دومین کنترلر IDE متصل باشد).

اگر نیازی به ارسال گزینه های دیگری به بوت لودر LILO یا هسته نیست، توصیه می شود که گزینه های پیشنهاد شده توسط نصب کننده را رها کرده و روی Yes کلیک کنید.

روش بعدی در پیکربندی بوت لودر، تنظیم رمز عبور برای دسترسی برای تغییر پارامترهای راه اندازی سیستم است. از آنجایی که در حضور بوت لودر، امکان انتقال پارامترهای هسته تخصصی از صفحه کلید در هنگام راه اندازی سیستم وجود دارد، این ویژگی با یک رمز عبور محافظت می شود تا سطح امنیتی مورد نیاز را تضمین کند. در کادر محاوره ای بعدی که ظاهر می شود (شکل 9-9)، رمز عبوری را وارد کنید که اندازه آن نباید کمتر از 8 کاراکتر باشد. رمز عبور را با وارد کردن مجدد آن در خط بعدی پنجره تأیید کنید.

دکمه "بله" را فشار دهید.

یک کادر محاوره ای برای انتخاب پارتیشن های بوت بر روی صفحه ظاهر می شود (شکل 9-10)، و از شما می خواهد پارتیشن های بوت دیگری را که می توانند با استفاده از لودر سیستم عامل WSWS 3.0 بارگذاری شوند، مشخص کنید. به عنوان مثال، اگر رایانه شما دارای سیستم عامل دیگری است، می توانید آن را برچسب گذاری کنید و با استفاده از بوت لودر سیستم عامل WSWS 3.0 آن را راه اندازی کنید.

داده های مورد نیاز را در خطوط مناسب وارد کرده و روی دکمه "بله" کلیک کنید.

پنجره بعدی (شکل 9-11) محل بوت لودر روی دیسک را مشخص می کند. دو گزینه وجود دارد: رکورد بوت اصلی (MBR) هارد دیسک (در بیشتر موارد توصیه می شود)، یا بخش بوت (رکورد بوت) پارتیشن مربوطه که در آن نصب انجام می شود.

انتخاب کنید و روی دکمه "بله" کلیک کنید.

1.1.44. راه اندازی شبکه

اگر نصب کننده حداقل یکی را تشخیص دهد کارت شبکه، صفحه نمایش دنباله ای از جعبه های محاوره ای "تنظیمات شبکه برای ethX" (شکل 9-12) را نشان می دهد، که در آن X یک شماره دنباله است که در آن تنظیمات برای هر کارت شبکه پیکربندی شده است.

پروتکل ها تنظیم خودکارتنظیمات شبکه BOOTP و DHCP زمانی استفاده می شود که یک سرور ویژه در شبکه وجود داشته باشد که به درخواست ماشین سرویس گیرنده سرویس پیکربندی خودکار را ارائه می دهد.

اگر سرور DHCP وجود ندارد، باید پارامترهای شبکه را به صراحت با انتخاب "فعال کردن در هنگام بوت" تنظیم کنید. پس از آن، چندین خط در پنجره برجسته می شود که در آن باید پارامترهای اتصال شبکه را مشخص کنید.

آدرس های شبکه به صورت اعشاری نشان داده می شوند (به عنوان مثال، 192.168.1.1). اطلاعات مربوط به پر کردن فیلدها باید توسط مدیر شبکه ارائه شود.

آدرس شبکه - آدرس IP رایانه موجود در شبکه.

Netmask پارامتری است که کلاس یک بخش شبکه را مشخص می کند.

دروازه پیش فرض میزبانی است که به ارتباطات این شبکه محلی با بخش های شبکه خارجی سرویس می دهد.

سرور نام اصلی گره ای است که از سرویس حل نام دامنه با استفاده از پروتکل DNS به آدرس های IP پشتیبانی می کند. آدرس IP سرورهای نام اضافی (DNS) را در فیلدهای مربوطه وارد کنید. اگر شبکه از یک سرور نام استفاده می کند، این فیلدها را می توان خالی گذاشت.

دکمه "بله" را فشار دهید.

برنج. 9-13. تنظیم نام کامپیوتر

برنج. 9-14. انتخاب منطقه زمانی

سپس باید نام کامپیوتر را تنظیم کنید. کادر محاوره ای زیر "تنظیم نام کامپیوتر" روی صفحه ظاهر می شود (شکل 9-13) که باید فیلد مربوطه را در آن پر کنید. نام نیز باید با مدیر شبکه به توافق برسد.

دکمه "بله" را فشار دهید.

1.1.45.انتخاب منطقه زمانی

کادر گفتگوی زیر "انتخاب منطقه زمانی" روی صفحه ظاهر می شود که در آن می توانید تنظیمات زمان سیستم را پیکربندی کنید. در OS WSWS 3.0، زمان در حالت محلی شمارش می شود، یعنی. ساعت سخت افزاری سیستم به طور منحصر به فرد زمان خود را بدون تبدیل اضافی با توجه به نقاط مرجع مختلف مانند UTC تعیین می کند.

در پنجره، منطقه زمانی روسیه را انتخاب کنید که بیشتر با مکان رایانه مطابقت دارد، که نشان دهنده تفاوت زمان استاندارد نسبت به منطقه "صفر" - اروپا / مسکو است (شکل 9-14).

دکمه "بله" را فشار دهید.

1.1.46 انتخاب و نصب بسته ها

کادر محاوره ای "انتخاب مجتمع ها" روی صفحه ظاهر می شود (شکل 9-15).

این کادر محاوره ای از شما می خواهد که مجتمع های زیر را انتخاب کنید:

• 
  پیکربندی اولیه سیستم عامل؛
• 
  زیر سیستم رابط کاربری گرافیکی;
• 
  ابزار توسعه

برای انتخاب معمولی ترین گزینه - سه مجتمع اول که به طور پیش فرض مشخص شده اند، کافی است دکمه "بله" را بدون انجام هیچ عمل دیگری فشار دهید. اگر فقط گروه "زیر سیستم GUI" یا فقط گروه "ابزارهای توسعه" مورد نیاز است، کادر مربوطه را علامت بزنید.

انتخاب گروه "پیکربندی سیستم عامل پایه" اجباری است؛ این گروه شامل تمام اجزای لازم برای عملکرد سیستم عامل WSWS 3.0 در نسخه اصلی (بدون وجوه اضافی).

حالت نصب "همه (از جمله اختیاری)" به معنای نصب همه بسته های توزیع، از جمله تغییرات هسته سیستم عامل، غیر اختصاصی برای این رایانه و مجموعه ای از بسته های لازم برای ایجاد دیسک بوت OS WSWS 3.0 است.

برای انتخاب دقیق تر بسته ها (شاید برای صرفه جویی در فضای دیسک اشغال شده توسط سیستم عامل)، گزینه "انتخاب بسته های فردی" را علامت بزنید و روی دکمه "بله" کلیک کنید. پنجره Select Packages (شکل 9-16) با لیستی از گروه های بسته و خود بسته ها ظاهر می شود.

یک گروه را می توان با کشیدن یک خط برجسته به آن و فشار دادن کلید جمع کرد/بسط داد. برای دریافت اطلاعات در مورد یک بسته، باید یک خط برجسته روی آن بکشید و کلید را فشار دهید. درج/غیرفعال کردن بسته ها در لیست برای نصب با فشار دادن کلید انجام می شود.

پس از تکمیل انتخاب بسته ها، روی دکمه "بله" کلیک کنید.

اگر یک لیست جداگانه از بسته ها برای نصب انتخاب شده باشد، ممکن است شرایطی وجود داشته باشد که وابستگی های برآورده نشده در بین آنها ظاهر شود. این بدان معنی است که در لیست انتخاب شده بسته هایی وجود دارد که به بسته های دیگری از دیسک بوت WSWS 3.0 نیاز دارند که برای نصب تیک نشده اند. وابستگی های بسته به طور خودکار توسط نصب کننده حل می شود.

هنگامی که انتخاب بسته کامل شد، کادر محاوره ای Start Installation روی صفحه ظاهر می شود. این پنجره حاوی اطلاعاتی در مورد فایل /root/log است که نصب کننده لیست بسته های نصب شده را پس از اتمام آن ذخیره می کند.

پارتیشن بندی واقعی دیسک و نصب بسته ها تنها پس از کلیک بر روی دکمه "بله" در پنجره "نصب اولیه" آغاز می شود. در صورت لزوم، هنوز هم می توانید با راه اندازی مجدد کامپیوتر قبل از این مرحله، فرآیند نصب را قطع کنید. در این صورت، تمام اطلاعات روی هارد دیسک ها بدون تغییر باقی می مانند.

برای شروع نصب بسته ها روی دکمه "بله" کلیک کنید.

پنجره Install Package روی صفحه ظاهر می شود (شکل 9-17).

در این مرحله می توانید مراحل نصب بسته های انتخابی را مشاهده کنید که به صورت خودکار انجام می شود. برای هر بسته نمایش داده می شود توضیح کوتاهو اطلاعات آماری مربوط به پیشرفت نصب بسته فعلی و همه بسته ها را با هم نمایش می دهد.

1.1.47.تنظیم رمز عبور superuser

کادر محاوره ای Root User Password روی صفحه ظاهر می شود (شکل 9-18). رمز عبور را در خط "رمز عبور" تنظیم کنید و ورود آن را در خط "تأیید رمز عبور" تأیید کنید (محدودیت در نوع و اندازه رمز عبور توسط الزامات امنیتی برای سیستم تعیین می شود؛ به طور پیش فرض، اندازه رمز عبور حداقل هشت است. شخصیت ها). هنگام تنظیم رمز عبور با استفاده از صفحه کلید، به دلایل امنیتی، به جای کاراکترهای وارد شده، ستاره نمایش داده می شود. دکمه "بله" را فشار دهید.

1.1.48. ایجاد دیسکت های بوت

کادر محاوره ای زیر، Boot Floppy Set، روی صفحه ظاهر می شود (شکل 9-19). اگر رکورد بوت روی هارد دیسک آسیب دیده باشد ممکن است به مجموعه فلاپی بوت نیاز باشد.

برای ایجاد دیسکت های بوت روی "بله" کلیک کنید. سپس دستورالعمل های ارائه شده در کادر محاوره ای را دنبال کنید.

اگر نیازی به ایجاد کیت قابل بوت ندارید، روی دکمه "نه" کلیک کنید. در آینده، می توانید با استفاده از یک ابزار گرافیکی یا دستور mkbootdisk یک دیسک بوت ایجاد کنید.

1.1.49.تنظیم کارت گرافیک و مانیتور

مرحله بعدی راه اندازی سیستم گرافیکی است. برای انجام این کار، در کادرهای محاوره ای، به دنبال دستورالعمل ها، اطلاعات مربوط به کارت گرافیک و مانیتور را وارد کنید.

اگر نصب کننده به طور خودکار نوع کارت گرافیک را تشخیص دهد، اطلاعات مربوط به آن ظاهر می شود (شکل 9-20).

برنج. 9-19. دیسک های بوت ایجاد کنید.

برنج. 9-20. انتخاب کارت گرافیک

در غیر این صورت، کادر محاوره ای "انتخاب نقشه" ظاهر می شود. نوع آن را از لیست انتخاب کنید. اگر کارت گرافیک مورد نیاز در لیست نیست، "کارت نامشخص" را انتخاب کنید.

در پنجره انتخاب سرور، سرور X را انتخاب کنید که کارت گرافیک شما می تواند با آن کار کند.

پس از آن، کادر محاوره ای تنظیمات مانیتور ظاهر می شود (شکل 9-21). اگر نصب کننده به طور خودکار نوع مانیتور را تشخیص ندهد، مانیتور مناسب را از لیست تغییر انتخاب کنید.

در صورت لزوم، می توانید تنظیمات مانیتور را به صورت دستی مشخص کنید. برای انجام این کار، مورد نوع «سایر» را در لیست انتخاب کنید و فرکانس کاری را برای اسکن تصویر به صورت عمودی و افقی (60 تا 100 هرتز) تنظیم کنید.

دکمه "بله" را فشار دهید.

پس از انتخاب مانیتور، پنجره Advanced روی صفحه ظاهر می شود (شکل 9-22). عمق رنگ مورد نظر و وضوح مانیتور را در پنجره انتخاب کنید. علاوه بر این، در این پنجره می توانید حالت ورود "Graphic" (توصیه می شود) یا "Text" را انتخاب کنید. اگر ورود گرافیکی انتخاب شده باشد، سیستم رابط کاربری گرافیکی به طور پیش فرض شروع به کار می کند. انتخاب کنید و روی دکمه "بله" کلیک کنید.

پس از پیکربندی سیستم گرافیکی، پنجره اطلاعاتی «نصب کامل شد» (شکل 9-23) با پیام «تبریک، نصب سیستم عامل WSWS 3.0 تکمیل شد» ظاهر می شود.

برای راه اندازی مجدد روی دکمه "بله" کلیک کنید. کامپیوتر شروع به راه اندازی مجدد می کند. در طول راه اندازی مجدد، سینی سی دی به طور خودکار خارج می شود. دیسک را از سینی خارج کنید.

برنج. 9-23. نصب تکمیل شد.

برنج. 9-24. روش نصب

در این بررسی، من سعی می کنم یک نسخه از RedHat Enterprice Linux را برای نیازهای وزارت دفاع فدراسیون روسیه نصب کنم تا ببینم چگونه روی سخت افزار مدرن کار می کند. آخرین شماره WSWS قبلاً در سال 2011 بود ، اما همچنان در ارتش روسیه "مفید" است:

بیایید نصب را شروع کنیم

ما روی یک لپ تاپ FUJITSU LIFEBOOK N532 نصب خواهیم کرد که برای من در لینوکس و ویندوز به طور پایدار کار می کند. این لپ تاپ در سال 2012 و تنها یک سال پس از WSWS 5.0 عرضه شد.

پنجره بوت - کپی حذف شده RedHat Enterprice Linux:

آنها حتی برای ایجاد یک پنجره بوت معمولی تنبل بودند، پس زمینه / آرم را تغییر دادند، دکمه های غیر ضروری را حذف کردند و تمام.
برای ادامه نصب، کافیست Enter را فشار دهید:

یک نصب کننده MS-DOS به سبک یکپارچهسازی با سیستمعامل بوت شد، اما قبل از انتشار WSWS 5، تقریباً همه توزیع ها دارای یک نصب کننده گرافیکی بودند. دبیان همچنین دارای یک نصب کننده مبتنی بر متن است، اما بسیار ساده تر و واضح تر از این است. از ما سوال می شود که آیا DVD نصب را بررسی کنیم یا خیر. بیایید بررسی کنیم در هر صورت:

دیسک به صورت عادی نوشته شده بود، هیچ خطایی وجود ندارد. بعد، از ما خواسته می شود که رسانه های اضافی را بررسی کنیم، اما من آنها را ندارم.

ابزار پارتیشن بندی دیسک با گزینه ای برای حذف همه پارتیشن های انتخاب شده بارگذاری شده است. اگر افسر با تکیه بر ذهن صنعت IT داخلی، فقط Enter را فشار دهد، چه؟
حالا بیایید پارتیشن بندی دیسک را شروع کنیم. دو سیستم عامل دیگر روی این کامپیوتر نصب شده است و من "ایجاد یک پارتیشن سفارشی" را انتخاب کردم.

ما 30 گیگابایت فضای فرمت نشده استفاده نشده داریم، "استفاده از فضای آزاد و ایجاد پارتیشن پیش فرض" را انتخاب کنید و یک خطای پارتیشن دریافت کنید: قادر به تخصیص پارتیشن های درخواستی نیست.

روی "بله" کلیک کنید و یک خطای تقسیم خودکار دریافت می کنیم:
روی "بله" کلیک کنید و "ایجاد تقسیم سفارشی" را انتخاب کنید
از آنجایی که این "dos fdisk" نشان نمی دهد که چقدر شلوغ و رایگان است، تا به طور تصادفی چیزی حذف نشود، تصمیم گرفتم پارتیشن ها را در سیستم عامل دیگری مشاهده کنم و راه اندازی مجدد را فشار دادم (alt + ctrl + del من از msdos به یاد دارم).
رایانه فقط روی این کلمات آویزان شده است، اما به CapsLock پاسخ می دهد. 15 دقیقه دیگر صبر می کنیم و فقط ریست را فشار می دهیم. سیستم عامل دیگری را بارگذاری می کنیم، مطمئن می شویم که پارتیشن رایگان به درستی انتخاب شده است، نصب را ادامه می دهیم و به مرحله پارتیشن بندی دیسک می رسیم. انتخاب سیستم های فایل در اینجا غنی نیست، فقط ext2، ext3 و vfat (که روی صفحه قرار نمی گیرند).
بیایید همه چیز را به طور پیش فرض رها کنیم، یعنی از grub استفاده می کنیم:
فقط Enter را فشار دهید

در مرحله بعد، از ما خواسته می شود که یک رمز عبور برای تغییر گزینه های grub boot ایجاد کنیم

مجبور شدم یک رمز عبور طولانی وارد کنم

حالا بیایید شروع به نصب بوت لودر کنیم. بر روی لپ تاپ نصب شده است آخرین نسخه هادبیان و اوبونتو، اما نصب کننده آنها را پیدا نکرد. در نتیجه پس از نصب MCVS، منوی انتخاب سیستم عامل ناپدید می شود و باید grub را از طریق LiveCD بازیابی کنید.
نوار لغزنده لیست سیستم عامل ها در پایین صفحه، انگار می گوید چیز دیگری وجود دارد. سعی کردم با فشار دادن TAB، Ctrl، Ctrl+tab و دیگر میانبرهای صفحه کلید آن را جابجا کنم. اما لغزنده در چه موقعیتی بود، در این موقعیت باقی ماند:

روی Yes کلیک کنید و نصب را ادامه دهید:

محل نصب بوت لودر را انتخاب کنید. در تمام لینوکس ها من بوت لودر را به صورت اصلی نصب می کنم رکورد بوت MBR، یعنی در /dev/sda، اما برای کاربران اخیر ویندوز این یک سوال دشوار است. یا همه ارتش فدراسیون روسیه Unixes را می شناسند؟

بعد راه اندازی شبکه می آید.

ما هیچ اتصال شبکه ای نداریم، "No" را انتخاب کرده و Enter را فشار دهید

پنجره ای باز می شود که از شما می خواهد تنظیمات شبکه اضافی را وارد کنید:

همانطور که می بینید، هیچ دکمه "لغو" و "عدم" در اینجا وجود ندارد. فقط "بله" و "پشت" وجود دارد. اگر سیستم را از طریق شبکه نصب کنیم، اما یک DVD با آن داریم، منطقی است مجموعه کاملبرنامه ها. Enter را فشار می دهیم.

شما قسمت "دروازه" را خالی گذاشتید. بسته به محیط شبکه شما، ممکن است بعداً مشکلاتی وجود داشته باشد

روی ادامه کلیک کنید و دوباره از ما خواسته می شود که پارامترهای شبکه اضافی را وارد کنیم. به طور کلی، به اولین پنجره تنظیمات شبکه برمی گردیم و نشان می دهیم که باید رابط شبکه را پیکربندی کنیم، اگرچه آن را نداریم.

از شما خواسته می شود نام شبکه را وارد کنید. "دستی" را انتخاب کنید و یک نام شبکه بیابید

منطقه زمانی خود را انتخاب کنید:

یک رمز عبور برای کاربر اصلی (حداقل شش کاراکتر) انتخاب کنید:

لیستی از بسته ها را برای نصب انتخاب کنید. من همه چیز را انتخاب کردم

سپس بررسی وابستگی می آید، پس از آن پنجره ای با آدرس گزارش نصب باز می شود:

مراحل نصب:

متوجه نشدم مشکل از فونت هست یا کدگذاری؟

نصب به 100% می رسد و نصب کننده با خوشحالی بابت اتمام نصب به ما خوش آمد می گوید، از ما می خواهد رسانه قابل جابجایی را غیرفعال کنیم و برای راه اندازی مجدد Enter را فشار دهید. Enter را فشار می دهیم و کامپیوتر مانند دفعه قبل یخ می زند.

کلیک دکمه پاور، چند دقیقه صبر می کنیم و اوه، وحشت، همه چیز به زبان انگلیسی است. یا این چنین زبان روسی در ارتش روسیه است؟

دبیان و اوبونتو ما کجا هستند؟ فقط یک WSWS وجود دارد. ولی اشکالی نداره با نصب مجدد درست میشه بوت لودر گراباز طریق LiveCD.

برای دانلود کافیست Enter را فشار دهید

سیستم به مدت 15 ثانیه احمقانه است و خطاها را نشان می دهد: حافظه برای کرنل کرنل (0x0 تا 0x0) در حد مجاز. قادر به استعلام سخت افزار Synaptics نیست

و به دانلود ادامه می دهد، در حین دانلود، منوی تنظیمات باز می شود

فقط "Exit" را انتخاب کنید و Enter را فشار دهید. پس از 10 ثانیه، این صفحه باز می شود که در آن هیچ اشاره ای از گرافیک وجود ندارد. نام کاربری و رمز عبور خود را وارد کنید و سیستم آماده کار است:

ضمنا توجه کنید هسته 2.6.18 اینجا نصب شده است. این هسته پنج سال زودتر از WSWS 5.0 منتشر شد. بله، در مدت پنج سال امکان ساخت کل صنایع وجود داشت، همانطور که در برنامه های پنج ساله استالینیستی وجود داشت، اما تقریباً 10 سال گذشته است! در آن زمان دور، من تازه شروع به علاقه مندی به لینوکس کرده بودم. اگرچه شاید آنها پنج سال است که امنیت کد را ممیزی می کنند.
خوب، بیایید سعی کنیم از آنچه داریم استفاده کنیم.
تلاش برای اجرای گرافیک در niks برای شروع گرافیک معمولاً باید startx را وارد کنید startx را وارد کنید:
#startx
و دریافت خطا:

در اینجا من عمداً گزارش خطای /var/log/Xorg.0.log را باز کردم تا مشخص شود که چه اتفاقی می افتد: سیستم نمی تواند درایورهای استاندارد fbdev و vesa را بارگیری کند.

فقط باید سیستم را راه اندازی مجدد کنیم و به سیستم عامل کار برگردیم، راه اندازی مجدد را وارد کنیم و دوباره راه اندازی مجدد را قطع کنیم:

تلاش برای نصب از طریق VirtualBox:

همچنین لاگین root، رمز عبور و startx را وارد می کنیم

البته، به دلایل امنیتی، VNIINS اجرای X را به عنوان یک مدیر توصیه نمی کند. و چرا پس از اولین راه اندازی یا در خود نصب کننده، مانند بسیاری از توزیع های دیگر، به دلایل امنیتی، ایجاد کاربران ساده پیشنهاد نشد؟

اوه، به نظر کار می کند.

دسکتاپ WSWS 5.0

بنابراین آنچه می بینیم شبیه سازی دسکتاپ سبک وزن زیبا است پنجره های قدیمیو KDE. اما این فقط یک دسکتاپ منبع باز تزئین شده است

مدیر فایل، که 11 سال پیش منتشر شد، بسیار شبیه یک konquerror ساده به نظر می رسد

در سینی سیستم، یک نشانگر زمان با یک تقویم، یک تغییردهنده چیدمان صفحه کلید و یک نشانگر سطوح دسترسی (اما این احتمال بیشتر از سوی توسعه دهندگان WSWS است).

تنظیمات WSWS 5.0

در لینوکس، برخی از برنامه ها (مانند Chromium) به دلایل امنیتی به عنوان روت اجرا نمی شوند، بنابراین ابتدا یک کاربر جدید ایجاد می کنیم و از طریق آن وارد می شویم:

شروع - تنظیمات - کنترل پنل ELK، مدیریت کاربر - اضافه کردن یک کاربر جدید:

رمز عبور باید حداقل 8 کاراکتر باشد!

ویژگی های امنیتی چشمگیر هستند، اما ما آنها را لمس نمی کنیم:

کاربر با موفقیت ایجاد شد. از جلسه خارج می‌شویم و مستقیماً وارد حساب کنسول ریشه می‌شویم، جایی که با یک سری خطا مواجه می‌شویم:

با فشردن کلیدهای Ctrl + D از این حساب خارج می شویم، به عنوان یک کاربر جدید وارد شده و startx را اجرا می کنیم. Xs راه اندازی شد، اما به حرکت ماوس و میانبرهای صفحه کلید پاسخ نمی دهند. راه اندازی مجدد ماشین مجازیکمکی نکرد، x در این حساب نیز کار نمی کند. بسیار خوب، شما باید به صورت روت اجرا کنید، که یک نقض امنیتی است.

ما رزولوشن صفحه نمایش 800x600 داریم، سعی می کنیم آن را تغییر دهیم. به "کنترل پنل" بروید و نماد "مانیتور" را انتخاب کنید. پنجره ای باز می شود با این پیام که فایل xorg.conf نداریم و در حین ایجاد صفحه تاریک می شود. ایجادش کنم یا نه؟

روی "بله" کلیک کنید

خطای تنظیمات اولیه:

پس از آن، پنجره ای با تنظیمات مانیتور باز می شود. ما سعی می کنیم چیزی را تغییر دهیم اما واکنشی نشان نمی دهیم. قابل ذکر است که این پنجره یک مثال را نشان می دهد صفحه نمایش ویندوز 95. و با زدن دکمه های «بله» و «لغو» پنجره بسته نمی شود و هیچ اتفاقی نمی افتد. تنها با کلیک بر روی ضربدر می توانید پنجره را ببندید.

در منوی "System" یک مورد "تغییر وضوح صفحه نمایش" وجود دارد. آن را انتخاب می کنیم و برنامه ای را در سینی باز می کنیم که فقط دو آیتم دارد: 800x600 و 640x480 و فرکانس 60 هرتز. اما در FreeDOS توانستم آن را بالاتر بگذارم و حتی فرکانس را تغییر دهم. از این رو نتیجه می گیرد که در OS WSVS گرافیک بدتر از DOS است!

ما به اطلاعات مربوط به تجهیزات نگاه می کنیم:

پس از کلیک بر روی OK، پنجره زیر باز می شود:

برنامه های WSWS 5.0

جالب اینجاست که وقتی نشانگر ماوس را از برنامه های EDE به KDE منتقل می کنیم، رنگ نشانگر ماوس تغییر می کند.
این به این دلیل است که دسکتاپ WSWS مخلوطی از دسکتاپ های EDE و KDE است.
خالص.در مجموع ده برنامه در این دسته وجود دارد که شامل ELK Browser، IRC، Wireshark، GFTP، Mail Monitor، Network Monitor و راه اندازی PPP و مدیریت دستگاه شبکه می شود.

مدیریت دستگاه شبکه

سرویس گیرنده ایمیل شروع نمی شود:

مرورگر ELK Browser یک کپی دقیق از مرورگر Aurora است. ببینید، آنها آن را به ELK تغییر نام دادند اما فراموش کردند که لوگو را تغییر دهند:

مرورگر ELK:

خدمات رفاهی
در حال حاضر 4 پایانه در ابزارهای برق وجود دارد: ترمینال ELK، ترمینال X، کنسول و ترمینال در حالت ابرکاربر. آیا می دانید چرا تعداد آنها زیاد است؟ زیرا دسکتاپ WSWS مخلوطی از EDE و KDE است. آنها حتی به حذف ابزارهای غیر ضروری فکر نکردند، همه چیز به عنوان پیش فرض تنظیم شده بود، بنابراین آن را ترک کردند.

به همین دلیل برنامه های زیادی از دو دسکتاپ مختلف اما با قابلیت های یکسان وجود دارد. این امر به ویژه برای مشاهده تصاویر، اسناد (PDF، DJVU و غیره) و ویرایشگرهای متن صادق است.

ویرایشگر متن Emacs در WSWS:

علمی. تنها ماشین حساب علمی KDE که در سال 2005 منتشر شد:
هنرهای گرافیک.در این بخش، تمام برنامه های KDE + Xsane 2007 منتشر می شوند.
بازی ها.این بازی‌ها شامل مجموعه‌ای از بازی‌های KDE، از جمله بازی‌های نظامی Minesweeper و Parachutes هستند:
چند رسانه ای. پخش کننده رسانه ساده، پخش کننده سی دی صوتی، K3b (رایتر CD/DVD)، نرم افزار کنترل و ضبط صدا.
برای بررسی صدا، باید دانلود کنید سیستم مجازیفلان فیلم .. صدا و تصویر اینجا اصلا کار نمیکنه. گذاشتم تنظیمات جعبه مجازی Alsa، Oss، SoundBlaster16 - هیچ چیز کار نمی کند. من ogv، ogg، mp4 را امتحان کردم - در برخی موارد نیاز به نصب کدک دارد، در برخی دیگر خطا نشان می دهد:
بیایید سعی کنیم ffmpeg را نصب کنیم:
شروع - کنترل پنل ELK - مدیر برنامه را باز کنید
لیست بسته ها برای چند ثانیه قبل از شروع بررسی می شوند
سعی کنید ffmpeg را پیدا کنید
این یک زبان روسی در ارتش روسیه است!

ffmpeg در لیست بسته های نصب شده قرار گرفت. جستجوی oss و alsa (سیستم های صوتی) اصلاً نتیجه ای نداشت. درخواست های آفیس و فایرفاکس هم هیچ نتیجه ای نداشت.

k3b هنگام راه‌اندازی خطایی ایجاد می‌کند که نوع mime پیدا نمی‌شود. باید 10 بار OK را فشار دهید و سپس شروع می شود:

خاموش شدن سیستم:
بیرون بیار...
1. WSWS روی تجهیزات مدرن کار نمی کند
2. هسته سیستم، مانند همه نرم افزارها، 11 سال پیش منتشر شد، بنابراین تجهیزات مدرن پشتیبانی نمی شود.
3. وضوح صفحه روی 800x600 تنظیم شده است و تغییر نمی کند
4-سیستم ویدئو فقط در شبیه ساز کار می کند اما بعد از اتمام کار خطاها را نشان می دهد.
5. صدا اصلا کار نمی کند
6. گرافیک ها فقط به عنوان روت کار می کنند که یک نقض امنیتی است
7. دستورات خاموش و راه اندازی مجدد به طور پیش فرض فقط از طریق کنسول در دسترس هستند و فقط در شبیه ساز کار می کنند.

نتیجه گیری کلی

WSVS5.0 - در سال 2011 توسط RedHat Enterprice Linux5.0 (2007) کپی شده است، بر روی رایانه های منتشر شده در سال 2011 به درستی کار نمی کند. بله، در ارتش روسیه، به طور کلی، ولع قابل توجهی برای قدمت عمیق وجود دارد، به عنوان مثال، رزمناو هواپیمابر "Admiral Kuznetsov" با تخته پرش خود به جای منجنیق، به همین دلیل هواپیماها مجبور به پرواز با مهمات ناقص هستند. و گاهی در هنگام برخاستن هواپیما و با نیروگاه نفت کوره به داخل آب می افتند که در طول سفر نیاز به سوخت گیری دارند...

WSWS 3.0یک سیستم عامل ایمن، چند کاربره، به اشتراک گذاری زمان و چند وظیفه ای است که بر روی لینوکس توسعه یافته است. سیستم عامل یک سیستم اولویت‌بندی چند سطحی با چندوظیفگی پیشگیرانه، سازماندهی حافظه مجازی و پشتیبانی کامل از شبکه را فراهم می‌کند. با چند پردازنده (SMP - چند پردازش متقارن) و تنظیمات خوشه ای در پلتفرم های اینتل، MIPS و SPARC. ویژگی WSVS 3.0 - ابزار داخلی محافظت در برابر دسترسی غیرمجاز که الزامات سند راهنمای کمیسیون فنی دولتی تحت ریاست رئیس جمهور فدراسیون روسیه را برای وسایل کلاس 2 برآورده می کند. علوم کامپیوتر. ابزارهای امنیتی شامل کنترل دسترسی اجباری، لیست های کنترل دسترسی، مدل نقش و ابزارهای ممیزی پیشرفته ( ثبت رویدادها) می باشد.

سیستم فایل MSVS 3.0 از نام فایل‌هایی با حداکثر 256 کاراکتر با قابلیت ایجاد نام فایل‌ها و دایرکتوری‌ها به زبان روسی، پیوندهای نمادین، سیستم سهمیه‌بندی و فهرست‌های حقوق دسترسی پشتیبانی می‌کند. امکان نصب فایل وجود دارد سیستم های چربیو NTFS و همچنین ISO-9660 (CD). مکانیسم سهمیه به شما امکان می دهد استفاده از فضای دیسک توسط کاربران، تعداد فرآیندهای راه اندازی شده و میزان حافظه اختصاص داده شده به هر فرآیند را کنترل کنید. سیستم را می توان به گونه ای پیکربندی کرد که زمانی که منابع درخواستی کاربر به سهمیه مشخص شده نزدیک می شود، اخطار صادر کند.

WSWS 3.0 شامل یک سیستم گرافیکی مبتنی بر پنجره X است. برای کار در یک محیط گرافیکی، دو مدیر پنجره عرضه شده است: IceWM و KDE. اکثر برنامه های موجود در WSWS گرافیکی هستند که شرایط مطلوبی را نه تنها برای کار کاربران، بلکه برای انتقال آنها از ویندوز به WSWS ایجاد می کند.

WSWS 3.0 در پیکربندی ارائه شده است که علاوه بر هسته شامل مجموعه ای از محصولات نرم افزاری اضافی است. خود سیستم عامل به عنوان یک عنصر اساسی در سازماندهی ایستگاه های کاری خودکار (AWP) و ساخت سیستم های خودکار استفاده می شود. نرم افزارهای اضافی را می توان با انتخاب نصب کرد و بر حداکثر اتوماسیون مدیریت و مدیریت دامنه متمرکز است که به شما امکان می دهد هزینه نگهداری ایستگاه های کاری را کاهش دهید و روی تکمیل کار هدف خود توسط کاربران تمرکز کنید. برنامه نصب به شما این امکان را می دهد که سیستم عامل را از یک سی دی قابل بوت یا از طریق شبکه از طریق FTP نصب کنید. معمولاً ابتدا سرور نصب از روی دیسک ها نصب و پیکربندی می شود و سپس بقیه رایانه ها از طریق شبکه نصب می شوند. سرور نصب در دامنه در حال اجرا وظیفه به روز رسانی و بازیابی نرم افزار را در ایستگاه های کاری انجام می دهد. نسخه جدید فقط روی سرور آپلود می شود و سپس اتفاق می افتد به روز رسانی خودکارنرم افزار محل کار اگر نرم افزار در ایستگاه های کاری آسیب دیده باشد (به عنوان مثال، زمانی که فایل برنامه حذف می شود یا چک جمع هافایل های اجرایی یا پیکربندی)، نرم افزار مربوطه به طور خودکار دوباره نصب می شود.

در حین نصب، از مدیر خواسته می شود که یکی از انواع نصب استاندارد یا نصب سفارشی را انتخاب کند. انواع استاندارد هنگام نصب در محل کار استاندارد استفاده می شود و گزینه های معمولی اصلی را برای سازماندهی مکان های کاری بر اساس OS WSWS 3.0 پوشش می دهد (شکل 1). هر نوع استاندارد مجموعه ای از محصولات نرم افزاری برای نصب، پیکربندی دیسک، مجموعه ای از سیستم های فایل و مجموعه ای از تنظیمات سیستم. نصب سفارشی به شما این امکان را می دهد که به صراحت تمام ویژگی های مشخص شده سیستم نهایی را تا انتخاب بسته های نرم افزاری جداگانه تنظیم کنید. اگر نصب سفارشی را انتخاب کنید، می توانید WSWS 3.0 را روی رایانه ای نصب کنید که قبلاً سیستم عامل دیگری (مانند Windows NT) نصب شده است.

ساختار WSWS 3.0 شامل یک سیستم مستندسازی یکپارچه (ESD) با اطلاعاتی در مورد جنبه های مختلف عملکرد سیستم است. ESD شامل یک سرور مستندات و یک پایگاه داده حاوی متون توضیحات است که از طریق مرورگرها قابل دسترسی است. هنگام نصب یک اختیاری نرم افزاربخش های مرجع مربوطه در پایگاه داده ESD نصب شده است. ESD را می توان به صورت محلی در هر محل کار میزبانی کرد، یا یک سرور اسناد خاص را می توان در دامنه WSWS اختصاص داد. گزینه دوم در دامنه های بزرگ WSWS برای صرفه جویی در فضای دیسک، ساده سازی مدیریت و به روز نگه داشتن اسناد مفید است. دسترسی به اسناد از ایستگاه های کاری دیگر از طریق مرورگر وب ارائه شده با WSWS 3.0 امکان پذیر است.

WSVS 3.0 هم در حالت الفبایی و هم در حالت گرافیکی روسی شده است. پایانه های مجازی پشتیبانی می شوند که جابجایی بین آنها با استفاده از یک کلید ترکیبی انجام می شود.

یک نکته کلیدی از نظر یکپارچگی سیستم، عملیات ثبت کاربران جدید WSWS است، زمانی که ویژگی های کاربر، از جمله ویژگی های امنیتی، تعیین می شود، که بر اساس آن، سیستم کنترل دسترسی، کار کاربر را بیشتر کنترل می کند. مبنای مدل فرمان اطلاعاتی است که هنگام ثبت نام کاربر جدید وارد می شود.

برای پیاده سازی کنترل دسترسی اختیاری، مکانیسم های سنتی یونیکس بیت های کنترل دسترسی و لیست های کنترل دسترسی (ACL) استفاده می شود. هر دو مکانیسم در سطح فایل سیستم WSWS 3.0 پیاده سازی شده اند و برای تنظیم حقوق دسترسی به اشیاء سیستم فایل استفاده می شوند. بیت ها به شما این امکان را می دهند که حقوق را برای سه دسته از کاربران (مالک، گروه، دیگران) تعریف کنید، با این حال، این مکانیسم به اندازه کافی انعطاف پذیر نیست و هنگام تنظیم حقوق برای اکثر فایل های سیستم عامل استفاده می شود که به همان شیوه توسط بخش اصلی استفاده می شود. کاربران با کمک ACL ها، می توان حقوق را در سطح تک تک کاربران و/یا گروهی از کاربران تنظیم کرد و در نتیجه به سطح قابل توجهی از جزئیات در تنظیم حقوق دست یافت. لیست ها هنگام کار با فایل هایی استفاده می شوند که برای مثال نیاز به تنظیم حقوق دسترسی متفاوت برای چندین کاربر خاص دارند.

یکی از ایرادات قابل توجه سیستم های سنتی یونیکس، از نظر امنیت، وجود یک ابرکاربر با گسترده ترین قدرت ها است. یکی از ویژگی های WSWS 3.0 عدم تمرکز توابع ابرکاربر است. وظیفه مدیریت سیستم به چندین بخش تقسیم می شود که مدیران پیکربندی، امنیت و ممیزی برای آنها وجود دارد. از نظر سیستم عامل، این مدیران هستند کاربران عادیکه قابلیت اجرای برنامه های اداری خاص و دسترسی به فایل های پیکربندی مربوطه را به آنها داده شده است. ایجاد حساب ها مدیران سیستمدر مرحله نصب WSWS 3.0 رخ می دهد.

هر یک از مدیران فقط وظایف خود را انجام می دهند، به عنوان مثال، مدیر پیکربندی سیستم های فایل، رابط های شبکه، پیکربندی را مدیریت می کند. خدمات سیستمیو غیره. مدیر امنیتی مسئول سیاست امنیتی است و تنظیمات سیستم مربوط به امنیت را کنترل می کند: حداقل طول رمز عبور، تعداد تلاش های ناموفق کاربر برای ورود به سیستم و غیره. در همان زمان، تمام رویدادهای مربوط به امنیت، از جمله اقدامات مدیران ثبت می شود. مدیریت حسابرسی بر عهده مدیر حسابرسی است که می تواند برای مثال، گزارش های حسابرسی را "پاکسازی" کند.

غیرمتمرکز کردن توابع ابرکاربر اجازه اجرای اصل "چهار چشم" را می دهد. به عنوان مثال، ثبت یک کاربر جدید WSWS 3.0 یک فرآیند دو مرحله ای است. ابتدا مدیر پیکربندی یک حساب کاربری برای کاربر جدید ایجاد می کند و سپس مدیر امنیتی کاربر جدید را در پایگاه داده امنیتی ثبت می کند. تنها پس از آن امکان ورود کاربر جدید به سیستم وجود دارد.

برای انجام وظایف اداری، بسته توزیع شامل بسته "ابزارهای مدیریتی" است که شامل برنامه هایی برای مدیریت کاربران، فایل ها، امنیت، ممیزی، تنظیمات سیستم و شبکه است.

اولین کاری که باید بعد از نصب WSWS 3.0 تکمیل شود این است که مدیر خط مشی امنیتی اجرا شده در سازمان را تعریف کند. یکی از اجزای این وظیفه پیکربندی مکانیسم کنترل دسترسی اجباری است. روی انجیر 2 نمای برنامه مدیریت موتور اعتبارنامه را نشان می دهد که به شما امکان می دهد مجموعه ای از اعتبارنامه های موضوع و شی WSWS 3.0 را پیکربندی کنید. در قسمت بالای پنجره برنامه، سطوح امنیتی پیکربندی شده است که مقادیر احتمالی آن می تواند به عنوان مثال "نه محرمانه" و "محرمانه" باشد. در قسمت پایین دسته بندی های زیادی ایجاد می شود که حوزه موضوعی که اطلاعات به آن تعلق دارد را توصیف می کند: "کارمندان" ، "وسایل فنی" و غیره. امکان ایجاد ابرمجموعه‌های دسته‌ها (به عنوان مثال، «Category_1_2»)، از جمله چندین دسته جداگانه و سایر ابر مجموعه‌ها وجود دارد. کار با سطوح زمانی راحت تر است که آنها به شکل اعشاری نشان داده شوند، زیرا سطوح دارای این هستند سازمان سلسله مراتبی. به نوبه خود، هنگام کار با دسته ها، نمایش آنها به شکل باینری راحت است، زیرا دسته ها یک مجموعه سلسله مراتبی نیستند.

روی انجیر 3 نمای یکی از پنجره های برنامه مدیریت کاربر را نشان می دهد. این برنامه فقط توسط مدیران تنظیمات و امنیت قابل اجرا است. در عین حال، هر یک از آنها می تواند تنها آن ویژگی های کاربر را تنظیم یا تغییر دهد که مدیریت آنها در صلاحیت او است.

روی انجیر شکل 4 نمونه ای از پنجره برنامه مدیریت فایل را نشان می دهد که به شما امکان مشاهده و تغییر مقادیر ویژگی فایل را می دهد. تجسم ساختار درختی سیستم فایل در سمت چپ پنجره، پیمایش در آن و انتخاب را آسان‌تر می‌کند. فایل مورد نظر. قسمت سمت راست ویژگی های فایل انتخابی را نشان می دهد که بر اساس هدف کاربردی آنها گروه بندی شده اند. هر گروه دارای یک تب جداگانه است. برگه عمومی شامل ویژگی‌های سنتی فایل یونیکس مانند نوع، اندازه، تعداد پیوندهای سخت، ویژگی‌های اختیاری و مُهرهای زمانی است. یکی از ویژگی های فایل های WSWS 3.0 وجود ویژگی های اجباری و گسترش ویژگی های اختیاری با لیستی از حقوق دسترسی است. ویژگی های اجباری در برگه "برچسب اختیار" ارائه شده است. برای مدیریت ACL فایل، برگه "مجوزها" برجسته شده است. علاوه بر این، هنگام انتخاب دایرکتوری هایی که امکان ایجاد یک ACL به طور پیش فرض وجود دارد، تب "حقوق دسترسی به طور پیش فرض" فعال می شود. روی انجیر 5 نمای پنجره کار با فایل ACL را نشان می دهد. این امکان وجود دارد که هم یک ورودی واحد برای یک کاربر یا گروه اضافه کنید و هم چندین ورودی با حقوق دسترسی یکسان. مانند برنامه قبلی، فقط مدیران تنظیمات و امنیت می توانند برنامه مدیریت فایل را اجرا کنند. هر یک از آنها فقط می تواند آن ویژگی های پرونده را تغییر دهد که مدیریت آنها در صلاحیت خود است.

خدمات WSWS 3.0

WSWS مانند هر سیستم عامل دیگری در خدمت ایجاد شرایط بهینه برای اجرای سرویس ها و برنامه هایی است که اتوماسیون و افزایش کارایی کار کاربران را فراهم می کند.

یکی از خدمات اصلی هر سیستم عامل، سرویس چاپ است. WSWS 3.0 شامل یک سیستم چاپ است که به شما امکان می دهد اسناد را مطابق با الزامات سیستم های ایمن چاپ کنید. از جمله ویژگی‌های سیستم چاپ WSWS 3.0 که آن را از سیستم‌های مشابه متمایز می‌کند، پشتیبانی از مکانیسم کنترل دسترسی اجباری است که امکان تعیین سطح محرمانه بودن سند را در مرحله تولید یک کار چاپی و به صورت خودکار فراهم می‌کند. مطابق با قوانین چاپ مصوب در این سازمان، کار را به یک چاپگر خاص ارسال کنید. هر برگه چاپ شده به طور خودکار با اعتبار سند، از جمله نام خانوادگی کاربری که سند را چاپ کرده و نام رایانه ای که کار چاپ از آن ارسال شده است، برچسب گذاری می شود. یکی از مزایای سیستم چاپ، تغییر ناپذیری آن نسبت به برنامه هایی است که به خدمات چاپ دسترسی دارند. این بدان معنی است که او به آن گره نمی خورد برنامه های کاربردی موجودو با ظاهر شدن برنامه های جدید تغییر نمی کند. در نتیجه، برنامه های کاربردی چاپ باید علامت گذاری ورق را در نظر بگیرند و فضایی برای این کار بگذارند. واقعیت چاپ در یک مجله مخصوص برای ضبط تکثیر اسناد چاپی ثبت می شود. برای کار با این گزارش استفاده کنید برنامه ویژه، که به شما امکان مشاهده، ویرایش برخی از فیلدهای رکوردها و چاپ آنها را می دهد (شکل 6).

یکی از عناصر مهم سیستم امنیتی WSWS 3.0، سیستم شناسایی/احراز هویت است. کاربر باید رمز عبور صحیح را برای احراز هویت با موفقیت وارد کند. بدیهی است که کیفیت رمز عبور انتخابی، مقاومت سیستم را در برابر نفوذ نفوذگران به آن تعیین می کند. برای تولید رمزهای عبور کاربر، WSWS 3.0 شامل یک برنامه خاص است (شکل 7).

برای نظارت بر رایانه های دامنه، از یک سیستم نظارت بر عملکرد (CF) استفاده می شود که از یک سرور و عوامل ویژه تشکیل شده است. Agent ها بر روی رایانه های دامنه نصب می شوند و وضعیت خود را به سرور گزارش می دهند. سیستم CF به شما امکان می دهد اطلاعاتی در مورد جنبه های مختلف عملکرد رایانه ها (وضعیت فرآیندها، زیر سیستم دیسک، زیر سیستم های هسته) به دست آورید و سلامت خدمات شبکه (ftp، ssh و غیره) را نظارت کنید. اطلاعات دریافت شده توسط سرور در لاگ های مخصوصی انباشته می شود که این امکان را فراهم می کند تا نه تنها وضعیت فعلی دامنه را مشاهده کنید، بلکه وضعیت آن را در کل دوره عملکرد سیستم نیز مطالعه کنید.

دامنه WSWS

WSWS 3.0 برای ایجاد دامنه‌هایی استفاده می‌شود که سیستم‌های خودکار امن بر روی آنها ساخته شده‌اند. از نظر فیزیکی، دامنه به عنوان یک شبکه محلی از رایانه ها پیاده سازی می شود که بیشتر آنها برای سازماندهی مشاغل کاربر استفاده می شوند. برخی از آنها برای سازماندهی منابع مشترک ضروری هستند، مانند سرور فایل، سرور پایگاه داده، سرور چاپ، سرور پست الکترونیکی. منطقاً دامنه WSWS مجموعه‌ای از رایانه‌ها است که یک سیاست امنیتی واحد را اجرا می‌کنند و یک فضای مدیریت واحد را تشکیل می‌دهند. یک خط مشی امنیتی یکپارچه به این معنی است که مجموعه واحدی از موضوعات و اشیاء دسترسی، ویژگی‌های امنیتی در همه رایانه‌های یک دامنه پشتیبانی می‌شوند و همچنین وجود دارد. قوانین یکسانکنترل دسترسی اختیاری و اجباری از این نظر، دامنه WSWS نیز یک دامنه امنیتی است.

یک فضای مدیریت واحد به معنای مدیریت یکنواخت منابع اطلاعاتی (کامپیوترها) حوزه WSWS است. اساس آن فضای تک کاربر دامنه WSWS است.

• برای هر کاربر دامنه در محل کار خود، یک حساب کاربری نگهداری می شود که شامل اطلاعات لازم در مورد کاربر (نام منطقی، رمز عبور، نام کامل و ویژگی های امنیتی کاربر) است. این اطلاعات برای انجام مراحل شناسایی/احراز هویت برای کاربر هنگام ورود به دامنه WSWS استفاده می شود.
• در هر کامپیوتر دامنه با منابع مشترک (سرور) که این کاربر می تواند روی آن کار کند، دقیقاً همان حسابی برای او وجود دارد که در محل کارش وجود دارد.
• محل کار مدیر امنیت یک پایگاه داده با اطلاعات مربوط به همه کاربران دامنه، از جمله حساب کاربری، اطلاعات گسترده (به عنوان مثال، موقعیت، نام/شماره بخش)، و همچنین نام رایانه وی و همه سرورهایی که به آنها دسترسی دارد، نگهداری می کند.

بنابراین، حساب تنها حساب این کاربر در دامنه WSWS است و از طریق آن است که دسترسی کاربر به منابع اطلاعاتی دامنه کنترل می شود.

حوزه های ناهمگن

در این لحظههنگام توسعه یک سیستم خودکار ایمن، شبکه های محلی موجود به عنوان مبنایی در نظر گرفته می شوند که در آن، به عنوان یک قاعده، سرورها و مکان های کاری تسلط دارند. پایه ویندوز NT. عدم امکان انتقال فوری یک سازمان به پلتفرم WSWS، مشکل یکپارچگی آن با ویندوز را ایجاد می کند. در اینجا دو جنبه قابل تشخیص است: انتخاب استراتژی بهینه برای انتقال به WSWS و مشکلات فنی که همراه با این انتقال است.

در نتیجه تجزیه و تحلیل جریان های اطلاعاتی در یک سیستم خودکار امن، می توان مناطقی را که از نظر امنیت بیشترین اهمیت را دارند، شناسایی کرد. اول از همه، این مناطق شامل جریان های واردات / صادرات اطلاعات است، زیرا از طریق این جریان ها است که اطلاعات محرمانه (هر دو از خارج دریافت شده و از داخل تولید می شوند) وارد دنیای خارج می شوند: سرورهای چاپ و صادرات اطلاعات به دیسک ها و نوارها. دومین بخش مهم، حوزه های ذخیره سازی اطلاعات است: سرورهای فایل و ایستگاه های کاری کاربر.

در فرآیند تبدیل یک شبکه ویندوز به یک سیستم خودکار امن، بخش‌هایی از شبکه که از نظر امنیت بسیار حیاتی هستند، ابتدا باید اصلاح شوند. اولین قدم، به حداقل رساندن و کنترل جریان اطلاعات خروجی است. همانطور که گفته شد، WSWS 3.0 دارای یک سیستم توسعه یافته برای حسابداری و کنترل چاپ اسناد است و اجازه می دهد تا در شبکه ای که بر اساس خود ساخته شده است، الزامات صدور اسناد چاپ شده را برای نسخه چاپی اجرا کند.

مرحله دوم انتقال فایل سرورها از پلتفرم ویندوز است. WSWS 3.0 سیستم توسعه یافته ای را برای مدیریت دسترسی کاربر به منابع اطلاعاتی سیستم عامل ارائه می دهد که به شما امکان می دهد حفاظت از داده های کاربر را در سطح مناسب سازماندهی کنید.

هنگام ادغام WSWS و Windows، تعدادی از مشکلات فنی ایجاد می شود که مهمترین آنها مشکلات سازگاری طرح های شناسایی / احراز هویت کاربر، اصول کنترل دسترسی کاربر مورد استفاده در این سیستم های رمزگذاری سیریلیک است.

دو مشکل اول این است که محیط ویندوز NT از طرح ورود به دامنه NT بر اساس پشتیبانی می کند پایه تکداده های ذخیره شده در یک سرور کنترل ویژه - یک کنترل کننده دامنه. این طرح اساساً با طرح مورد استفاده در WSWS متفاوت است. علاوه بر این، معماری ویندوز NT فاقد پشتیبانی از کنترل دسترسی اجباری است و نمی تواند بسیاری از ویژگی های امنیتی سیستم عامل WSWS را به آن ترسیم کند. سیستم های ویندوز از رمزگذاری CP1251 استفاده می کنند، در حالی که WSWS 3.0 (به عنوان میراثی از لینوکس) از KOI8-R استفاده می کند، با این حال، داده های انباشته شده (که برای کار با محیط ویندوز نیاز دارد) معمولاً در CP1251 ذخیره می شود. در عین حال، ارائه داده ها به کاربران، ورودی و ویرایش آنها در محیط WSWS صورت می گیرد، بنابراین لازم است که در لحظه رمزگذاری شود. علاوه بر این، برای حل مشکلات مدیریت داده ها (به عنوان مثال، وظیفه مرتب سازی داده ها)، رمزگذاری CP1251 از KOI8-R قابل قبول تر است.

برای ساخت یک سیستم خودکار امن بر اساس WSWS 3.0 با امکان سازگاری موقت با NT، یک سیستم دسترسی ترمینال توسعه داده شد (شکل 8). این سیستمبه شما امکان می دهد کار با برنامه های Windows را در WSWS به صورت زیر سازماندهی کنید: سرورهای فایل و چاپ و همچنین سایت های مشتری بر اساس WSWS 3.0 ساخته شده اند و یک سرور برنامه مبتنی بر نسخه NT Terminal Server برای کار با برنامه های ویندوز اختصاص داده شده است. ، که دسترسی به آن به روش خاصی انجام می شود. یکی از مزیت های این گزینه، انعطاف پذیری در سازماندهی کار کاربرانی است که در واقع این امکان را پیدا می کنند که به طور همزمان در دو محیط عملیاتی کار کرده و از اپلیکیشن های هر یک از آنها استفاده کنند. نقطه ضعف نیاز به ایجاد یک سرور برنامه با دسترسی ویژه است که منجر به محدودیت در سیاست امنیتی می شود. در نتیجه، وظیفه یکپارچه سازی WSWS و Windows NT با ایجاد یک دامنه WSWS با یک سرور کاربردی مبتنی بر NT و استفاده از یک سیستم دسترسی ترمینال حل می شود.

حال اجازه دهید نحوه کار یک کاربر در یک دامنه WSWS ناهمگن را در نظر بگیریم. کاربر از طریق ایستگاه کاری خود وارد دامنه می شود. برای دسترسی به سرور برنامه Windows NT، کاربر به یک سرویس گیرنده دسترسی ترمینال دسترسی پیدا می کند. در یک پایگاه داده ویژه ذخیره شده در سرور برنامه، بین نام کاربری و نام رایانه وی مطابقت وجود دارد که هنگام نقشه برداری درایوهای شبکه برای این کاربر استفاده می شود. در نتیجه، هنگام کار در یک جلسه NT، کاربر فقط محتویات دایرکتوری خانگی خود را به عنوان یک درایو شبکه در محل کار خود و همچنین به اشتراک گذاری دامنه (سرورهای فایل و چاپگرها) می بیند. این می تواند برنامه های کاربردی ویندوز را اجرا کند، اما فقط با مجموعه محدودی از فایل ها (خود یا مشترک) ذخیره شده در رایانه های دارای WSWS 3.0 کار می کند.

برای سازماندهی چاپ اسناد محرمانه در دامنه، یک سرور چاپ مبتنی بر WSWS اختصاص داده شده است که وظیفه اجرا و حسابداری چاپ را بر عهده دارد که از تکرار بی حساب اسناد محرمانه خروجی جلوگیری می کند. برای چاپ اطلاعات غیر محرمانه، امکان اتصال چاپگرهای محلی به ایستگاه های کاری وجود دارد. كاربر با برنامه های کاربردی ویندوزیا WSWS، سند را برای چاپ می فرستد، و مهم نیست که سند در کجا قرار دارد - در ماشین محلی یا روی سرور فایل. با کمک WSWS، سطح محرمانه بودن سند مورد تجزیه و تحلیل قرار می گیرد. اگر سند محرمانه باشد، کار به سرور چاپ هدایت می شود، در غیر این صورت، سند به صورت محلی چاپ می شود.

گزینه های پیشنهادی به شما این امکان را می دهد که انتقال تدریجی از یک زیرساخت اطلاعاتی مبتنی بر ویندوز NT را برای ایمن سازی سازماندهی کنید سیستم های خودکارپردازش اطلاعات بر اساس WSWS 3.0.

ادبیات

1. کمیسیون فنی دولتی روسیه. سند راهنما امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیت از دسترسی غیرمجاز به اطلاعات. مسکو، 1992

2. دی.وی. افانوف. سیستم حسابداری چاپ اسناد // ACS و کنترلرها. 2001، شماره 1

آندری تیولین- کارمند وزارت دفاع فدراسیون روسیه. ایگور ژوکوف, دیمیتری افانوف ([ایمیل محافظت شده]) - کارمندان موسسه تحقیقاتی همه روسی اتوماسیون کنترل در حوزه غیر صنعتی (مسکو).