Ձեռնարկ. Զինված ուժերի շարժական համակարգ (MFS) - Օգտատերերի և խմբի քաղաքականություններ: Գաղտնի տեղեկատվության պահպանում Ինչպես տեղադրել msvs 3.0 սկավառակից

Այս գլուխը անդրադառնում է հետևյալ հարցերին.

Օգտագործողներ;

Տարբերությունները արտոնյալ և ոչ արտոնյալ օգտվողների միջև.

Մուտքի ֆայլեր;

/etc/passwd ֆայլը;

Ֆայլ /etc/shadow;

Ֆայլ /etc/gshadow;

ՖԻԼ /etc/login.defs

Գաղտնաբառի ծերացման տեղեկատվության փոփոխություն;

WSWS անվտանգությունը հիմնված է օգտագործողների և խմբերի հասկացությունների վրա: Բոլոր որոշումներն այն մասին, թե ինչ է թույլատրվում կամ չի թույլատրվում անել օգտատերը, ընդունվում են՝ հիմնվելով այն բանի վրա, թե ով է գրանցված օգտատերը՝ օպերացիոն համակարգի միջուկի տեսանկյունից:

Օգտագործողների ընդհանուր տեսակետը

WSWS-ը բազմաֆունկցիոնալ բազմաբնույթ օգտատերերի համակարգ է: Օպերացիոն համակարգի պարտականությունն է մեկուսացնել և պաշտպանել օգտվողներին միմյանցից: Համակարգը վերահսկում է յուրաքանչյուր օգտատիրոջը և, ելնելով նրանից, թե ով է այս օգտվողը, որոշում է, թե արդյոք հնարավոր է նրան մուտք գործել որոշակի ֆայլ կամ թույլ տալ նրան գործարկել որոշակի ծրագիր:

Երբ ստեղծվում է նոր օգտվող, նրան տրվում է յուրահատուկ անուն

ՆՇՈՒՄ

Համակարգը որոշում է օգտատիրոջ արտոնությունները՝ ելնելով օգտագործողի ID-ից (userID, UID): Ի տարբերություն օգտվողի անվան, UID-ը կարող է եզակի չլինել, որի դեպքում հայտնաբերված առաջին անունը, որը համապատասխանում է տվյալ UID-ին, օգտագործվում է այն օգտանունին համապատասխանեցնելու համար:

Համակարգում գրանցված յուրաքանչյուր նոր օգտվողին վերագրվում են համակարգի որոշակի տարրեր:

Արտոնյալ և ոչ արտոնյալ օգտվողներ

Երբ համակարգին ավելացվում է նոր օգտվող, նրան տրվում է հատուկ համար, որը կոչվում է օգտագործողի այ - Դի(userID, UID): Caldera WSWS-ում ID-ների տրամադրումը նոր օգտվողներին սկսվում է 500-ից և հասնում ավելի բարձր թվերի՝ մինչև 65534: Մինչև 500 համարները վերապահված են համակարգի հաշիվների համար:

Ընդհանուր առմամբ, 500-ից պակաս թվերով նույնացուցիչները ոչնչով չեն տարբերվում մյուս նույնացուցիչներից: Հաճախ ծրագրին անհրաժեշտ է հատուկ օգտատեր՝ բոլոր ֆայլերին լիարժեք հասանելիությամբ՝ ճիշտ գործելու համար:

Նույնացուցիչի համարակալումը սկսվում է 0-ից և հասնում մինչև 65535: UID 0-ը հատուկ UID է: ID զրո ունեցող ցանկացած գործընթաց կամ օգտվող արտոնված է: Նման անձը կամ գործընթացը անսահմանափակ իշխանություն ունի համակարգի վրա: Նրա համար ոչինչ արգելք չի կարող ծառայել։ Արմատային հաշիվ ( Հաշիվ, որի UID-ը 0 է), որը կոչվում է նաև հաշիվ գերօգտագործող,ներս մտնողին դարձնում է եթե ոչ սեփականատեր, ապա գոնե իր լիազոր ներկայացուցիչը։

Դա թողնում է 65,535 UID: Դա նույնպես սովորականից դուրս է: Այս UID-ը պատկանում է ոչ մեկին (ոչ ոք):

Ժամանակին համակարգը կոտրելու միջոցներից մեկը 65536 ID-ով օգտատեր ստեղծելն էր, ինչի արդյունքում նա ստացավ սուպերօգտատերերի արտոնություններ։ Իսկապես, եթե վերցնեք որևէ UID և թարգմանեք համապատասխան թիվը երկուական ձևի, կստանաք տասնվեց երկուական թվանշանների համակցություն, որոնցից յուրաքանչյուրը կամ 0 է կամ 1: Նույնացուցիչների ճնշող մեծամասնությունը ներառում է և՛ զրոներ, և՛ մեկներ: Բացառություն են կազմում գերօգտագործողի UID zero, որը բաղկացած է բոլոր զրոներից, և UIDnobody, որը 65535 է և բաղկացած է 16 մեկից, այսինքն՝ 1111111111111111: 65,536 թիվը չի կարող տեղադրվել 16 բիթում. պետք է օգտագործել արդեն 17 բիթ: Առավել նշանակալից թվանշանը հավասար կլինի մեկի (1), մնացած բոլոր թվանշանները հավասար կլինեն զրոյի (0): Այսպիսով, ի՞նչ է տեղի ունենում, երբ 17 բիթ երկարությամբ ID-ով օգտատեր եք ստեղծում՝ 100000000000000000: Տեսականորեն, զրոյական նույնացուցիչ ունեցող օգտվող. քանի որ նույնացուցիչի համար հատկացված է ընդամենը 16 երկուական թվանշան, 17-րդ բիթը պահելու տեղ չկա, և այն անտեսվում է: Հետևաբար, նույնացուցիչի միակ միավորը կորչում է, և մնում են միայն զրոները, և հայտնվում է համակարգը Նոր օգտատերնույնացուցիչով և, հետևաբար, գերօգտագործողի արտոնություններով: Բայց հիմա WSWS-ում չկան այնպիսի ծրագրեր, որոնք թույլ կտան Ձեզ սահմանել UID-ը 65536:

ՆՇՈՒՄ

Դուք կարող եք ստեղծել 65,536-ից ավելի ID-ով օգտվողներ, բայց դուք չեք կարողանա դրանք օգտագործել առանց /bin/login-ը փոխելու:

Ցանկացած կոտրիչ անպայման կփորձի ձեռք բերել գերօգտագործողի արտոնություններ։ Երբ նա ստանա դրանք, համակարգի հետագա ճակատագիրն ամբողջությամբ կախված կլինի նրա մտադրություններից։ Միգուցե նա, գոհ լինելով հենց հակերության փաստից, ոչ մի վատ բան չանի նրա հետ և, ձեզ նամակ ուղարկելով, որտեղ նկարագրում է անվտանգության համակարգում իր հայտնաբերած անցքերը, ընդմիշտ հանգիստ թողնի նրան, կամ գուցե ոչ։ Եթե ​​հաքերի մտադրություններն այնքան էլ մաքուր չեն, ապա լավագույնը, ինչի վրա կարող եք հուսալ, համակարգը տապալելն է:

ՖԻԼ /etc/passwd

Մուտք գործելու ցանկություն ունեցող անձը պետք է մուտքագրի օգտվողի անուն և գաղտնաբառ, որոնք ստուգվում են /etc/passwd ֆայլում պահվող օգտատերերի տվյալների բազայի համեմատ։ Այն, ի թիվս այլ բաների, պահպանում է բոլոր օգտատերերի գաղտնաբառերը: Համակարգին միանալիս մուտքագրված գաղտնաբառը ստուգվում է տվյալ անվանմանը համապատասխան գաղտնաբառի հետ, և եթե այն համընկնում է, օգտվողին թույլատրվում է մուտք գործել համակարգ, որից հետո գործարկվում է գաղտնաբառի ֆայլում տվյալ օգտվողի անվան համար նշված ծրագիրը: Եթե ​​դա հրամանի վահանակ է, օգտվողին տրվում է հրամաններ մուտքագրելու հնարավորություն:

Դիտարկենք ցուցակագրումը 1.1. Սա հին ոճի passwd ֆայլ է:

Ցուցակ 1.1./etc/passwd ֆայլը հին ոճով

արմատ: *:1i DYwrOmhmEBU: 0:0: արմատ:: /արմատ: /bin/bash

bin:*:1:1:bin:/bin:

դև:*:2: 2: Դեմոն:/sbin:

adm:*:3:4:adm:/var/adm:

lp:*:4:7:lp:/var/spool/lpd:

sync:*:5:0:sync:/sbin:/bin/sync

անջատում:*:6:11:անջատում:/sbin:/sbin/shutdown

halt:*:7:0:halt:/sbin:/sbin/halt

փոստ:*:8:12:փոստ:/var/spool/mail:

լուրեր:*:9:13:նորություններ:/var/spool/news:

uucp:*:10:14:uucp:/var/spool/uucp:

օպերատոր:*:11:0:օպերատոր:/արմատ:

խաղեր:*:12:100:games:/usr/games:

gopher:*:13:30:gopher:/usr/1ib/gopher-data:

ftp:*:14:50:FTP Օգտվող:/home/ftp:

մարդ:*:15:15:Ձեռնարկների սեփականատեր:/:

մեծամասնություն:*:16:16:majordomo:/:/bin/false

postgres:*:17:17:Postgres Օգտվող:/home/postgres:/bin/bash

mysql:*:18:18:MySQL Օգտվող՝/usr/local/var:/bin/false

silvia:1iDYwrOmhmEBU:501:501:Silvia Bandel:/home/silvia:/bin/bash

ոչ ոք:*:65534:65534:Ոչ ոք:/:/bi n/false

david:1iDYwrOmhmEBU:500:500:David A. Bandel:/home/david:/bin/bash

Գաղտնաբառի ֆայլն ունի կոշտ կոդավորված կառուցվածք: Ֆայլի բովանդակությունը աղյուսակ է: Ֆայլի յուրաքանչյուր տող սեղանի մուտք է: Յուրաքանչյուր գրառում բաղկացած է մի քանի դաշտից: Passwd ֆայլի դաշտերը բաժանված են երկու կետով, ուստի երկու կետերը չեն կարող օգտագործվել դաշտերից որևէ մեկում: Ընդհանուր առմամբ կան յոթ դաշտեր՝ օգտանուն, գաղտնաբառ, օգտատիրոջ ID, խմբի ID, GECOS դաշտ (նույնպես մեկնաբանության դաշտ), տնային գրացուցակ և մուտքի վահանակ:

Ավելին /etc/passwd-ի մասին

Առաջին դաշտը պարունակում է օգտվողի անունը: Այն պետք է լինի եզակի. համակարգի երկու օգտվողները չեն կարող ունենալ նույն անունը: Անվան դաշտը միակ դաշտն է, որի արժեքը պետք է եզակի լինի: Երկրորդ դաշտը պահում է օգտագործողի գաղտնաբառը: Համակարգի անվտանգությունն ապահովելու համար գաղտնաբառը պահվում է հեշացված ձևով: «Հաշված» տերմինն այս համատեքստում նշանակում է «կոդավորված»: WSWS-ի դեպքում գաղտնաբառը կոդավորված է DES (DataEncryptionStandard) ալգորիթմի միջոցով: Հաշված գաղտնաբառի երկարությունը այս դաշտում միշտ 13 նիշ է, և որոշ նիշեր, ինչպիսիք են երկու կետը և մեկ մեջբերումը, երբեք չեն հանդիպում դրանց մեջ: Ցանկացած այլ դաշտի արժեք, բացի ճիշտ հեշավորված 13 նիշանոց գաղտնաբառից, մուտքն անհնարին է դարձնում այս օգտվողըհամակարգ, մի չափազանց կարևոր բացառությամբ՝ գաղտնաբառի դաշտը կարող է դատարկ լինել:

Երկրորդ դաշտը դատարկ է, նույնիսկ բացատ չէ, ինչը նշանակում է, որ համապատասխան օգտատերը մուտք գործելու համար գաղտնաբառի կարիք չունի։ Եթե ​​դուք փոխեք դաշտում պահված գաղտնաբառը՝ գաղտնաբառին նիշ ավելացնելով, օրինակ՝ մեկ մեջբերում, հաշիվը կարգելափակվի, և համապատասխան օգտատերը չի կարողանա մուտք գործել: Բանն այն է, որ 14 նիշանոց հեշավորված գաղտնաբառին անօրինական նիշ ավելացնելուց հետո համակարգը հրաժարվել է նույնականացնել օգտատիրոջը նման գաղտնաբառով:

Գաղտնաբառի երկարությունը ներկայումս սահմանափակված է ութ նիշով: Օգտագործողը կարող է ավելի երկար գաղտնաբառեր մուտքագրել, բայց միայն առաջին ութ նիշերը կարևոր կլինեն: Հաշված գաղտնաբառի առաջին երկու նիշերն են սերմ(աղ): (Սերմը այն թիվն է, որն օգտագործվում է գաղտնագրման ալգորիթմը սկզբնավորելու համար: Ամեն անգամ, երբ գաղտնաբառը փոխվում է, սերմը ընտրվում է պատահականորեն:) Արդյունքում հնարավոր փոխարկումների թիվը բավական մեծ է, որ անհնար է որոշել, թե արդյոք կան օգտատերեր: համակարգը նույն գաղտնաբառերով՝ ուղղակի համեմատելով հեշավորված գաղտնաբառերը:

ՆՇՈՒՄ

Dictionaryattack-ը վերաբերում է կոպիտ ուժով գաղտնաբառի կոտրման մեթոդներին և ներառում է բառարանի և հայտնի սերմի օգտագործումը: Հարձակումը բաղկացած է բառարանի բոլոր բառերի կրկնությունից, դրանք գաղտնագրելով տվյալ սերմի հետ և արդյունքը համեմատելով կոտրվող գաղտնաբառի հետ: Միևնույն ժամանակ, բառարանից բառերից բացի, սովորաբար հաշվի են առնվում դրանց որոշ փոփոխություններ, օրինակ, բոլոր տառերը մեծատառ են, միայն առաջին տառը մեծատառվում է և թվեր (սովորաբար միայն 0-9) ավելացնելով բոլորի վերջում: այս համակցությունները. Բավականին շատ հեշտ գուշակելի գաղտնաբառեր կարող են կոտրվել այս կերպ:

Երրորդ դաշտը պարունակում է օգտագործողի ID-ն: Պարտադիր չէ, որ օգտագործողի ID-ն եզակի լինի: Մասնավորապես, բացի արմատային օգտատերից, կարող են լինել ցանկացած թվով այլ օգտատերեր՝ զրոյական նույնացուցիչով, և նրանք բոլորը կունենան գերօգտագործողի արտոնություններ։

Չորրորդ դաշտը պարունակում է խմբի նույնացուցիչը (GroupID, GID): Այս դաշտում նշված խումբը կոչվում է օգտագործողի հիմնական խումբը(առաջնային խումբ): Օգտագործողը կարող է պատկանել մի քանի խմբերի, բայց դրանցից մեկը պետք է լինի հիմնական խումբը:

Հինգերորդ դաշտն այժմ կոչվում է մեկնաբանության դաշտ, սակայն դրա սկզբնական անունը GECOS էր՝ «GEConsolidatedOperatingSystem»-ի համար։ Երբ մատի կամ այլ ծրագրի միջոցով օգտատերերի տեղեկությունները պահանջում են, բովանդակությունը տրված դաշտայժմ վերադարձվում է որպես իրական օգտանուն: Մեկնաբանության դաշտը կարող է դատարկ լինել:

Վեցերորդ դաշտը նշում է օգտագործողի հիմնական գրացուցակը: Յուրաքանչյուր օգտվող պետք է ունենա իր սեփական տնային գրացուցակը: Սովորաբար, երբ օգտվողը մուտք է գործում, նա հայտնվում է իր հիմնական գրացուցակում, բայց եթե չկա, ապա նա գնում է արմատային գրացուցակ:

Յոթերորդ դաշտը նշում է մուտքի վահանակը: Ոչ բոլոր պատյանները կարող են նշված լինել այս դաշտում: Կախված համակարգի կարգավորումներից, այն կարող է պարունակել միայն վավեր կեղևների ցանկից մի պատյան: WSWS-ում թույլատրված կեղևների ցանկը գտնվում է լռելյայնորեն /etc/shells ֆայլում:

ՖԻԼ /etc/shadow

/etc/shadow ֆայլը պատկանում է արմատային օգտվողին և միակն է, ով կարող է կարդալ ֆայլը: Այն ստեղծելու համար դուք պետք է passwd ֆայլից վերցնեք օգտվողի անուններն ու հաշված գաղտնաբառերը և տեղադրեք ստվերային ֆայլում՝ passwd ֆայլի բոլոր հաշված գաղտնաբառերը փոխարինելով x նիշերով։ Եթե ​​նայեք համակարգի passwd ֆայլին, կարող եք տեսնել, որ հաշված գաղտնաբառերի փոխարեն կան x-եր: Այս նշանը համակարգին ասում է, որ գաղտնաբառը չպետք է փնտրել այստեղ, այլ /etc/shadow ֆայլում։ Փոխանցում-ից պարզ գաղտնաբառերդեպի ստվեր և ետ իրականացվում է երեք կոմունալ ծառայությունների միջոցով. Ստվերային գաղտնաբառերին հասնելու համար նախ գործարկվում է pwck կոմունալ ծրագիրը: Այն ստուգում է passwd ֆայլը ցանկացած անոմալիաների համար, որոնք կարող են հանգեցնել հաջորդ քայլի ձախողմանը կամ հանգույցին: Pwck-ի ավարտից հետո pwconv կոմունալը գործարկվում է՝ ստեղծելու /etc/shadow: Սա սովորաբար արվում է հետո ձեռքով թարմացումֆայլ /etc/passwd. Նորմալ գաղտնաբառերին վերադառնալու համար գործարկվում է pwuncov:

Ստվերային գաղտնաբառի ֆայլը շատ առումներով նման է սովորական գաղտնաբառի ֆայլին: Մասնավորապես, այս ֆայլերի առաջին երկու դաշտերը նույնն են։ Բայց բացի այս դաշտերից, այն բնականաբար պարունակում է լրացուցիչ դաշտեր, որոնք չեն գտնվել սովորական գաղտնաբառի ֆայլում: Ցուցակ 1.2. ցույց է տալիս տիպիկ /etc/shadow ֆայլի բովանդակությունը:

Ցուցակ 1.2.ՖԻԼ /etc/shadow

արմատ:1iDYwrOmhmEBU:10792:0:: 7:7::

bin:*:10547:0::7:7::

Դեմոն:*:10547:0::7:7::

adm:*:10547:0::7:7::

lp:*:10547:0::7:7::

համաժամեցում:*:10547:0::7:7::

անջատում:U:10811:0:-1:7:7:-1:134531940

դադար:*:10547:0::7:7::

փոստ:*:10547:0::7:7::

լուրեր:*:10547:0::7:7::

uucp:*:10547:0::7:7::

օպերատոր:*:10547:0::7:7::

խաղեր:*: 10547:0: :7:7::

գոֆեր:*:10547:0::7:7::

ftp:*:10547:0::7:7::

տղամարդ:*:10547:0::7:7::

մեծամասնություն:*:10547:0::7:7::

postgres:*:10547:0::7:7::

mysql:*:10547:0::7:7::

si1via:1iDYwrOmhmEBU:10792:0:30:7:-l::

ոչ ոք:*:10547:0::7:7::

david:1iDYwrOmhmEBU:10792:0::7:7::

Ավելին /etc/shadow-ի մասին

Ստվերային ֆայլի առաջին դաշտի նպատակը նույնն է, ինչ passwd ֆայլի առաջին դաշտը:

Երկրորդ դաշտը պարունակում է հաշված գաղտնաբառը: Ստվերային գաղտնաբառերի WSWS-ի ներդրումը թույլ է տալիս 13-ից 24 նիշանոց գաղտնաբառեր, սակայն գաղտնաբառի գաղտնագրման ծրագիրը կարող է արտադրել միայն 13 նիշանոց հեշավորված գաղտնաբառեր: Հեշում օգտագործվող նիշերը վերցված են 52 այբբենական նիշերից (փոքրատառ և մեծատառ), 0-9 թվանշաններից, կետից և հետին կտրվածքից (/): Հաշված գաղտնաբառի դաշտում թույլատրվում է ընդհանուր առմամբ 64 նիշ:

Հետևաբար, սերմը, որը, ինչպես նախկինում, առաջին երկու նշաններն է, կարելի է ընտրել 4096 հնարավոր համակցություններից (64x64): Գաղտնագրման համար օգտագործվում է 56 բիթանոց բանալիով DES ալգորիթմը, այսինքն՝ այս ալգորիթմի առանցքային տարածությունն ունի 256 բանալի, որը մոտավորապես հավասար է 72,057,590,000,000,000 կամ 72 կվադրիլիոն։ Թիվը տպավորիչ է թվում, բայց իրականում հնարավոր է շատ կարճ ժամանակում կրկնել բոլոր ստեղները այս չափի տարածության մեջ:

Երրորդ դաշտը սկսվում է գաղտնաբառի ծերացման մասին տեղեկություններով: Այն պահպանում է 1970 թվականի հունվարի 1-ից անցած օրերի քանակը՝ մինչև գաղտնաբառը վերջին անգամ փոխելու օրը:

Չորրորդ դաշտը նշում է օրերի նվազագույն քանակը, որոնք պետք է անցնեն, մինչև գաղտնաբառը նորից փոխվի: Քանի դեռ այս դաշտում նշված օրերի թիվը չի անցել գաղտնաբառի վերջին փոփոխության օրվանից, գաղտնաբառը չի կարող կրկին փոխվել:

Հինգերորդ դաշտում նշվում է այն օրերի առավելագույն քանակը, որոնց ընթացքում կարելի է օգտագործել գաղտնաբառը, որից հետո այն պետք է փոխվի: Եթե ​​այս դաշտը դրված է դրական արժեքի վրա, եթե օգտվողը փորձի մուտք գործել գաղտնաբառի ժամկետը լրանալուց հետո, ապա գաղտնաբառի հրամանը չի գործարկվի նորմալ, այլ գաղտնաբառի փոփոխման պարտադիր ռեժիմում:

Վեցերորդ դաշտի արժեքը որոշում է, թե գաղտնաբառի ժամկետի ավարտից քանի օր առաջ պետք է սկսեք նախազգուշացում տալ այս մասին: Նախազգուշացում ստանալուց հետո օգտատերը կարող է սկսել նոր գաղտնաբառ գտնել:

Յոթերորդ դաշտում նշվում է օրերի քանակը՝ սկսած գաղտնաբառի պարտադիր փոփոխման օրվանից, որից հետո այս հաշիվն արգելափակվում է։

Նախավերջին դաշտը պահում է այն օրը, երբ հաշիվն արգելափակվել է:

Վերջին դաշտը վերապահված է և չի օգտագործվում:

Ավելին /etc/group-ի մասին

/etc/group ֆայլի յուրաքանչյուր գրառում բաղկացած է չորս դաշտերից, որոնք բաժանված են երկու կետով: Առաջին դաշտում նշվում է խմբի անվանումը: Օգտվողի անունի նման:

Երկրորդ դաշտը սովորաբար միշտ դատարկ է, քանի որ խմբերի համար գաղտնաբառի մեխանիզմը սովորաբար չի օգտագործվում, սակայն, եթե այս դաշտը դատարկ չէ և պարունակում է գաղտնաբառ, ապա ցանկացած օգտվող կարող է միանալ խմբին: Դա անելու համար անհրաժեշտ է գործարկել newgrp հրամանը՝ որպես պարամետր խմբի անունը, այնուհետև մուտքագրել ճիշտ գաղտնաբառը։ Եթե ​​խմբի համար գաղտնաբառ սահմանված չէ, ապա դրան կարող են միանալ միայն խմբի անդամների ցանկում նշված օգտվողները:

Երրորդ դաշտում նշվում է խմբի նույնացուցիչը (GroupID, GID): Դրա իմաստը նույնն է, ինչ օգտագործողի ID-ն:

Վերջին դաշտը խմբին պատկանող օգտվողների անունների ցանկն է: Օգտատիրոջ անունները թվարկված են՝ բաժանված ստորակետերով՝ առանց բացատների: Օգտատիրոջ հիմնական խումբը նշված է (պարտադիր) passwd ֆայլում և նշանակվում է, երբ օգտատերը միանում է համակարգին այս տեղեկատվության հիման վրա: Համապատասխանաբար, եթե օգտվողի հիմնական խումբը փոխվի passwd ֆայլում, օգտվողն այլևս չի կարողանա միանալ իր նախկին հիմնական խմբին:

ՖԻԼ /etc/login.defs

Համակարգում նոր օգտվող ավելացնելու մի քանի եղանակ կա: WSWS-ն դրա համար օգտագործում է հետևյալ ծրագրերը՝ coastooL, LISA, useradd: Նրանցից ցանկացածը կանի: COAS կոմունալն օգտագործում է իր սեփական ֆայլը: Իսկ useradd և LISA ծրագրերը տեղեկատվություն են վերցնում /etc/login.defs ֆայլից passwd և shadow ֆայլերի դաշտերի լռելյայն արժեքների մասին։ Այս ֆայլի բովանդակությունը, կրճատ ձևով, ցուցադրված է Ցուցակ 1-4-ում:

Ցուցակ 1.4.Հակիրճ ֆայլ /etc/login.defs

#Գաղտնաբառի օգտագործման թույլատրելի օրերի առավելագույն քանակը.

#(-1 - գաղտնաբառի փոփոխությունը պարտադիր չէ) PASS_MAX_DAYS-1

Գաղտնաբառի փոփոխության միջև ընկած ժամանակահատվածի նվազագույն քանակը՝ PASS_MIN_DAYSO

# Գաղտնաբառի փոփոխման ամսաթվից քանի օր առաջ պետք է նախազգուշացում տրվի՝ PASS_WARN_AGE7

#Քանի՞ օր պետք է անցնի գաղտնաբառի ժամկետը լրանալուց հետո, մինչև հաշիվն արգելափակվի՝ PASS_INACTIVE-1

#Ստիպել գաղտնաբառի ժամկետի ավարտը տվյալ օրը.

# (ամսաթիվը նշված է 70/1/1-ից հետո օրերի քանակով, -1 = մի ստիպեք) PASS_EXPIRE -1

Useradd ծրագրի համար ստեղծված հաշվի դաշտերի #արժեքները

#կանխադրված խումբ՝ GROUP100

#user home directory՝ %s = username) HOME /home/%s

#կանխադրված կեղև՝ SHELL/bin/bash

#տեղեկատու, որտեղ գտնվում է գլխավոր գրացուցակի կմախքը՝ SKEL/etc/skel

#նվազագույն և առավելագույն արժեքը GID-ի ավտոմատ ընտրության համար groupaddGID_MIN100-ում

Այս ֆայլի բովանդակությունը սահմանում է լռելյայն արժեքները passwd և ստվերային ֆայլերի դաշտերի համար: Եթե ​​դուք չանտեսեք դրանք հրամանի տողից, դրանք կօգտագործվեն: Որպես ելակետ, այս արժեքները լավ են, բայց դրանցից մի քանիսը պետք է փոխվեն՝ գաղտնաբառի ծերացումը իրականացնելու համար: -1 արժեքը նշանակում է ոչ մի սահմանափակում:

Caldera բաշխման COAS ծրագիրը օգտագործում է գրաֆիկական ինտերֆեյս

Մեկ կամ երկու օգտվողների համար գաղտնաբառի ծերացման տեղեկատվությունը փոխելու համար կարող եք օգտագործել chage (changeaging) հրամանը: Չարտոնված օգտատերերը կարող են միայն -l ընտրանքներով և իրենց սեփական օգտանունով գործարկել, այսինքն՝ միայն իրենց սեփական գաղտնաբառը կհնանա: Անվավերության մասին տեղեկատվությունը փոխելու համար բավական է նշել օգտվողի անունը, մնացած պարամետրերը կպահանջվեն երկխոսության ռեժիմում: Առանց պարամետրերի զանգի վճարումը կտրամադրի օգտագործման համառոտ նշում:

COAS-ը կարող է օգտագործվել գաղտնաբառի ծերացման կարգավորումները փոխելու համար յուրաքանչյուր հաշվի հիման վրա: Արժեքները տրվում են օրերով: Ծրագրի ինտերֆեյսը ակնհայտ է.

ՆՇՈՒՄ -

Դուք կարող եք օգտագործել expiry հրամանը՝ օգտվողի գաղտնաբառի ժամկետի ավարտի մասին տեղեկատվություն ստանալու կամ գործընթացը պարտադրելու համար:

RAM անվտանգության համակարգ

PAM-ի հիմնական գաղափարն այն է, որ դուք միշտ կարող եք գրել անվտանգության նոր մոդուլ, որը կարող է մուտք գործել ֆայլ կամ սարք տեղեկատվություն ստանալու համար և վերադարձնել թույլտվության ընթացակարգի արդյունքը. Իսկ PAM-ն իր հերթին կվերադարձնի ՀԱՋՈՂՈՒԹՅՈՒՆԸ կամ ՁԱԽՈՂՈՒԹՅՈՒՆԸ այն ծառայությանը, որն անվանել է այն: Այսպիսով, կարևոր չէ, թե ինչ գաղտնաբառեր՝ ստվերային, թե նորմալ, օգտագործվում են համակարգում, եթե այն ունի RAM. բոլոր ծրագրերը, որոնք աջակցում են RAM-ին, լավ կաշխատեն երկուսի հետ էլ:

Այժմ անդրադառնանք RAM-ի շահագործման հիմնական սկզբունքների քննարկմանը: Դիտարկենք ցուցակագրումը 1.6. /etc/pam.d գրացուցակը պարունակում է կազմաձևման ֆայլեր այլ ծառայությունների համար, ինչպիսիք են su, passwd և այլն, կախված նրանից, թե համակարգում ինչ ծրագրակազմ է տեղադրված: Յուրաքանչյուր սահմանափակված ծառայություն ունի իր կազմաձևման ֆայլը: Եթե ​​չկա, ապա մուտքի սահմանափակումով այս ծառայությունն ընկնում է «այլ» կատեգորիայի մեջ՝ այլ.d կազմաձևման ֆայլով։ (Սահմանափակված ծառայությունը ցանկացած ծառայություն կամ ծրագիր է, որը պահանջում է, որ դուք լիազորված լինեք այն օգտագործելու համար: Այլ կերպ ասած, եթե ծառայությունը սովորաբար ձեզանից օգտվողի անուն և գաղտնաբառ է խնդրում, դա սահմանափակված ծառայություն է:)

Ցուցակում 1.6. մուտքի ծառայության կազմաձևման ֆայլ

auth պահանջվում է pam_securetty.so

վավերացումն անհրաժեշտ է pam_pwdb.so

auth պարտադիր pam_nologin.so

#auth պահանջվում է pam_dialup.so

վավերացնել կամընտիր pam_mail.so

հաշիվ պահանջվում է pam_pwdb.so

նիստը պահանջվում է pam_pwdb.so

նիստը կամընտիր pam_lastlog.so

գաղտնաբառը պահանջվում է pam_pwdb.so

Ինչպես տեսնում եք ցուցակից, կազմաձևման ֆայլը բաղկացած է երեք սյունակից: Գծերը, որոնք սկսվում են ֆունտի նշանով (#) անտեսվում են: Հետևաբար, pam_dialup մոդուլը (1.6 ցուցակի չորրորդ տող) կբացակայվի: Ֆայլը պարունակում է տողեր նույն երրորդ դաշտով՝ pam_pwd.so, իսկ առաջինը՝ auth: Միևնույն առաջին դաշտով բազմաթիվ տողերի օգտագործումը կոչվում է մոդուլների կուտակում և թույլ է տալիս ստանալ բազմաքայլ թույլտվություն (մոդուլների կույտ), որը ներառում է մի քանի տարբեր թույլտվության ընթացակարգեր:

Առաջին սյունակը տիպի սյունակն է: Տեսակը սահմանվում է չորս նիշերից մեկի պիտակներով՝ auth, account, session և password: Բոլոր սյունակների բովանդակությունը համարվում է մեծատառերի տարբերություն:

Հավաստագրման տեսակը (authentication - authentication) օգտագործվում է պարզելու համար, թե արդյոք օգտագործողը նա է, ով պնդում է, թե ինքը: Որպես կանոն, դա ձեռք է բերվում մուտքագրված և պահված գաղտնաբառերի համեմատությամբ, սակայն հնարավոր են այլ տարբերակներ։

Տիպի հաշիվը (հաշիվը) ստուգում է, թե արդյոք տվյալ օգտատիրոջը թույլատրվում է օգտվել ծառայությունից, ինչ պայմաններում, արդյոք գաղտնաբառը հնացած է և այլն։

Գաղտնաբառի տեսակն օգտագործվում է թույլտվության նշանները թարմացնելու համար:

Նիստի տեսակը կատարում է որոշակի գործողություններ, երբ օգտվողը մուտք է գործում և երբ օգտվողը դուրս է գալիս:

Վերահսկիչ դրոշներ

Երկրորդ սյունակը հսկիչ դրոշակի դաշտ է, որը սահմանում է, թե ինչ անել մոդուլի վերադարձից հետո, այսինքն՝ PAM-ի պատասխանը ՀԱՋՈՂՈՒԹՅԱՆ, անտեսելու և ձախողման համար: Թույլատրված արժեքները պարտադիր են, պարտադիր, բավարար և ընտրովի: Այս դաշտի արժեքը որոշում է, թե արդյոք ֆայլի մնացած տողերը կմշակվեն:

Պահանջվող դրոշը սահմանում է առավել սահմանափակող վարքագիծը: Պահանջվող դրոշակով ցանկացած տող, որի մոդուլը վերադարձրել է FAILURE արժեքը, կդադարեցվի, և զանգահարող ծառայությունը կվերադարձնի FAILURE կարգավիճակը: Այլ տողեր չեն դիտարկվելու: Այս դրոշը հազվադեպ է օգտագործվում: Փաստն այն է, որ եթե դրանով նշված մոդուլը գործարկվի հենց առաջինը, ապա դրան հաջորդող մոդուլները կարող են չգործարկվել, այդ թվում՝ լոգերի համար պատասխանատուները, ուստի փոխարենը սովորաբար օգտագործվում է պահանջվող դրոշը։

Պահանջվող դրոշը չի ընդհատում մոդուլների կատարումը: Ինչ էլ որ լինի դրանով նշված մոդուլի կատարման արդյունքը. ՀԱՋՈՂՈՒԹՅՈՒՆ (ՀԱՋՈՂՈՒԹՅՈՒՆ), ԱՆՏԵՂՈՒՄ (ԱՆԳԻՏԵԼ) կամ ՁԱԽՈՂՈՒՄ (FAILURE), PAM-ը միշտ անցնում է հաջորդ մոդուլի մշակմանը: Սա ամենից հաճախ օգտագործվող դրոշակն է, քանի որ մոդուլի կատարման արդյունքը չի վերադարձվում, քանի դեռ մնացած բոլոր մոդուլները չեն ավարտվել, ինչը նշանակում է, որ գրանցման համար պատասխանատու մոդուլները անպայման կկատարվեն:

Բավարար դրոշակը հանգեցնում է նրան, որ տողը անմիջապես ավարտում է մշակումը և վերադարձնում ՀԱՋՈՂԱԿԱՆ արժեքը, պայմանով, որ դրանով նշված մոդուլը վերադարձրել է ՀԱՋՈՂԱԿԱՆ արժեքը, և նախկինում չի եղել անհրաժեշտ դրոշակով մոդուլ, որը վերադարձրել է FAILURE կարգավիճակը: Եթե ​​նման մոդուլ է հանդիպել, ապա բավարար դրոշը անտեսվում է: Եթե ​​այս դրոշակով նշված մոդուլը վերադարձրեց IGNORE կամ FAILURE արժեք, ապա բավարար դրոշը վերաբերվում է նույն կերպ, ինչ կամընտիր դրոշը:

Լրացուցիչ դրոշակով մոդուլի կատարման արդյունքը հաշվի է առնվում միայն այն դեպքում, եթե դա փաթեթի միակ մոդուլն է, որը վերադարձրել է ՀԱՋՈՂԱԿԱՆ արժեք: Հակառակ դեպքում դրա կատարման արդյունքն անտեսվում է։ Այսպիսով, դրանով նշված մոդուլի անհաջող կատարումը չի հանգեցնում ամբողջ թույլտվության գործընթացի ձախողմանը:

Անհրաժեշտ և պահանջվող դրոշակներով նշված մոդուլները չպետք է վերադարձնեն FAILURE, որպեսզի օգտվողը կարողանա մուտք գործել համակարգ: Լրացուցիչ դրոշակով մոդուլը գործարկելու արդյունքը հաշվի է առնվում միայն այն դեպքում, եթե դա փաթեթի միակ մոդուլն է, որը վերադարձրել է SUCCESS:

RAM մոդուլներ

Երրորդ սյունակը պարունակում է տվյալ տողի հետ կապված մոդուլի լրիվ որակավորված ֆայլի անունը։ Սկզբունքորեն, մոդուլները կարող են տեղակայվել ցանկացած վայրում, բայց եթե դրանք տեղադրվեն մոդուլների համար նախապես սահմանված գրացուցակում, ապա միայն անուն կարելի է նշել, հակառակ դեպքում անհրաժեշտ է նաև ուղի: WSWS-ում նախապես սահմանված գրացուցակը /lib/security է:

Չորրորդ սյունակը մոդուլին լրացուցիչ պարամետրեր փոխանցելու համար է: Ոչ բոլոր մոդուլներն ունեն պարամետրեր, և եթե ունեն, ապա դրանք կարող են չօգտագործվել: Պարամետրը մոդուլին փոխանցելը թույլ է տալիս այս կամ այն ​​կերպ փոխել դրա վարքագիծը:

Ցուցակ 1.7-ը թվարկում է PAM մոդուլները, որոնք կազմում են WSWS-ը:

Ցուցակ 1.7. RAM մոդուլների ցանկ, որոնք WSWS-ի մաս են կազմում

pam_rhosts_auth.so

pam_securetty.so

pam_unix_acct.so

pam_unix_auth.so

pam_unix_passwd.so

pam_unix_session.so

Ավելին մոդուլների մասին

Pam_access.so մոդուլն օգտագործվում է մուտքը տրամադրելու/մերժելու համար՝ հիմնված /etc/security/access.conf ֆայլի վրա։ Այս ֆայլի տողերն ունեն հետևյալ ձևաչափը.

իրավունքներ՝ օգտվողներ՝ սկսած

Թույլտվություններ - կամ + (թույլատրել) կամ - (մերժել)

Օգտատերեր - ԲՈԼՈՐԸ, օգտանունը կամ user@host, որտեղ հոսթինգը համընկնում է տեղական մեքենայի անվան հետ, հակառակ դեպքում մուտքն անտեսվում է:

From - մեկ կամ ավելի տերմինալային ֆայլերի անուններ (առանց /dev/ նախածանցի), հոսթների անուններ, դոմենային անուններ(սկսած կետից), IP հասցեներ, ALL կամ LOCAL:

Pam_cracklib.so մոդուլը ստուգում է գաղտնաբառերը բառարանի վրա: Այն նախագծված է նոր գաղտնաբառի վավերացման և համակարգում հեշտ կոտրվող գաղտնաբառերի, օրինակ՝ սովորական բառերի, կրկնվող նիշեր պարունակող գաղտնաբառերի և չափազանց կարճ գաղտնաբառերի օգտագործումը կանխելու համար: Կան կամընտիր պարամետրեր՝ վրիպազերծում, տեսակ= և կրկնել=։ Վրիպազերծման տարբերակը հնարավորություն է տալիս վրիպազերծման մասին տեղեկատվությունը գրել մատյան ֆայլում: Տիպի պարամետրը, որին հաջորդում է տողը, փոխում է լռելյայն NewUnixpassword-ը. հուշում է փոխել Unix բառը նշված տողի մեջ: Կրկնվող պարամետրը նշում է գաղտնաբառ մուտքագրելու օգտատիրոջը տրված փորձերի քանակը, որից հետո սխալ է վերադարձվում (կանխադրվածը մեկ փորձ է):

Դիտարկենք ցուցակագրումը 1.8. Այն ցույց է տալիս /etc/pam.d/other ֆայլի բովանդակությունը։ Այս ֆայլը պարունակում է PAM շարժիչի կողմից օգտագործվող կոնֆիգուրացիան այն ծառայությունների համար, որոնք չունեն իրենց սեփական կազմաձևման ֆայլերը /etc/pam.d գրացուցակում: Այլ կերպ ասած, այս ֆայլը վերաբերում է PAM համակարգին անհայտ բոլոր ծառայություններին: Այն տրամադրում է բոլոր չորս տեսակի թույլտվությունները՝ վավերացում, հաշիվ, գաղտնաբառ և նիստ, որոնցից յուրաքանչյուրը կանչում է pam_deny.so մոդուլը՝ նշված պահանջվող դրոշով: Այսպիսով, անհայտ ծառայության կատարումն արգելվում է։

Ցուցակ 1.8. FILE /etc/pam.d/other

auth պահանջվում է pam_deny.so

auth պահանջվում է pam_warn.so

հաշիվ պահանջվում է pam_deny.so

գաղտնաբառը պահանջվում է pam_deny.so

գաղտնաբառը պահանջվում է pam_warn.so

նիստը պահանջվում է pam_deny.so

Pam_dialup.so մոդուլը ստուգում է, թե արդյոք գաղտնաբառ է պահանջվում հեռավոր տերմինալ կամ տերմինալներ մուտք գործելու համար՝ օգտագործելով /etc/security/ttys.dialup ֆայլը: Մոդուլը կիրառելի է ոչ միայն ttyS-ի, այլ ընդհանրապես ցանկացած tty տերմինալի համար: Երբ անհրաժեշտ է գաղտնաբառ, այն ստուգվում է /etc/security/passwd.dialup ֆայլի գաղտնաբառի հետ: Passwd.dialup ֆայլի փոփոխությունները կատարվում են dpasswd ծրագրի կողմից:

Pam_group.so մոդուլը ստուգում է /etc/security/group.conf ֆայլի բովանդակությունը: Այս ֆայլը սահմանում է այն խմբերը, որոնց ֆայլում նշված օգտատերը կարող է անդամ դառնալ, եթե բավարարվեն որոշակի պայմաններ:

Pam_lastlog.so մոդուլը վերջին լոգ ֆայլի վրա գրում է տեղեկատվություն այն մասին, թե երբ և որտեղից է օգտատերը մուտք գործել: Սովորաբար այս մոդուլը նշվում է նստաշրջանի տեսակով և կամընտիր դրոշակով:

Pam_limits.so մոդուլը թույլ է տալիս տարբեր սահմանափակումներ մտցնել մուտք գործած օգտատերերի համար: Այս սահմանափակումները չեն տարածվում արմատային օգտագործողի վրա (կամ զրոյական id ունեցող ցանկացած այլ օգտագործողի վրա): Սահմանափակումները սահմանվում են մուտքի մակարդակում և գլոբալ կամ մշտական ​​չեն, վավեր են միայն մեկ մուտքի դեպքում:

Pam_lastfile.so մոդուլը վերցնում է որոշակի մուտք (հատ), այն համեմատում է ֆայլի ցանկի հետ և համեմատության արդյունքների հիման վրա վերադարձնում է ՀԱՋՈՂՈՒԹՅՈՒՆ (ՀԱՋՈՂՈՒԹՅՈՒՆ) կամ ՖԱԼՈՒՐ (FAILURE): Այս մոդուլի պարամետրերը հետևյալն են.

Նյութ=[տերմինալ օգտագործող | հեռավոր_հոսթ | հեռակա_օգտագործող | խումբ| պատյան]

Sense= (վերադարձի կարգավիճակ. երբ մուտքը գտնվի ցանկում, հակառակ դեպքում վերադարձվում է հակառակ կարգավիճակը)

file=/full/path/and/file_name - onerr= (ինչ կարգավիճակ վերադարձնել, եթե սխալ առաջանա)

App1y=[user|@group] (նշում է օգտվողին կամ խմբին, որը պետք է սահմանափակվի: Նշանակալի է միայն այն գրառումների համար, ինչպիսիք են item=[տերմինալ | remote_host | shell], այնպիսի գրառումների համար, ինչպիսիք են item=[user | remote_user | group] այն անտեսվում է)

Pam_nologin.so մոդուլն օգտագործվում է անհրաժեշտ դրոշով auth տեսակի թույլտվության համար: Այս մոդուլը ստուգում է, արդյոք /etc/nologin ֆայլը գոյություն ունի և վերադարձնում է SUCCESS, եթե չկա, հակառակ դեպքում ֆայլի բովանդակությունը ցուցադրվում է օգտագործողին և FAILURE-ը վերադարձվում է: Այս մոդուլը սովորաբար օգտագործվում է, երբ համակարգը դեռ ամբողջությամբ չի գործում կամ ժամանակավորապես փակ է սպասարկման համար, բայց ցանցից անջատված չէ:

Pam_permit.so մոդուլը լրացնում է pam_deny.so մոդուլին: Այն միշտ վերադարձնում է ՀԱՋՈՂՈՒԹՅՈՒՆ: Մոդուլի կողմից փոխանցված ցանկացած պարամետր անտեսվում է:

Pam_pwdb.so մոդուլը ապահովում է ինտերֆեյս passwd և shadow ֆայլերի համար: Հետևյալ տարբերակները հնարավոր են.

Վրիպազերծում - տեղեկամատյան ֆայլում վրիպազերծման տեղեկատվությունը գրելը;

Աուդիտ - վրիպազերծման լրացուցիչ տեղեկատվություն նրանց համար, ովքեր չունեն բավարար սովորական կարգաբերման տեղեկատվություն.

Use_first_pass - երբեք օգտագործողից գաղտնաբառ չխնդրեք, այլ վերցրեք այն նախորդ stack մոդուլներից;

Try_first_pass - փորձեք ստանալ գաղտնաբառը նախորդ մոդուլներից, ձախողման դեպքում հարցրեք օգտվողին;

Use_authtok - վերադարձրեք FAILURE արժեքը, եթե pam_authtok-ը սահմանված չէ, օգտագործողին մի հուշեք գաղտնաբառ, այլ վերցրեք այն նախորդ stack մոդուլներից (միայն գաղտնաբառի տիպի մոդուլների փաթեթի համար);

not_set_pass - մի դրեք այս մոդուլի գաղտնաբառը որպես հաջորդ մոդուլների գաղտնաբառ;

Shadow - աջակցում է ստվերային գաղտնաբառերի համակարգին;

Unix - տեղադրեք գաղտնաբառերը /etc/passwd ֆայլում;

Md5 - օգտագործեք md5 գաղտնաբառերը հաջորդ գաղտնաբառի փոփոխության համար;

Bigcrypt - օգտագործեք DECC2 գաղտնաբառերը հաջորդ անգամ, երբ փոխեք գաղտնաբառերը;

Nodelay - անջատել ձախողված թույլտվության մեկ վայրկյան ուշացումը:

Pam_rhosts_auth.so մոդուլը թույլ է տալիս/մերժում է .rhosts կամ hosts.equiv ֆայլերի օգտագործումը: Բացի այդ, այն նաև թույլ է տալիս/մերժում է այս ֆայլերում «վտանգավոր» գրառումների օգտագործումը: Այս մոդուլի պարամետրերը հետևյալն են.

No_hosts_equiv - անտեսել /etc/hosts.equiv ֆայլը;

No_rhosts - անտեսեք /etc/rhosts կամ ~/.rhosts ֆայլը;

Վրիպազերծում - տեղեկամատյան կարգաբերման մասին տեղեկատվություն;

Nowarn - մի ցուցադրեք նախազգուշացումները;

Suppress - մի ցուցադրեք որևէ հաղորդագրություն;

Անառակ - Թույլ տվեք «+» նիշը օգտագործել ցանկացած դաշտում:

Pam_rootok.so մոդուլը վերադարձնում է ՀԱՋՈՂՈՒԹՅԱՆ արժեքը զրոյական id ունեցող ցանկացած օգտագործողի համար: Երբ նշված է բավարար դրոշակով, այս մոդուլը թույլ է տալիս մուտք գործել ծառայություն՝ առանց գաղտնաբառ նշելու: Մոդուլն ունի միայն մեկ պարամետր՝ վրիպազերծում:

Pam_securetty.so մոդուլը կարող է օգտագործվել միայն գերօգտագործողների դեմ: Այս մոդուլն աշխատում է /etc/securetty ֆայլի հետ՝ թույլ տալով գերօգտագործողին մուտք գործել միայն այս ֆայլում թվարկված տերմինալների միջոցով։ Եթե ​​ցանկանում եք թույլատրել արմատային մուտքը telnet-ի միջոցով (կեղծ տերմինալ ttyp), դուք պետք է կա՛մ ttyp0-255-ի համար տողեր ավելացնեք այս ֆայլին, կա՛մ մեկնաբանեք զանգը pam_securetty.so-ին մուտքի ծառայության ֆայլում:

Pam_shells.so մոդուլը վերադարձնում է ՀԱՋՈՂՈՒԹՅՈՒՆ, եթե /etc/passwd ֆայլում նշված օգտվողի կեղևը նշված է /etc/shells ֆայլում: Եթե ​​/etc/passwd ֆայլը օգտվողին որևէ շերտ չի վերագրում, ապա սկսվում է /bin/sh-ը: Եթե ​​/etc/passwd ֆայլը նշում է օգտատիրոջ համար shell, որը նշված չէ /etc/shells-ում, մոդուլը վերադարձնում է FAILURE: Միայն գերօգտագործողին պետք է թույլատրվի գրել /etc/shells ֆայլում:

Pam_stress.so մոդուլն օգտագործվում է գաղտնաբառերը կառավարելու համար: Այն ունի շատ պարամետրեր, ներառյալ անփոփոխ կարգաբերումը, բայց ընդհանուր դեպքԲոլոր պարամետրերից միայն երկուսն են հետաքրքրում.

Rootok - թույլ տվեք գերօգտագործողին փոխել օգտվողի գաղտնաբառերը՝ առանց հին գաղտնաբառը մուտքագրելու;

Ժամկետանց - Այս տարբերակով մոդուլը գործարկվում է այնպես, կարծես օգտվողի գաղտնաբառը արդեն սպառվել է:

Մոդուլի այլ տարբերակները թույլ են տալիս անջատել այս երկու ռեժիմներից որևէ մեկը, օգտագործել գաղտնաբառ մեկ այլ մոդուլից կամ գաղտնաբառ փոխանցել մեկ այլ մոդուլի և այլն: այս մոդուլը, կարդացեք դրանք, նկարագրությունը մոդուլի փաստաթղթերում:

WSWS-ը լռելյայնորեն չի օգտագործում pam_tally.so մոդուլը /etc/pam.d-ի ֆայլերում: Այս մոդուլը հաշվում է թույլտվության փորձերը: Հաջող թույլտվությունից հետո փորձերի քանակի հաշվիչը կարող է վերականգնվել: Եթե ​​քանակ անհաջող փորձերկապը գերազանցել է որոշակի շեմը, մուտքը կարող է մերժվել: Լռելյայնորեն, փորձերի մասին տեղեկատվությունը տեղադրվում է /var/log/faillog ֆայլում: Համաշխարհային տարբերակներն են.

Onerr= - ինչ անել, եթե սխալ առաջանա, օրինակ՝ ֆայլը հնարավոր չէ բացել;

File=/full/path/and/file_name - եթե բացակայում է, օգտագործվում է լռելյայն ֆայլը: Հետևյալ պարամետրը իմաստ ունի միայն auth տեսակի համար.

No_magic_root - միացնում է գերօգտագործողի համար փորձերի քանակը (կանխադրվածը չի կատարվում): Օգտակար է, եթե արմատային մուտքը telnet-ի միջոցով թույլատրվում է: Հետևյալ տարբերակները իմաստ ունեն միայն հաշվի տեսակի համար.

Մերժել=n - մերժել մուտքը n փորձից հետո: Այս տարբերակն օգտագործելիս reset/no_reset մոդուլի լռելյայն վարքագիծը no_reset-ից փոխվում է reset-ի: Սա տեղի է ունենում բոլոր օգտագործողների համար, բացառությամբ արմատային օգտվողի (UID 0), եթե չի օգտագործվում no_magic_root տարբերակը;

No_magic_root - Մի անտեսեք արմատական ​​օգտագործողի կողմից կատարված մուտքի փորձերի մերժման տարբերակը: Երբ օգտագործվում է deny= տարբերակի հետ համատեղ (տե՛ս ավելի վաղ), արմատային օգտատիրոջ լռելյայն վարքագիծը վերակայվում է, ինչպես բոլոր մյուս օգտագործողների դեպքում.

Even_deny_root_account - Թույլ է տալիս գերօգտագործողի հաշիվը արգելափակել, եթե առկա է no_magic_root տարբերակը: Սա առաջացնում է նախազգուշացում: Եթե ​​no_magic_root տարբերակը չի օգտագործվում, ապա անկախ ձախողված փորձերի քանակից, գերօգտագործողի հաշիվը, ի տարբերություն սովորական օգտվողների հաշիվների, երբեք չի արգելափակվի.

Վերականգնել - վերականգնել հաջող մուտքի փորձերի քանակի հաշվիչը;

No_reset - մի վերակայեք հաջող մուտքի փորձերի քանակի հաշվիչը; օգտագործվում է լռելյայն, եթե deny= նշված չէ:

Pam_time.so մոդուլը թույլ է տալիս սահմանափակել ծառայության մուտքը ժամանակի հիման վրա: Այն կարգավորելու բոլոր հրահանգները կարելի է գտնել /etc/security/time.conf ֆայլում: Այն չունի պարամետրեր. ամեն ինչ դրված է կազմաձևման ֆայլում:

Pam_unix մոդուլը կարգավորում է նորմալ WSWS թույլտվությունը (սովորաբար փոխարենն օգտագործվում է pam_pwdb.so): Ֆիզիկապես այս մոդուլը բաղկացած է չորս մոդուլից, որոնցից յուրաքանչյուրը համապատասխանում է PAM-ի տեսակներից մեկին՝ pam_unix_auth.so, pam_unix_session.so, pam_unix_acct.so և pam_unix_passwd.so: Հաշվի և վավերացման տեսակների մոդուլները պարամետրեր չունեն: Մոդուլն ունի միայն մեկ պարամետր passwd տեսակի համար՝ strict=false: Եթե ​​այն առկա է, մոդուլը չի ​​ստուգում գաղտնաբառերը ճեղքման դիմադրության համար՝ թույլ տալով օգտագործել կամայական, ներառյալ անապահով (հեշտությամբ գուշակվող կամ կոպիտ ուժով) գաղտնաբառերը: Սեսիայի տեսակի մոդուլը հասկանում է երկու պարամետր՝ վրիպազերծում և հետք: Վրիպազերծման տարբերակի վրիպազերծման տեղեկատվությունը տեղադրվում է վրիպազերծման տեղեկատվության գրանցամատյանի ֆայլում, ինչպես նշված է syslog.conf-ում, իսկ հետագծման ընտրանքի տեղեկատվությունը, իր զգայունության պատճառով, տեղադրվում է authpriv մատյանում:

Pam_warn.so մոդուլը գրանցում է հաղորդագրություն syslog-ին իր կանչի մասին: Պարամետրեր չունի։

Pam_wheel.so մոդուլը թույլ է տալիս միայն անիվների խմբի անդամներին դառնալ գերօգտագործող: Անիվների խումբը հատուկ համակարգային խումբ է, որի անդամներն ունեն ավելի շատ արտոնություններ, քան սովորական օգտվողները, բայց ավելի քիչ, քան գերօգտագործողը: Դրա առկայությունը թույլ է տալիս նվազեցնել գերօգտագործողի արտոնություններ ունեցող համակարգի օգտատերերի թիվը՝ դարձնելով նրանց անիվի խմբի անդամներ և դրանով իսկ բարձրացնելով համակարգի անվտանգությունը: Եթե ​​գերօգտագործողը կարող է մուտք գործել միայն տերմինալով, ապա այս մոդուլը կարող է օգտագործվել, որպեսզի օգտվողների համար անհնար դառնա գերօգտագործողի արտոնություններով telnet-ը, արգելելով նրանց մուտքը, քանի դեռ նրանք չեն պատկանում անիվների խմբին: Մոդուլն օգտագործում է հետևյալ պարամետրերը.

Վրիպազերծում - վրիպազերծման տեղեկատվության գրանցում;

Use_uid - Որոշեք սեփականության իրավունքը՝ հիմնվելով օգտատիրոջ ընթացիկ ID-ի վրա, այլ ոչ թե այն, ինչ նշանակվել է օգտատիրոջը մուտք գործելու ժամանակ:

Վստահություն - եթե օգտվողը պատկանում է անիվի խմբին, վերադարձրեք SUCCESS-ը IGNORE-ի փոխարեն;

Մերժել - հակադարձում է ընթացակարգի իմաստը (վերադարձ ԱՆՀԱՋՈՂՎԱԾ): Group=-ի հետ համատեղ թույլ է տալիս մերժել մուտքն այս խմբի անդամներին:

ՆՇՈՒՄ -

/etc/security գրացուցակը կապված է /etc/pam.d գրացուցակի հետ, քանի որ այն պարունակում է տարբեր PAM մոդուլների կազմաձևման ֆայլեր, որոնք կոչվում են /etc/pam.d ֆայլերում:

RAM-ի գրառումները մատյան ֆայլերում

Ցուցակում 1.9. /var/log/secure-ի բովանդակությունը

Հունվար 11 16:45:14 chiriqui PAM_pwdb. (su) նիստը բացվել է օգտատիրոջ արմատի համար

Հունվարի 11 16:45:25 chiriqui PAM_pwdb. (su) նիստը փակ է օգտատիրոջ արմատի համար

Հուն 11 17:18:06 chiriqui մուտք. ՉԱԽԱՂՎԱԾ ՄՈՒՏՔ 1-ից (null) Դեյվիդի համար,

Նույնականացման ձախողում

Հուն 11 17:18:13 chiriqui մուտք. ՉԱԽԱՂՎԱԾ ՄՈՒՏՔ 2-ից (null) Դեյվիդի համար:

Նույնականացման ձախողում

Հուն 11 17:18:06 chiriqui մուտք. ՉԱԽԱՂՎԱԾ ՄՈՒՏՔ 1-ից (null) Դեյվիդի համար:

Նույնականացման ձախողում

Հուն 11 17:18:13 chiriqui մուտք. ՉԱԽԱՂՎԱԾ ՄՈՒՏՔ 2-ից (null) Դեյվիդի համար,

Նույնականացման ձախողում

Հունվար 11 17:18:17 chiriqui PAM_pwdb. (մուտք) նիստը բացվել է օգտատիրոջ համար Դավիթ

Հունվար 11 17:18:17 chiriqui -- david. ՄՈՒՏՔ ՄՈՒՏՔ ԴԵՎԻԴԻ ՄԻՋՈՑՈՒՄ

Հունվար 11 17:18:20 chiriqui PAM_pwdb. (մուտք) նիստը փակ է օգտատիրոջ համար david

Յուրաքանչյուր մուտք սկսվում է ամսաթվով, ժամով և հյուրընկալողի անունով: Դրան հաջորդում է PAM մոդուլի անվանումը և գործընթացի ID-ն՝ փակված քառակուսի փակագծերում: Այնուհետև փակագծերում հայտնվում է սահմանափակ ծառայության անվանումը։ Ցուցակ 1.9-ի համար սա կա՛մ su է, կա՛մ մուտք: Ծառայության անվանմանը հաջորդում է կամ «sessionopened» (նիստը բաց է) կամ «sessionclosed» (նիստը փակված է):

«Sessionopened» գրառումին անմիջապես հաջորդող գրառումը մուտքի հաղորդագրություն է, որը տեղեկացնում է ձեզ, թե ով է մուտք գործել և որտեղից:

Դիտարկվում են հետևյալ հարցերը.

Ո՞րն է լռելյայն օգտատերերի խումբը և մասնավոր օգտատերերի խմբերը;

Փոխել օգտվողին/խումբը;

Ինչպես է օգտատիրոջ/խմբի փոփոխությունն ազդում GUI-ի վրա;

Անվտանգություն և օգտվողներ;

Անվտանգություն և գաղտնաբառեր;

Գաղտնաբառի պաշտպանություն;

Լավ գաղտնաբառի ընտրություն;

Գաղտնաբառի կոտրում.

Կանխադրված խումբ

Ներկայումս միայն մեկ խմբին պատկանող օգտատերերի նկատմամբ սահմանափակումներ չկան: Ցանկացած օգտվող կարող է միաժամանակ մի քանի խմբի պատկանել։ Newgrp հրամանով օգտվողը դառնում է հրամանում նշված խմբի անդամ, և այս խումբը դառնում է այս օգտվողի համար: մուտքի խումբ(մուտքի խումբ): Այս դեպքում օգտատերը մնում է այն խմբերի անդամ, որոնց անդամ է եղել մինչև newgrp հրամանի գործարկումը։ Մուտքի խումբն այն խումբն է, որը դառնում է օգտագործողի կողմից ստեղծված ֆայլերի խմբի սեփականատեր:

Լռելյայն խմբի և մասնավոր օգտատերերի խմբերի միջև տարբերությունը երկու սխեմաների բաց լինելու աստիճանն է: Լռելյայն խումբ ունեցող սխեմայի դեպքում ցանկացած օգտվող կարող է կարդալ (և հաճախ փոփոխել) մեկ այլ օգտվողի ֆայլերը: Մասնավոր խմբերի դեպքում, սակայն, մեկ այլ օգտվողի կողմից ստեղծված ֆայլ կարդալը կամ գրելը հնարավոր է միայն այն դեպքում, եթե դրա սեփականատերը բացահայտորեն տրամադրել է այդ գործողությունների իրավունքներն այլ օգտվողների:

Եթե ​​ցանկանում եք, որ օգտվողները կարողանան միանալ և հեռանալ խմբից առանց համակարգի ադմինիստրատորի միջամտության, կարող եք գաղտնաբառ նշանակել այդ խմբին: Օգտագործողը կարող է օգտվել որոշակի խմբի արտոնություններից միայն այն դեպքում, եթե նա պատկանում է դրան: Այստեղ երկու տարբերակ կա՝ կա՛մ նա մտնում է խմբին մուտք գործելու պահից, կա՛մ խմբի անդամ է դառնում ավելի ուշ՝ համակարգի հետ աշխատելուց հետո։ Որպեսզի օգտատերը միանա այն խմբին, որին ինքը չի պատկանում, այդ խմբին պետք է հատկացվի գաղտնաբառ:

Լռելյայնորեն, WSWS-ը չի օգտագործում խմբային գաղտնաբառեր, ուստի /etc գրացուցակում gshadow ֆայլ չկա:

Եթե ​​դուք անընդհատ օգտագործում եք ծրագրերից միայն մեկը՝ useradd-ը, LISA-ն կամ COAS-ը՝ օգտատերերի ադմինիստրացիայի սովորական առաջադրանքները կատարելու համար, օգտվողի կարգավորումների ֆայլերը ավելի հետևողական են և ավելի հեշտ է պահպանել:

Լռելյայն խումբ ունեցող սխեմայի առավելությունն այն է, որ այն հեշտացնում է կիսվելովֆայլեր, քանի որ այն օգտագործելիս պետք չէ անհանգստանալ դրանց մուտքի իրավունքի մասին: Այս սխեման ենթադրում է բաց մոտեցում համակարգի նկատմամբ՝ «թույլատրվում է այն ամենը, ինչ արգելված չէ» սկզբունքով։

Օգտատիրոջ լռելյայն կարգավորումը առաջնահերթ խնդիր է, որը պետք է ավարտվի համակարգը տեղադրելուն պես:

Մասնավոր օգտվողների խմբեր

Մասնավոր օգտվողների խմբերն ունեն նույն անունները, ինչ օգտվողների անունները: Մասնավոր խումբը կազմված է մուտքի խումբ, ուստի լռելյայնորեն, այսինքն, եթե գրացուցակի ատրիբուտներն այլ բան չեն թելադրում, այն նշանակվում է որպես խումբ, որին պատկանում են օգտվողի բոլոր ֆայլերը:

Օգտատիրոջ անձնական խմբերի առավելությունն այն է, որ օգտվողները ստիպված չեն մտածել իրենց ֆայլերի մուտքը սահմանափակելու մասին. օգտվողի ֆայլերհենց դրանց ստեղծման պահից կսահմանափակվի։ WSWS-ում մասնավոր խմբեր օգտագործելիս օգտատերը կարող է կարդալ կամ փոփոխել միայն իրեն պատկանող ֆայլերը։ Բացի այդ, նա կարող է միայն ֆայլեր ստեղծել իր տնային գրացուցակում: Այս լռելյայն վարքագիծը կարող է փոխվել համակարգի ադմինիստրատորի կամ օգտագործողի կողմից, ինչպես անհատական ​​ֆայլի մակարդակով, այնպես էլ գրացուցակի մակարդակով:

Կան մի քանի հրամաններ, որոնց միջոցով օգտատերը կարող է կառավարել իր անունը և/կամ այն ​​խումբը, որին պատկանում է, կամ անունը կամ խումբը, որով աշխատում է ծրագիրը: Նման ծրագրերից մեկը newgrp-ն է:

Newgrp հրամանը կարող է գործարկվել ցանկացած օգտագործողի կողմից: Այն թույլ է տալիս նրան միանալ մի խմբի, որին ինքը չի պատկանել, բայց միայն այն դեպքում, եթե այդ խմբին հատկացվել է գաղտնաբառ: Այս հրամանը թույլ չի տա ձեզ միանալ խմբին առանց գաղտնաբառի, եթե դուք այդ խմբի անդամ չեք:

Newgrp հրամանը կարող է օգտագործվել մի խմբի վրա, որի անդամն արդեն իսկ օգտվողն է: Այս դեպքում newgrp-ը նշված խումբը դարձնում է մուտքի խումբ: Օգտատիրոջ խմբերը բաժանվում են երկու տեսակի՝ մուտքի խումբ և բոլոր մյուս խմբերը, որոնց պատկանում է օգտատերը: Օգտատերը կարող է պատկանել մեկից ավելի խմբի, սակայն այն խումբը, որին պատկանում են օգտատիրոջ կողմից ստեղծված ֆայլերը, միշտ կլինի օգտվողի մուտքի խումբը:

Բացի newgrp-ից, դուք կարող եք նաև օգտագործել chown և chgrp հրամանները՝ վերահսկելու համար, թե որ օգտվողին կամ խմբին է պատկանում ֆայլը:

Newgrp հրամանի շրջանակը XWindow միջավայրում սահմանափակվում է xterm ծրագրով, որում այն ​​գործարկվել է. միայն այս տերմինալի միջոցով գործարկված ծրագրերը կկատարվեն նոր խմբի համատեքստում, ինչը նշանակում է, որ օգտվողը չի կարող օգտագործել այն փոխելու համար: մուտքի խումբ ծրագրերի համար, որոնք գործարկվել են պատուհանների կառավարչի միջոցով: Ծրագիրը, որը միշտ պետք է գործարկվի երկրորդական խմբի համատեքստում, կարող է գործարկվել սկրիպտի միջոցով, որը սահմանում է այն մուտքի անհրաժեշտ խմբին:

XWindow համակարգը միշտ լրացուցիչ դժվարություններ է մտցնում օգտատերերի կյանքում: Այս դեպքում այս դժվարությունները ուղղակիորեն կապված չեն X-ի հետ, այլ բխում են /etc/groups-ի և /etc/gshadow-ի տրամաբանությունից։ Նրանք, ովքեր խմբերի համար ստվերային գաղտնաբառեր չեն օգտագործում, անհանգստանալու շատ բան չունեն: X-ի դեպքում հնարավոր չէ ստեղծել գաղտնաբառով պաշտպանված խումբ պարզ սկրիպտից, սակայն օգտագործողի երկրորդական խմբերի համար, որոնք գաղտնաբառ չեն պահանջում, խումբը փոխելը չափազանց պարզ է: Հետևյալ սցենարը բավարար կլինի.

sg - gifs -c /usr/X11R6/bin/xv &

Այս սկրիպտը կգործարկի xv ծրագիրը՝ որպես հիմնական խումբ խմբի gifs: Այն, ինչ դուք պետք է ստանաք:

Ավելի դժվար է նրանց համար, ովքեր օգտագործում են ստվերային խմբի գաղտնաբառերը, քանի որ այս դեպքում այս սկրիպտը կատարելիս էկրանին կհայտնվի սխալի հաղորդագրություն։ Երբ /etc/groups ֆայլը ցուցակագրում է խմբին պատկանող օգտվողներին, նրանցից յուրաքանչյուրը ավտոմատ կերպով համարվում է խմբի անդամ անմիջապես մուտք գործելուց հետո: Այնուամենայնիվ, ստվերային գաղտնաբառերի դեպքում խմբի օգտագործողների ցանկը տեղափոխվել է /etc/gshadow ֆայլ, որպեսզի համակարգ մուտք գործած օգտատերը ինքնաբերաբար չգրանցվի դրա անդամների մեջ, այլ կարողանա միանալ դրան newgrp հրամանը, կամ նրա անունից որևէ ծրագիր գործարկեք sg հրամանով: Խնդիրն այն է, որ X-ի տեսանկյունից այս օգտատերը (որը պարտադիր չէ, որ X աշխատանքային նիստը նախաձեռնող օգտատերը) իրավունք չունի կապ հաստատել։ Հետևաբար, խմբերի համար, որոնք պաշտպանված չեն գաղտնաբառով, վերը նշված սցենարը փոփոխվում է հետևյալ կերպ.

xhosts +localhost

sg - gifs -c /usr/X11R6/bin/xv &

Ավելացված տողը թույլ է տալիս նոր խմբին (գիֆեր) մուտք գործել էկրան: Աշխատանքային կայանների մեծ մասի համար դա չպետք է հանգեցնի անվտանգության որևէ նշանակալի խնդրի, քանի որ տրված տողըպարզապես թույլ է տալիս էկրանին մուտք գործել տեղական հյուրընկալող օգտվողներին (X-ի և xhost-ի մասին լրացուցիչ տեղեկությունների համար տե՛ս Linux համակարգի ադմինիստրատորի լավ ուղեցույց):

ՆՇՈՒՄ

X սերվերի օգտագործումը (հատկապես xdm-ի կամ kdm-ի հետ միասին) ենթադրում է մի շարք սեփական նրբություններ, որոնք ավելի են սրվում գրաֆիկական հավելվածներով, քանի որ դրանք կարող են գործարկվել ոչ միայն հրամանի տող, այլ նաև գրաֆիկական աշխատասեղանի պատկերակի միջոցով:

Օգտագործողի փոփոխություն

ՆՇՈՒՄ

Նորմալ օգտատերը չի կարող համակարգին այնքան վնաս հասցնել, որքան անփույթ գերօգտատերը: Որպես գերօգտագործողի ձեր տառասխալների հետևանքները կարող են բավականին ճակատագրական լինել, այն աստիճան, որ ձեր բոլորը համակարգի ֆայլեր(և նույնիսկ համակարգում պահվող բոլոր ֆայլերին) հնարավոր կլինի հրաժեշտ տալ: Որոշ ընկերություններ կարող են նաև հրաժեշտ տալ ձեզ:

su հրամանը մի օգտվողին վերածում է մյուսի: Թիմը ստացել է իր անունը « փոխարինող օգտագործող » (օգտագործողի փոխարինում), բայց քանի որ այն առավել հաճախ օգտագործվում է գերօգտագործող դառնալու համար:

Առանց փաստարկների կանչված su հրամանը օգտատիրոջը կհուշի գաղտնաբառ, այնուհետև (ի պատասխան ստանալով ճիշտ գաղտնաբառ) ձեզ կդարձնի հիմնական օգտվող: Այս հրամանը սահմանափակված ծառայություն է, ուստի դրա անվտանգության բոլոր ասպեկտները կարող են կազմաձևվել /etc/pam.d/su ֆայլի միջոցով:

ՆՇՈՒՄ -

Su զանգահարելն առանց օգտվողի անուն նշելու (գծիկով կամ առանց գծիկով) դիտվում է որպես հրահանգ՝ ձեզ հիմնական օգտվող դարձնելու համար:

Այս sudo հրամանը թույլ է տալիս ընտրված օգտատերերին որոշ ծրագրեր գործարկել որպես root, և այն օգտվողին, ով մուտք է գործում այս հրամանը, խնդրում է ոչ թե root գաղտնաբառը, այլ իր սեփական գաղտնաբառը: Օգտագործվում է sudo-ի կողմից, ինչպես sg հրամանը: Օգտատերը մուտքագրում է sudo command_to_execute, այնուհետև նրա գաղտնաբառը, և եթե թույլատրվում է, ապա նշված հրամանը կատարվում է գերօգտագործողի արտոնությունների համատեքստում:

Անվտանգություն և օգտվողներ

Օգտատերերին սովորաբար հետաքրքրում է միայն այն, թե ինչպես մուտք գործել և գործարկել իրենց անհրաժեշտ ծրագրերը: Անվտանգության նկատմամբ նրանց հետաքրքրությունը հայտնվում է միայն կարևոր ֆայլերի կորստից հետո։ Բայց դա երկար չի տևում: Իմանալով, որ միջոցներ են ձեռնարկվել, օգտատերերը արագ մոռանում են ցանկացած նախազգուշական միջոցի մասին։

Ընդհանրապես, դա նրանց մտահոգությունը չէ՝ անվտանգությունը։ Համակարգի ադմինիստրատորը պետք է մշակի, իրականացնի և պահպանի անվտանգության քաղաքականություն, որը թույլ կտա օգտատերերին կատարել իրենց աշխատանքը՝ չշեղվելով անվտանգության խնդիրներից, որոնք իրենց շրջանակից դուրս են:

Համակարգին սպառնացող հիմնական վտանգը, որպես կանոն, գալիս է ներսից, ոչ թե դրսից։ Դրա աղբյուրը (հատկապես խոշոր համակարգերում) կարող է լինել, օրինակ, զայրացած օգտվողը։ Այնուամենայնիվ, չափազանց մեծ կասկածանքից պետք է խուսափել, երբ անտեղյակության պատճառով պատճառված վնասը սխալմամբ ընկալվում է որպես չարամտություն: Ինչպես պաշտպանել օգտատերերին սեփական և այլ մարդկանց ֆայլերը չմտածված վնասից, նկարագրված է գրքի առաջին մասում: Ինչպես ցույց է տալիս պրակտիկան, սովորական օգտագործողը չի կարողանում վնասել համակարգը: Դուք պետք է անհանգստանաք միայն այն օգտատերերի համար, ովքեր կարողանում են սողանցք գտնել պաշտպանության մեխանիզմներում և իսկապես ունակ են նպատակային վնաս հասցնել համակարգին։ Բայց այդպիսի օգտատերերը սովորաբար քիչ են և ժամանակի ընթացքում հայտնի են դառնում, հատկապես, եթե գիտես, թե ինչ փնտրել: Ռիսկի խումբը ներառում է օգտվողներ, ովքեր իրենց դիրքի կամ կապերի շնորհիվ կարող են մուտք գործել արմատային արտոնությունների մակարդակով: Երբ դուք տիրապետում եք այս գրքի նյութին, դուք կսովորեք, թե ինչ պետք է փնտրել որպես մոտալուտ անախորժության նշաններ:

Լռելյայնորեն, օգտվողները լիովին վերահսկում են իրենց տնային դիրեկտորիաները: Եթե ​​դուք օգտագործում եք լռելյայն խումբը, համակարգի բոլոր օգտվողները պատկանում են նույն խմբին: Ցանկացած օգտատեր իրավունք ունի մուտք գործել այլ օգտատերերի տնային գրացուցակներ և դրանցում տեղակայված ֆայլեր: Անձնական օգտատերերի խմբերի հետ սխեման օգտագործելիս համակարգի ցանկացած օգտատեր մուտք ունի միայն իր սեփական տնային գրացուցակը, իսկ մյուս օգտատերերի տնային գրացուցակները նրան հասանելի չեն:

Եթե ​​ցանկանում եք տրամադրել համակարգի բոլոր օգտվողներին ընդհանուր մուտքՀամօգտագործվող ֆայլերի որոշ հավաքածուի համար խորհուրդ է տրվում ստեղծել ընդհանուր գրացուցակ ինչ-որ տեղ հատուկ այդ նպատակով, ստեղծել խումբ, որի անդամները կլինեն բոլոր օգտվողները (սա կարող է լինել օգտվողների խումբը կամ ձեր ստեղծած ցանկացած այլ խումբ) և տալ այս խմբին այս ընդհանուր գրացուցակի համապատասխան մուտքի իրավունքը: Եթե ​​օգտատերը ցանկանում է իր ֆայլերից մի քանիսը հասանելի դարձնել այլ օգտվողներին, նա կարող է պարզապես պատճենել դրանք այս գրացուցակում և համոզվել, որ այդ ֆայլերը պատկանում են այն նույն խմբին, որի անդամներն են բոլոր օգտվողները:

Որոշ օգտվողներ պետք է օգտագործեն կամ պարզապես չեն կարող անել առանց ծրագրերի, որոնք ներառված չեն WSWS-ում: Օգտատերերի մեծամասնությունը ժամանակի ընթացքում հայտնվում է բազմաթիվ սեփական ֆայլերի հետ՝ փաստաթղթեր, կազմաձևման ֆայլեր, սկրիպտներ և այլն: OpenLinux համակարգը օգտվողներին մեծ օգնություն չի տալիս իրենց ֆայլերը կազմակերպելու հարցում՝ այդ խնդիրը թողնելով համակարգի ադմինիստրատորին:

Յուրաքանչյուր նոր օգտվողի գլխավոր գրացուցակում ստեղծված գրացուցակի կառուցվածքը որոշվում է /etc/skel գրացուցակի բովանդակությամբ: Տիպիկ /etc/skel-ը սովորաբար պարունակում է հետևյալ գրացուցակները.

Այս գրացուցակները օգտագործվում են (համապատասխանաբար) երկուական ֆայլեր, սկզբնական ֆայլեր, փաստաթղթերի ֆայլեր և այլ տարբեր ֆայլեր պահելու համար: Շատ ծրագրեր լռելյայն առաջարկում են պահպանել որոշակի տեսակի ֆայլեր այս ենթագրքերից մեկում: Երբ օգտատերերը տեղյակ են լինում իրենց տրամադրության տակ գտնվող դիրեկտորիաների նպատակի մասին, նրանք սովորաբար պատրաստ են օգտագործել դրանք, քանի որ դա փրկում է նրանց սեփական ինչ-որ բան ստեղծելուց: Պարզապես հիշեք, որ ~/bin գրացուցակը դարձրեք նշված վերջին դիրեկտորիաներից մեկը PATH փոփոխականօգտվողներ.

Անվտանգություն և գաղտնաբառեր

Նրանք ասում են, որ որտեղ այն բարակ է, այնտեղ կոտրվում է. այս ասացվածքը հաճախ հիշվում է, երբ խոսքը վերաբերում է անվտանգության համակարգում գաղտնաբառերի կարևորությանը: Ընդհանուր առմամբ, անվտանգության համակարգի հզորությունը որոշվում է բազմաթիվ գործոններով, մասնավորապես, թե ինչ ծառայություններ է հասանելի դարձնում WSWS համակարգը: արտաքին օգտագործողներ(այն օգտագործվում է որպես վեբ սերվեր, հնարավո՞ր է մուտք գործել telnet-ի միջոցով և այլն): Մեկ այլ որոշիչ գործոն օգտատերերի գաղտնաբառերն են, ինչը մեզ բերում է մեկ այլ գործոնի՝ օգտատերերի համապատասխանությունը անվտանգության քաղաքականությանը: Պարզ օգտագործողը չի ցանկանում որևէ բան իմանալ անվտանգության մասին: Եթե ​​մենք հարգում ենք օգտատիրոջը և չենք ցանկանում ուժային մեթոդներով փոխել նրա վերաբերմունքը անվտանգությանը, ապա պետք է անվտանգության համակարգը դարձնենք նրա համար հարմար և հասկանալի։ Հարմարավետությունը ամենադժվար բանն է: Ամեն ինչ, որն անվտանգ է, սովորաբար այնքան էլ հարմար չէ (քանի որ հարմարության հետևում կան կանխատեսելիություն և տարրականություն, որոնք անհամատեղելի են անվտանգության հետ) և, հետևաբար, հակասության մեջ է մտնում այն ​​մարդկանց սովորական վարքագծի հետ, ովքեր նախընտրում են ամենահարմար ճանապարհը բոլոր հնարավոր ուղիներից: Ի վերջո, օգտատերերն աշխատում են համակարգի հետ, որպեսզի ավարտեն իրենց հանձնարարված աշխատանքը, այլ ոչ թե իրենց վրա նորերը ավելացնեն։ Որպեսզի օգտատերերին կանխամտածված չգնան գաղտնաբառերի հետ գործ ունենալիս նվազագույն դիմադրության ճանապարհով, ես սովորաբար փորձում եմ բացատրել նրանց, թե ինչի համար են գաղտնաբառերը և ինչու է կարևոր դրանք պաշտպանել: Կարևոր է ոչ թե ընդհանուր դիրքերից, ինչպիսին է «ցածր անվտանգություն ունեցող համակարգը կարող է կոտրվել, գողացվել կամ վնասվել կարևոր ֆայլեր», բայց օգտագործողի անձնական շահերի տեսանկյունից:

Օգտատերերի մեծամասնությունը հասկանում է էլ.փոստի կարևորությունը իրենց աշխատանքի համար: Այնուամենայնիվ, այն, ինչ նրանք չեն գիտակցում, այն է, որ յուրաքանչյուր ոք, ով մուտք է գործում իր անունով, հնարավորություն է ստանում օգտագործել իր էլփոստը իրենց անունից իրենց դեմ: Հարցրեք օգտատիրոջը, արդյոք նա օգտագործում է էլ.փոստը անձնական նպատակների համար: Ամենայն հավանականությամբ նա կպատասխանի՝ այո։ Այնուհետև հարցրեք նրան, թե արդյոք նա պետք է որոշեր էլկարևոր բիզնես հարցեր. Ամեն օր «ոչ» պատասխանողներն ավելի ու ավելի քիչ են լինում։ Բայց նույնիսկ եթե պատասխանը բացասական է, որոշ գործարար գործընկերներ կարող են էլեկտրոնային փոստով գործարքը համարել նույնքան պարտադիր, որքան հեռախոսային գործարքը:

Ապա բացատրեք օգտատիրոջը, որ իր նամակներերբեմն ունեն նույն նշանակությունը, ինչ նրա անձնական ստորագրությունը: Թեև հնարավոր է փոխել էլ. փոստի վերնագիրը, սակայն շատ դեպքերում նման փոփոխությունը նույնքան անօրինական է, որքան ստորագրությունը կեղծելը: Բայց եթե ինչ-որ մեկը, ինչ-որ կերպ սովորելով մեկ այլ օգտատիրոջ գաղտնաբառը, իր անունով մտնի համակարգ, ապա, պատկերավոր ասած, կկարողանա ստորագրել այլ անձի ստորագրությամբ։ Նրա ուղարկած ցանկացած նամակ տեխնիկապես չի տարբերվի հենց օգտատիրոջ կողմից ուղարկված փոստից: Ինչ-որ մեկին այլ անունով մուտք գործելու հնարավորություն տալու պրակտիկան անցանկալի է և պետք է խուսափել (բացառությամբ համակարգի ադմինիստրատորների, ովքեր օգտագործում են այս հնարավորությունը մուտքի սկրիպտները և օգտվողի կարգավորումները ստուգելու համար, բայց կարիք չունեն իմանալու օգտատիրոջ գաղտնաբառը՝ դա անելու համար: այսպես): Անցանկալի երեւույթները ներառում են կեղծ անունով մուտք գործելը (նույնիսկ այլ օգտվողի թույլտվությամբ): Որքանո՞վ է սա անցանկալի: Այս հարցի պատասխանը պայմանավորված է ձեռնարկության անվտանգության քաղաքականության խստությամբ։

Այնուամենայնիվ, օգտվողները պետք է տեղյակ լինեն, որ կան այլ նույնքան վտանգավոր ուղիներ ստանալու համար չարտոնված մուտքիրենց հաշվին։ Ամենատարածված դեպքն այն է, երբ օգտատերը, վախենալով մոռանալ գաղտնաբառը, հեշտացնում է հիշելը, հետևաբար կռահել, կամ գրում է գաղտնաբառը թղթի վրա, որը հաճախ պարզապես ամրացվում է մոնիտորի վրա: Գաղտնաբառի անվտանգության համակարգը հիմնված է երկու բանի վրա՝ մշտական ​​օգտանուն և պարբերաբար փոփոխվող գաղտնաբառ: Մարդկանց մեծամասնությունը որևէ մեկին չի ասում իրենց PIN-ը, որպեսզի մուտք գործի իրենց բանկային հաշիվ, բայց նրանք գրեթե չեն պաշտպանում իրենց օգտվողի գաղտնաբառը: Չնայած, ի տարբերություն իրավիճակի բանկային հաշիվ, որտեղ է հաստատուն մասը, այսինքն ԿՐԵԴԻՏ քարտ, ֆիզիկական օբյեկտ է, որին դեռ պետք է մուտք գործել, գաղտնաբառի անվտանգության համակարգի մշտական ​​մասը, այսինքն՝ օգտանունը, հայտնի է բոլորին (գոնե ընկերության ներսում և նրանց, ում հետ այս օգտվողը նամակագրել է էլ. ) Հետևաբար, եթե փոփոխական մասը ինչ-որ տեղ գրված է կամ հեշտությամբ կռահվում կամ ընտրվում է բառարանից բառեր դասավորող ծրագրի կողմից, ապա այդպիսի հաշիվը չի կարող լավ պաշտպանված համարվել:

Ի վերջո, օգտվողները պետք է տեղյակ լինեն գաղտնաբառի ձեռքբերման այնպիսի մեթոդի առկայության մասին, ինչպիսին է «սոցիալական ճարտարագիտությունը» (socialeengineering): Մեզանից շատերը կյանքում հանդիպել են առնվազն մեկ մարդու, որը կարելի է բնութագրել որպես «դժոխքի պես սայթաքուն»: Նման մարդիկ կարող են համոզել այլ մարդկանց, դիմելով տրամաբանորեն կառուցված փաստարկի, տրամադրել իրենց անհրաժեշտ տեղեկատվությունը: Բայց սա միակը չէ հնարավոր ճանապարհսովորել ուրիշի գաղտնաբառը: Երբեմն բավական է միայն նայելը։

Նման միջադեպերի դեմ հակաքայլը գաղտնաբառի կանոնավոր փոփոխությունն է։ Դուք, իհարկե, կարող եք գաղտնաբառ փոխել տասը տարին մեկ անգամ, բայց ավելի լավ է փոփոխությունների միջև ընդմիջումները շատ չմեծացնել, ինչպես ավելի լավ է դրանք շատ կարճ չդարձնել, օրինակ՝ ժամը մեկ անգամ։ Գաղտնաբառը չափազանց երկար չփոխելը նշանակում է ձեզ ենթարկել հաքերային հարձակման վտանգի:

ՆՇՈՒՄ-

Սովորական օգտատիրոջ քողի տակ օտարի ներթափանցումը համակարգ կարող է ունենալ դժբախտ հետևանքներ ոչ միայն այս օգտատիրոջ ֆայլերի, այլև ամբողջ համակարգի համար, քանի որ որքան ավելի շատ իմանա այս օտարերկրացին ձեր համակարգի մասին, այնքան ավելի հեշտ կլինի: կլինի, որ նա անցքեր գտնի դրա պաշտպանության մեջ:

Նկատի ունեցեք, որ գործարկումից առաջ սկրիպտը մի քանի ստուգում է կատարում՝ այն աշխատում է արմատային արտոնությունների մակարդակով, մեկնարկային UID-ն արդեն վերցված է և այլն։ Այնուամենայնիվ, չի կարելի ասել, որ այն ստուգում է ամեն ինչ։

Գաղտնաբառի կոտրում

Համակարգի անվտանգությունը ստուգելու եղանակներից մեկն այն է, որ դուք ինքներդ ձեզ հարձակվողի տեղը դնեք և փորձեք մտածել և վարվել այնպես, ինչպես կվարվեր անվտանգությունը խախտելու փորձ կատարող մարդը: Սա նշանակում է քայլել օգտատերերի միջով, տեսնել, թե արդյոք գրավոր գաղտնաբառ կցված է ինչ-որ մոնիտորի վրա, արդյոք ինչ-որ մեկը թողել է թղթի կտոր, որի վրա գրված են նույնականացման տվյալները, կամ «քայլել» հենց այդ առավոտյան ժամին, երբ օգտատերերը մուտք են գործում: մեջ (հնարավոր է, որ նրանցից մեկը ստեղնաշարի վրա մուտքագրում է գաղտնաբառը):

Դա նաև նշանակում է ուշադրություն դարձնել օգտատիրոջ մոնիտորի կողմնորոշմանը, որը մուտք է գործում զգայուն տեղեկատվություն՝ տեսնելու, թե արդյոք դրանք տեսանելի են որևէ մեկին: Ավելին, երբ այս օգտվողները հեռանում են իրենց աշխատասեղանից, գործարկում են գաղտնաբառով կողպված էկրանապահի՞չ, դուրս են գալիս, թե՞ ոչինչ չեն անում:

Այնուամենայնիվ լավագույն միջոցըստուգեք գաղտնաբառի անվտանգության համակարգի ուժը և օգտատերերի վերաբերմունքը դրա նկատմամբ. փորձեք կոտրել օգտվողի գաղտնաբառերը: Գաղտնաբառի կոտրման ծրագրի կանոնավոր գործարկումը կարող է բավականին լավ գնահատել ձեր գաղտնաբառի պաշտպանության համակարգի ուժը:

1. 
   Ինչպես որոշել, թե արդյոք սարքավորումն ապահովվում է օպերացիոն համակարգի կողմից այս համակարգիչը?
2. 
   Տեղադրման ի՞նչ տարբերակներ է տրամադրում WSWS 3.0-ը:
3. 
   Ի՞նչ ցանցային արձանագրություններ է աջակցում տեղադրողը:
4. 
   Ե՞րբ է անհրաժեշտ ստեղծել բեռնման սկավառակներ:
5. 
   Կարո՞ղ եք թվարկել տեղադրման հիմնական քայլերը:
6. 
   Ինչ bootloader է օգտագործվում OS միջուկը բեռնելու համար:
7. 
   Թվարկե՞ք միջուկը բեռնելու հիմնական փուլերը:
8. 
   Ի՞նչ է lilo-ն և lilo.conf-ը:
9. 
   Ինչպե՞ս հեռացնել LILO-ն և վերականգնել բնօրինակ բեռնիչը:
10. 
    Ինչի համար է օգտագործվում միջուկի մոդուլների մեխանիզմը:
11. 
    Ե՞րբ է անհրաժեշտ RAM սկավառակ օգտագործել:
12. 
    Ինչպե՞ս կարգավորել RAM-ի սկավառակի օգտագործումը բեռնման ժամանակ:
13. 
    Ո՞րն է տարբերությունը boot, bootnet և drivers boot floppies-ի միջև: Ինչպե՞ս ստեղծել դրանք: Ինչպե՞ս ստուգել դրանք:
14. 
    Ի՞նչ է ծրագրային փաթեթը, փաթեթի կախվածությունը:
15. 
    Ի՞նչ հնարավորություններ են տալիս փաթեթների կառավարիչները:
16. 
    Ինչ փաթեթի կառավարիչ է օգտագործվում ծրագրակազմը կառավարելու համար:
17. 
    Ինչպե՞ս փաթեթ տեղադրել CD-ից, ցանցի միջոցով:

1. OS WSWS 3.0-ի տեղադրում

1. Տեղադրման հիմնական քայլերը

CD-ից տեղադրումը ներառում է հետևյալ քայլերը.

տեղադրման հրավեր և փաստաթղթերի հիշեցում.

«մկնիկի» մանիպուլյատորի ընտրություն;

սկավառակի բաժանում;

bootloader-ի կարգավորում;

ցանցի կոնֆիգուրացիա;

համակարգչի անունը սահմանելը;

ժամային գոտու ընտրություն;

տեղադրման համար համալիրների ընտրություն;

փաթեթների տեղադրում;

արմատային օգտվողի համար գաղտնաբառի սահմանում;

բեռնման սկավառակների ստեղծում;

վիդեո քարտի և մոնիտորի տեղադրում;

Յուրաքանչյուր տարր համապատասխանում է մեկ կամ մի քանի երկխոսության տուփերի:

Սերվերի միջոցով ցանցում տեղադրելու ժամանակ կան մի քանի լրացուցիչ նախնական քայլեր, որոնք պետք է ձեռնարկվեն.

• 
  համակարգիչ բեռնելու և սերվեր ցանցի մուտքը կազմակերպելու համար անգործունյա սկավառակների հավաքածուի արտադրություն.
• 
  ընտրեք ցանցի տեղադրման տարբերակ;
• 
  ցանցի կարգավորում և սերվերի ցանցային մուտքի կազմակերպում:

Երբ տեղադրվի սերվերի սկավառակի սկավառակի ցանցի մուտքը, տեղադրիչը կանցնի նույն քայլերը, ինչ CD-ից տեղադրելու դեպքում՝ սկսած երկրորդ քայլից («Տեղադրման հուշում»): Այս դեպքում ձեզ հարկավոր չի լինի կարգավորել ցանցը, միայն անհրաժեշտ կլինի հաստատել կատարված կարգավորումները:

1. Տեղադրում CD-ից

Նախքան տեղադրումը սկսելը, դուք պետք է կարգավորեք Համակարգչային BIOSայնպես, որ CD-ն առաջինը լինի բեռնման սարքերի ցանկում, և սկավառակը տեղադրեք WSWS 3.0 բեռնման մոդուլով CD սկավառակի մեջ:

Եթե ​​BIOS-ը չի աջակցում CD-ից բեռնումը, դուք պետք է լրացուցիչ տեղադրեք սկավառակի սկավառակ և կարգավորեք համակարգչի BIOS-ն այնպես, որ ճկուն սկավառակը լինի առաջինը bootable սարքերի ցանկում: Ժամանակակից համակարգիչները սովորաբար աջակցում են բեռնումը CD-ից, ուստի բեռնման ճկույթի անհրաժեշտությունը կարող է առաջանալ միայն «հին» համակարգչի վրա WSWS 3.0-ի տեղադրման ժամանակ:

Ապա դուք պետք է վերագործարկեք ձեր համակարգիչը: Հետևյալ հուշումը կհայտնվի մոնիտորի էկրանին.

Այս հուշման ձևաչափով հնարավոր է լրացուցիչ պարամետրեր փոխանցել տեղադրողին: Օրինակ, հրամանը.

բեռնախցիկ՝ MCBC mem=128M

տեղադրողին ասում է, որ ծավալը պատահական մուտքի հիշողությունայս համակարգիչը 128 ՄԲ է:

Տեղադրիչը ներբեռնելու համար սեղմեք կոճակը: WSWS 3.0 OS միջուկը կսկսի բեռնվել՝ ուղեկցվելով ախտորոշիչ հաղորդագրություններով, այնուհետև տեղադրողը կսկսի, որն ավտոմատ կերպով կբեռնի CD կրիչը և կարգավորիչի դրայվերները: կոշտ սկավառակներառկա է համակարգչում և աջակցվում է OS WSWS 3.0-ով:

Եթե ​​սկզբնավորումը ձախողվի, դա նշանակում է, որ համար այս տեսակի CD սկավառակ կամ կոշտ սկավառակպետք է ներբեռնել լրացուցիչ վարորդ. Տեղադրողը կառաջարկի դրայվերների ցուցակ, որում դուք պետք է ընտրեք համապատասխան դրայվերը և սեղմեք «Այո» կոճակը:

Եթե ​​դուք բեռնել եք բեռնախցիկից, տեղադրիչը գործարկելիս կհայտնվի Driver Disk երկխոսությունը, որը հանձնարարում է ձեզ տեղադրել դրայվերների անգործունյա սկավառակը անգործունյա սկավառակի մեջ: Այս դեպքում, բեռնախցիկի ճկույթը պետք է հեռացվի, և դրայվերի անգործունյա սկավառակը պետք է տեղադրվի:

Պահանջվող դրայվերները բեռնելուց հետո մոնիտորի էկրանին կհայտնվի հուշում (Նկար 9-1):

1.1.41 Մկնիկի ընտրություն

WSWS 3.0 OS-ի հուշումից հետո հաջորդը կհայտնվի Ընտրել մկնիկի երկխոսության տուփը (Նկար 9-2):

Ընտրեք «մկնիկի» տեսակը, օրինակ՝ «Regular PS / 2 մկնիկը» և, եթե «մկնիկը» ունի երկու կոճակ, ապա կարող եք օգտագործել երեք կոճակի ռեժիմի էմուլյացիա: Դա անելու համար միացրեք երրորդ կոճակի նմանակումը և սեղմեք «Այո» կոճակը:

1.1.42 Կոշտ սկավառակի բաժանում

Բաժանման սկավառակի երկխոսության տուփը (Նկար 9-3) կհայտնվի, և ձեզ կառաջարկվի ընտրել կոշտ սկավառակի բաժանման օգտակար ծրագիր՝ Auto Partition, Disk Druid կամ fdisk:

Շատ դեպքերում կոշտ սկավառակների, սկավառակների զանգվածների, LVM ծավալների բաժանումը տեղի է ունենում Disk Druid ծրագրում: Ավելին, «Ավտոմատ բաժանման» ռեժիմը «Disk Druid»-ի հետ աշխատելու հատուկ դեպք է՝ իրական տեղադրված սարքավորումներին համապատասխան սկավառակի տարածության համամասնությունների ավտոմատ հաշվարկով: Եթե ​​Ձեզ անհրաժեշտ է ցածր մակարդակի հետ աշխատել կոշտ սկավառակդուք պետք է օգտագործեք fdisk կոմունալ ծրագիրը:

Նշեք Disk Druid-ը և սեղմեք ստեղնը:

Հայտնվող «Բաժանմունք» երկխոսության վանդակը (Նկար 9-4) կցուցադրի հասանելի սկավառակների և առկա բաժանմունքների ցանկը:

Նաև այս պատուհանում կան բաժինների հետ աշխատելու կոճակներ՝ «Նոր», «Խմբագրել», «Ջնջել», «RAID», «Այո», «Վերադառնալ»:

Ներքեւի տողում ակնարկներ են տրվում թեժ ստեղների օգտագործման համար՝ «F1-Help, F2-New, F3-Edit, F4-Delete, F5-Reset, F12-Yes»:

Ընդհանուր առմամբ, WSWS 3.0-ը տեղադրված է դատարկ կոշտ սկավառակով համակարգչի վրա: Այս դեպքում դուք կարող եք բաժանում կատարել կամ օգտագործելով Disk Druid-ը կամ ընտրելով ավտոմատ բաժանում:

OS WSWS 3.0-ը հաջողությամբ տեղադրելու համար բավական է ստեղծել երկու բաժին՝ «/» արմատային բաժինը և փոխանակման բաժինը: Արմատային բաժանման չափը պետք է լինի առնվազն 1200 ՄԲ:

Դուք կարող եք /boot, /home, /var, /tmp և այլ դիրեկտորիաները տեղափոխել առանձին բաժիններ: Սա թույլ է տալիս մեկուսացնել, օրինակ, օգտագործողների տնային գրացուցակները արմատային ֆայլային համակարգից:

ՈՒՇԱԴՐՈՒԹՅՈՒՆ. WSWS 3.0-ում դուք չեք կարող տեղադրել /usr գրացուցակը առանձին բաժանման վրա:

Գրացուցակը առանձին միջնորմ տեղափոխելու համար հարկավոր է «ext3» ֆայլային համակարգով բաժանում ստեղծել և դրան վերագրել գրացուցակի անվանը համապատասխան մոնտաժային կետ:

Բաժանմունք ստեղծելու համար ընտրեք «Նոր» կոճակը և սեղմեք ստեղնը: Հայտնվող երկխոսության վանդակում «Ավելացնել բաժին» (նոր հատվածի խմբագրում) (նկ. 9-5):

• 
  ընտրեք ֆայլային համակարգի տեսակը (փոխանակման բաժանման համար՝ «swap», այլ դեպքերում՝ «ext3»):
• 
  բաժանման չափը մեգաբայթերով (անհրաժեշտության դեպքում կարող եք «ձգել» բաժինը ամբողջ սկավառակի վրա);
• 
  mount point, արմատային բաժանման համար այն «/» է, swap բաժանման համար, mount point-ի սահմանումը պարտադիր չէ:

Գոյություն ունեցող բաժինը խմբագրելու համար ընտրեք այն և սեղմեք «Խմբագրել» կոճակը: «Խմբագրել» կոճակը սեղմելուց հետո կհայտնվի «Edit /dev/hda1 partition» երկխոսության տուփը, եթե ընտրված է եղել /dev/hda1 բաժինը։

Բաժանմունքների ստեղծման ավարտից հետո «Բաժանմունք» պատուհանում սեղմեք «Այո» կոճակը:

Պահպանել փոփոխությունները երկխոսության տուփը կհայտնվի մոնիտորի էկրանին:

Սեղմեք «Այո» կոճակը:

Հաջորդ քայլը ստեղծված միջնապատերի ֆորմատավորումն է: Մոնիտորի էկրանին կհայտնվի «Ուշադրություն» վերնագրով երկխոսության տուփ: և բաժանումների ցանկը, որոնք կձևավորվեն «Այո» կոճակը սեղմելիս (նկ. 9-6):

1.1.43.Բեռնախցիկի կարգավորում

Էկրանի վրա կհայտնվի Boot Loader Setup երկխոսության տուփը (Նկար 9-7): Այս պատուհանում դուք պետք է ընտրեք համակարգը տեղադրելու տարբերակը bootloader-ով կամ առանց դրա: Bootloader-ը թույլ է տալիս համակարգում այն ​​գործարկելու մի քանի տարբերակ կամ ընտրում է bootable OS (եթե կա մեկից ավելի): Առանց բեռնիչի ռեժիմում WSWS 3.0 միջուկը կբեռնվի բացառապես համակարգում:

Սեղմեք «Այո» կոճակը:

Այնուհետև էկրանին կհայտնվի երկխոսության տուփ (նկ. 9-8), որը ձեզ հուշում է մուտքագրել լրացուցիչ պարամետրեր, որոնք կօգտագործվեն բեռնման ժամանակ: Լռելյայնորեն, այս պատուհանը նախատեսված է օգտագործելու LBA32 ռեժիմը (օգտագործելով կոշտ սկավառակի բլոկների 32-բիթանոց տրամաբանական հասցեներ), քանի որ այս ռեժիմը շատ դեպքերում պահանջվում է բարձր հզորությամբ սկավառակներ աջակցելու համար:

Եթե ​​ձեր համակարգիչը ունի IDE CD այրիչ, տեղադրողը պարամետրի մուտքագրման դաշտում կտեղադրի «hdc=ide-scsi» նման տող (օրինակ, եթե սկավառակը միացված է Master ռեժիմով երկրորդ IDE կարգավորիչին):

Եթե ​​այլ տարբերակներ պետք չէ փոխանցել LILO bootloader-ին կամ միջուկին, խորհուրդ է տրվում թողնել տեղադրողի առաջարկած տարբերակները և սեղմել Այո:

Բեռնախցիկի կազմաձևման հաջորդ ընթացակարգը մուտքի համար գաղտնաբառ սահմանելն է՝ համակարգի գործարկման պարամետրերը փոխելու համար: Քանի որ bootloader-ի առկայության դեպքում հնարավոր է համակարգի գործարկման ժամանակ ստեղնաշարից փոխանցել մասնագիտացված միջուկի պարամետրերը, այս հատկությունը պաշտպանված է գաղտնաբառով` ապահովելու անվտանգության պահանջվող մակարդակը: Հաջորդ երևացող երկխոսության վանդակում (նկ. 9-9) մուտքագրեք գաղտնաբառ, որի չափը չպետք է պակաս լինի 8 նիշից։ Հաստատեք գաղտնաբառը՝ կրկին մուտքագրելով այն պատուհանի հաջորդ տողում:

Սեղմեք «Այո» կոճակը:

Էկրանի վրա կհայտնվի բեռնման միջնորմների ընտրության երկխոսության տուփ (նկ. 9-10), որը հուշում է ձեզ նշել բեռնման այլ բաժանմունքներ, որոնք կարող են բեռնվել WSWS 3.0 OS բեռնիչի միջոցով: Օրինակ, եթե ձեր համակարգիչը այլ ՕՀ ունի, կարող եք պիտակավորել այն և բեռնել WSWS 3.0 OS բեռնիչի միջոցով:

Մուտքագրեք անհրաժեշտ տվյալները համապատասխան տողերում և սեղմեք «Այո» կոճակը:

Հաջորդ պատուհանում (նկ. 9-11) նշվում է սկավառակի վրա bootloader-ի գտնվելու վայրը: Գոյություն ունի երկու տարբերակ՝ կոշտ սկավառակի հիմնական boot record (MBR) (խորհուրդ է տրվում շատ դեպքերում) կամ բեռնման հատվածը (boot record) համապատասխան բաժանման, որտեղ տեղադրումն իրականացվում է:

Կատարեք ընտրություն և սեղմեք «Այո» կոճակը:

1.1.44.Ցանցի կարգավորում

Եթե ​​տեղադրողը հայտնաբերում է առնվազն մեկը ցանցային քարտ, էկրանին կցուցադրվի «Ցանցային կարգավորումներ ethX-ի համար» երկխոսության տուփերի հաջորդականությունը (նկ. 9-12), որտեղ X-ը սերիական համար է, որում կազմաձևված են յուրաքանչյուր ցանցային քարտի կարգավորումները:

Արձանագրություններ ավտոմատ թյունինգ BOOTP և DHCP ցանցի կարգավորումներն օգտագործվում են, երբ ցանցում կա հատուկ սերվեր, որն ապահովում է ավտոմատ կազմաձևման ծառայություն՝ հաճախորդի մեքենայի խնդրանքով:

Եթե ​​չկա DHCP սերվեր, դուք պետք է հստակորեն սահմանեք ցանցի պարամետրերը՝ ընտրելով «Ակտիվացնել բեռնման ժամանակ»: Դրանից հետո պատուհանում կնշվեն մի քանի տող, որտեղ դուք պետք է նշեք ցանցի միացման պարամետրերը:

Ցանցի հասցեները ներկայացված են տասնորդական նշումով (օրինակ՝ 192.168.1.1): Դաշտերը լրացնելու մասին տեղեկատվությունը պետք է տրամադրի ցանցի ադմինիստրատորը:

Ցանցի հասցե - ցանցում գտնվող համակարգչի IP հասցեն:

Netmask-ը պարամետր է, որը բնութագրում է ցանցի հատվածի դասը:

Լռելյայն դարպասը հոսթ է, որը սպասարկում է այս տեղական ցանցի հաղորդակցությունները արտաքին ցանցի հատվածներով:

Առաջնային անունների սերվերը հանգույց է, որն աջակցում է տիրույթի անունները լուծելու ծառայությանը՝ օգտագործելով DNS արձանագրությունը դեպի IP հասցեներ: Մուտքագրեք լրացուցիչ անունների սերվերների (DNS) IP հասցեները համապատասխան դաշտերում: Եթե ​​ցանցն օգտագործում է մեկ անունների սերվեր, ապա այս դաշտերը կարող են դատարկ մնալ:

Սեղմեք «Այո» կոճակը:

Բրինձ. 9-13։ Համակարգչի անունը սահմանելը:

Բրինձ. 9-14։ Ժամային գոտու ընտրություն:

Ապա դուք պետք է սահմանեք համակարգչի անունը: Էկրանի վրա կհայտնվի հետևյալ երկխոսության տուփը՝ «Սահմանել համակարգչի անունը» (նկ. 9-13), որտեղ պետք է լրացնել համապատասխան դաշտը։ Անունը պետք է համաձայնեցվի նաև ցանցի ադմինիստրատորի հետ։

Սեղմեք «Այո» կոճակը:

1.1.45. Ժամային գոտու ընտրություն

Էկրանի վրա կհայտնվի հետևյալ երկխոսության տուփը՝ «Ընտրել ժամային գոտին», որտեղ կարող եք կարգավորել համակարգի ժամանակի կարգավորումները: OS WSWS 3.0-ում ժամանակը հաշվվում է տեղական ռեժիմում, այսինքն. Համակարգի ապարատային ժամացույցը եզակիորեն որոշում է իր ժամանակը՝ առանց լրացուցիչ փոխակերպման՝ կապված տարբեր հղման կետերի, օրինակ՝ UTC-ի հետ:

Պատուհանում դուք պետք է ընտրեք Ռուսաստանի ժամային գոտին, որն առավել սերտորեն համընկնում է համակարգչի գտնվելու վայրի հետ՝ նշելով ստանդարտ ժամանակի տարբերությունը «զրոյական» գոտու համեմատ՝ Եվրոպա/Մոսկվա (նկ. 9-14):

Սեղմեք «Այո» կոճակը:

1.1.46 Փաթեթների ընտրություն և տեղադրում

Էկրանի վրա կհայտնվի «Ընտրել համալիրներ» երկխոսության տուփը (նկ. 9-15):

Այս երկխոսության տուփը ձեզ հուշում է ընտրել հետևյալ համալիրները.

• 
  Հիմնական OS կազմաձևում;
• 
  Ենթահամակարգ GUI;
• 
  Զարգացման գործիքներ.

Ամենատիպիկ տարբերակը՝ լռելյայն նշված առաջին երեք համալիրներն ընտրելու համար բավական է սեղմել «Այո» կոճակը՝ առանց որևէ այլ գործողություն կատարելու: Եթե ​​պահանջվում է միայն «GUI ենթահամակարգ» խումբը կամ միայն «Զարգացման գործիքներ» խումբը, նշեք համապատասխան վանդակը:

«Հիմնական OS կոնֆիգուրացիա» խմբի ընտրությունը պարտադիր է, այն պարունակում է բոլոր անհրաժեշտ բաղադրիչները OS WSWS 3.0-ի հիմնական տարբերակում (առանց լրացուցիչ միջոցներ).

Տեղադրման ռեժիմ «Բոլորը (ներառյալ ընտրովի)» նշանակում է բաշխման բոլոր փաթեթների տեղադրում, ներառյալ OS միջուկի փոփոխությունները, որոնք հատուկ չեն այս համակարգչի համար և փաթեթների մի շարք, որոնք անհրաժեշտ են OS WSWS 3.0-ի բեռնման սկավառակ պատրաստելու համար:

Փաթեթների ավելի մանրամասն ընտրության համար (գուցե ՕՀ-ի զբաղեցրած սկավառակի տարածությունը խնայելու համար) պետք է ստուգել «Փաթեթների անհատական ​​ընտրություն» տարբերակը և սեղմել «Այո» կոճակը: Ընտրել փաթեթների պատուհանը (Նկար 9-16) կհայտնվի փաթեթների խմբերի և փաթեթների ցանկով:

Խումբը կարող է փլվել/ընդլայնվել՝ դրա վրա ընդգծված գիծը քաշելով և ստեղնը սեղմելով: Փաթեթի մասին տեղեկատվություն ստանալու համար հարկավոր է դրա վրա գծել ընդգծված գիծ և սեղմել ստեղնը: Տեղադրման համար փաթեթների ցուցակում ներառելը/ապակտիվացումը կատարվում է ստեղնը սեղմելով:

Փաթեթների ընտրությունն ավարտելուց հետո սեղմեք «Այո» կոճակը:

Եթե ​​տեղադրման համար ընտրվել է փաթեթների անհատական ​​ցանկ, կարող է լինել մի իրավիճակ, երբ դրանց մեջ չբավարարված կախվածություններ հայտնվեն: Սա նշանակում է, որ ընտրված ցանկում կան փաթեթներ, որոնք պահանջում են այլ փաթեթներ WSWS 3.0 բեռնման սկավառակից, որոնք չեն ստուգվել տեղադրելու համար: Փաթեթի կախվածությունները ավտոմատ կերպով կլուծվեն տեղադրողի կողմից:

Երբ փաթեթի ընտրությունն ավարտված է, էկրանին կհայտնվի Start Installation երկխոսության տուփը: Այս պատուհանը կպարունակի տեղեկատվություն /root/log ֆայլի մասին, որում տեղադրողը կպահի տեղադրված փաթեթների ցանկը, երբ այն ավարտվի:

Սկավառակի իրական բաժանումը և փաթեթների տեղադրումը կսկսվի միայն «Նախնական տեղադրում» պատուհանում «Այո» կոճակը սեղմելուց հետո: Անհրաժեշտության դեպքում դուք դեռ կարող եք ընդհատել տեղադրման գործընթացը՝ մինչ այս կետը վերագործարկելով համակարգիչը: Այս դեպքում կոշտ սկավառակների վրա բոլոր տվյալները կմնան անփոփոխ:

Փաթեթների տեղադրումը սկսելու համար սեղմեք «Այո» կոճակը:

Էկրանի վրա կհայտնվի Install Package պատուհանը (նկ. 9-17):

Այս փուլում կարող եք դիտարկել ընտրված փաթեթների տեղադրման գործընթացը, որն իրականացվում է ավտոմատ կերպով։ Յուրաքանչյուր փաթեթի համար այն ցուցադրվում է Կարճ նկարագրություն, և ցուցադրում է վիճակագրական տեղեկատվություն ընթացիկ փաթեթի և բոլոր փաթեթների տեղադրման առաջընթացի մասին:

1.1.47.Գերօգտագործողի գաղտնաբառը սահմանելը

Էկրանի վրա կհայտնվի Root User Password երկխոսության տուփը (Նկար 9-18): Սահմանեք գաղտնաբառ «Գաղտնաբառ» տողում և հաստատեք դրա մուտքը «Հաստատեք գաղտնաբառը» տողում (գաղտնաբառի տեսակի և չափի սահմանափակումները որոշվում են համակարգի անվտանգության պահանջներով. լռելյայն գաղտնաբառի չափը առնվազն ութ է։ կերպարներ): Ստեղնաշարի միջոցով գաղտնաբառ սահմանելիս, անվտանգության նկատառումներից ելնելով, մուտքագրված նիշերի փոխարեն ցուցադրվում են աստղանիշներ: Սեղմեք «Այո» կոճակը:

1.1.48.Բեռնախցիկի սկավառակների ստեղծում

Հետևյալ երկխոսության տուփը՝ Boot Floppy Set, կհայտնվի էկրանին (Նկար 9-19): Բեռնման անգործունյա սկավառակի հավաքածուն կարող է պահանջվել, եթե կոշտ սկավառակի վրա բեռնման գրառումը վնասված է:

Սեղմեք «Այո»՝ բեռնման սկավառակներ ստեղծելու համար: Այնուհետև հետևեք երկխոսության տուփերում առաջարկվող հրահանգներին:

Եթե ​​Ձեզ անհրաժեշտ չէ ստեղծել bootable kit, սեղմեք «Ոչ» կոճակը: Ապագայում դուք կարող եք ստեղծել բեռնման սկավառակ՝ օգտագործելով գրաֆիկական կոմունալ կամ mkbootdisk հրամանը:

1.1.49. Վիդեոքարտի և մոնիտորի կարգավորում

Հաջորդ քայլը գրաֆիկական համակարգի կարգավորումն է: Դա անելու համար երկխոսության տուփերում, հետևելով հրահանգներին, մուտքագրեք տեղեկատվություն վիդեո քարտի և մոնիտորի մասին:

Եթե ​​տեղադրողը ավտոմատ կերպով հայտնաբերում է վիդեո քարտի տեսակը, դրա մասին տեղեկատվությունը կհայտնվի (Նկար 9-20):

Բրինձ. 9-19։ Ստեղծեք բեռնման սկավառակներ:

Բրինձ. 9-20։ Վիդեո քարտի ընտրություն.

Հակառակ դեպքում կհայտնվի «Ընտրել քարտեզ» երկխոսության տուփը: Ընտրեք դրա տեսակը ցանկից: Եթե ​​պահանջվող վիդեո քարտը ցանկում չկա, ընտրեք «Չճշտված քարտ»:

Սերվերի ընտրության պատուհանում ընտրեք X սերվերը, որի հետ ձեր վիդեո քարտը կարող է աշխատել:

Դրանից հետո կհայտնվի Monitor Settings երկխոսության տուփը (Նկար 9-21): Եթե ​​տեղադրողը ավտոմատ կերպով չի հայտնաբերում մոնիտորի տեսակը, ընտրեք համապատասխան մոնիտորը Փոփոխության ցանկից:

Անհրաժեշտության դեպքում կարող եք «ձեռքով» նշել մոնիտորի կարգավորումները: Դա անելու համար ցանկում ընտրեք «Այլ» տիպի տարրը և սահմանեք պատկերի ուղղահայաց և հորիզոնական սկանավորման գործառնական հաճախականությունը (60~100 Հց):

Սեղմեք «Այո» կոճակը:

Մոնիտորն ընտրելուց հետո էկրանին կհայտնվի Ընդլայնված պատուհանը (Նկար 9-22): Ընտրեք ցանկալի գույնի խորությունը և մոնիտորի լուծաչափը պատուհանում: Բացի այդ, այս պատուհանում կարող եք ընտրել մուտքի ռեժիմ «Գրաֆիկական» (խորհուրդ է տրվում) կամ «Տեքստ»: Եթե ​​ընտրված է գրաֆիկական մուտք, GUI համակարգը կսկսի լռելյայն: Կատարեք ընտրություն և սեղմեք «Այո» կոճակը:

Գրաֆիկական համակարգը կարգավորելուց հետո հայտնվում է «Installation Complete» տեղեկատվական պատուհանը (Նկար 9-23) «Շնորհավորում եմ, WSWS OS 3.0-ի տեղադրումն ավարտված է» հաղորդագրությամբ։

Վերագործարկելու համար սեղմեք «Այո» կոճակը: Համակարգիչը կսկսի վերագործարկել: Վերագործարկման ընթացքում CD սկուտեղն ինքնաբերաբար դուրս կգա: Հեռացրեք սկավառակը սկուտեղից:

Բրինձ. 9-23։ Տեղադրումն ավարտված է:

Բրինձ. 9-24։ Տեղադրման եղանակը

Այս վերանայման մեջ ես կփորձեմ տեղադրել RedHat Enterprice Linux-ի պատճենը Ռուսաստանի Դաշնության պաշտպանության նախարարության կարիքների համար՝ տեսնելու, թե ինչպես է այն աշխատում ժամանակակից սարքավորումների վրա: WSWS-ի վերջին թողարկումն արդեն 2011-ին էր, բայց այն դեռ շարունակում է «օգտակար» մնալ ռուսական բանակում.

Սկսենք տեղադրումը

Մենք կտեղադրենք FUJITSU LIFEBOOK N532 նոութբուքի վրա, որն ինձ համար կայուն է աշխատում Linux-ում և Windows-ում։ Այս նոութբուքը թողարկվել է 2012 թվականին՝ WSWS 5.0-ից ընդամենը մեկ տարի անց:

Բեռնման պատուհան - RedHat Enterprice Linux-ի հեռացված պատճենը.

Նրանք նույնիսկ ծույլ էին նորմալ բեռնախցիկի պատուհան ստեղծելու համար, փոխեցին ֆոնը/լոգոն, հեռացրին ավելորդ կոճակները և վերջ։
Տեղադրումը շարունակելու համար պարզապես սեղմեք Enter:

Ռետրո ոճի MS-DOS տեղադրիչը գործարկվեց, բայց մինչ WSWS 5-ի թողարկումը գրեթե բոլոր բաշխումները ունեին գրաֆիկական տեղադրող: Debian-ն ունի նաև տեքստի վրա հիմնված տեղադրող, բայց այն շատ ավելի պարզ և պարզ է, քան այս մեկը: Մեզ հարցնում են՝ ստուգե՞լ տեղադրման DVD-ն, թե՞ ոչ: Եկեք ստուգենք ամեն դեպքում.

Սկավառակը նորմալ գրված էր, սխալներ չկան։ Հաջորդը, մեզ խնդրում են ստուգել լրացուցիչ լրատվամիջոցներ, բայց ես դրանք չունեմ:

Սկավառակի բաժանման գործիք, որը բեռնված է ընտրված բոլոր բաժանմունքները ջնջելու տարբերակով: Իսկ եթե սպան, հենվելով հայրենական ՏՏ ոլորտի մտքի վրա, պարզապես սեղմի Enter:
Հիմա եկեք սկսենք բաժանել սկավառակը: Այս համակարգչում տեղադրված են ևս երկու օպերացիոն համակարգեր, և ես ընտրեցի «Ստեղծել հատուկ բաժանմունք»

Մենք ունենք 30 ԳԲ չօգտագործված չֆորմատավորված տարածք, ընտրեք «Օգտագործեք ազատ տարածություն և ստեղծեք լռելյայն միջնորմ» և ստացեք բաժանման սխալ. հնարավոր չէ հատկացնել պահանջվող բաժանմունքները:

Սեղմեք «Այո» և մենք ստանում ենք ավտոմատ բաժանման սխալ.
Կտտացրեք «Այո» և ընտրեք «Ստեղծել հատուկ բաժանում»
Քանի որ այս «dos fdisk»-ը ցույց չի տալիս, թե որքան է զբաղված և անվճար, որպեսզի պատահաբար որևէ բան չջնջեմ, ես որոշեցի դիտել բաժանմունքները մեկ այլ ՕՀ-ում և սեղմեցի reboot (ես հիշում եմ alt + ctrl + del msdos-ից):
Համակարգիչը պարզապես կախված էր այս խոսքերից, բայց արձագանքում է CapsLock-ին: Մենք սպասում ենք ևս 15 րոպե և պարզապես սեղմում ենք վերականգնումը: Մենք բեռնում ենք մեկ այլ ՕՀ, համոզվում ենք, որ անվճար բաժանումը ճիշտ է ընտրված, շարունակում ենք տեղադրումը և հասնում սկավառակի բաժանման փուլին։ Ֆայլային համակարգերի ընտրությունն այստեղ հարուստ չէ, միայն ext2, ext3 և vfat (որոնք չէին տեղավորվում էկրանին):
Եկեք ամեն ինչ թողնենք լռելյայն, այսինքն, մենք կօգտագործենք grub:
Պարզապես սեղմեք Enter

Հաջորդը, մեզ խնդրում են ստեղծել գաղտնաբառ grub boot-ի ընտրանքները փոխելու համար

Ես ստիպված էի երկար գաղտնաբառ մուտքագրել

Հիմա եկեք սկսենք տեղադրել bootloader-ը: Տեղադրված է նոութբուքի վրա վերջին տարբերակները Debian-ը և Ubuntu-ն, սակայն տեղադրողը չի գտել դրանք: Արդյունքում, MCVS-ը տեղադրելուց հետո օպերացիոն համակարգերի ընտրության ընտրացանկը կվերանա, և դուք ստիպված կլինեք վերականգնել grub-ը LiveCD-ի միջոցով։
Օպերացիոն համակարգերի ցանկի սահիչը հենց ներքևում, կարծես ասում է, որ այլ բան կա: Փորձեցի տեղափոխել այն՝ սեղմելով TAB, Ctrl, Ctrl+tab և ստեղնաշարի այլ դյուրանցումներ։ Բայց սահիկը, թե ինչ դիրքում էր, մնաց այս դիրքում.

Սեղմեք Այո և շարունակեք տեղադրումը.

Ընտրեք, թե որտեղ տեղադրեք bootloader-ը: Բոլոր Linux-ներում ես հիմնական տեղադրում եմ bootloader-ը boot record MBR, այսինքն՝ /dev/sda-ում, բայց Windows-ի վերջին օգտվողների համար սա բարդ հարց է: Թե՞ Ռուսաստանի Դաշնության բոլոր զինվորականները գիտեն Unixes:

Հաջորդը գալիս է ցանցի կարգավորումը:

Մենք չունենք ցանցային կապեր, ընտրեք «Ոչ» և սեղմեք Enter

Բացվում է պատուհան, որը խնդրում է մուտքագրել ցանցի լրացուցիչ կարգավորումներ.

Ինչպես տեսնում եք, այստեղ չկան «չեղարկել» և «չեղարկել» կոճակները: Կա միայն «այո» և «ետ»: Սա տրամաբանական կլիներ, եթե մենք համակարգը տեղադրեինք ցանցով, բայց մենք ունենք DVD-ով ամբողջական հավաքածուծրագրերը։ Մենք սեղմում ենք Enter:

Դուք դատարկ եք թողել «դարպաս» դաշտը։ Կախված ձեր ցանցային միջավայրից, հետագայում կարող են խնդիրներ առաջանալ

սեղմեք շարունակել, և մեզ կրկին խնդրում են մուտքագրել ցանցի լրացուցիչ պարամետրեր: Ընդհանուր առմամբ, մենք վերադառնում ենք ցանցի պարամետրերի առաջին պատուհանին և նշում, որ մենք պետք է կարգավորենք ցանցի ինտերֆեյսը, չնայած մենք չունենք այն:

Ձեզանից պահանջվում է մուտքագրել ցանցի անուն: Ընտրեք «Ձեռնարկ» և հայտնեք ցանցի անունը

Ընտրեք ձեր ժամային գոտին.

Ընտրեք գաղտնաբառ արմատային օգտվողի համար (առնվազն վեց նիշ).

Ընտրեք տեղադրման համար նախատեսված փաթեթների ցանկը: Ես ընտրեցի ամեն ինչ

Հաջորդը գալիս է կախվածության ստուգումը, որից հետո բացվում է տեղադրման մատյանի հասցեով պատուհան.

Տեղադրման գործընթացը.

Չեմ հասկանում, տառատեսակների խնդիր է, թե կոդավորումների:

Տեղադրումը հասնում է 100%-ի, և տեղադրողը ուրախությամբ ողջունում է մեզ տեղադրման ավարտի մասին, խնդրում է անջատել շարժական մեդիան և սեղմել Enter՝ վերագործարկման համար: Մենք սեղմում ենք Enter և համակարգիչը պարզապես սառչում է, ինչպես նախորդ անգամ:

Սեղմել միացման կոճակ, սպասում ենք մի քանի րոպե ու ախ, սարսափ, ամեն ինչ անգլերեն է։ Թե՞ ռուսական բանակում այդպիսի ռուսաց լեզու է։

Որտե՞ղ են մեր Debian-ը և Ubuntu-ն: Կա միայն մեկ WSWS: Բայց ոչինչ, այն կարելի է ուղղել նորից տեղադրելով Grub bootloader LiveCD-ի միջոցով:

Ներբեռնելու համար պարզապես սեղմեք Enter

Համակարգը հիմար է 15 վայրկյան և ցույց է տալիս սխալներ. Խափանման միջուկի հիշողություն (0x0-ից 0x0) թույլատրելի չէ; անկարող է հարցումներ կատարել Synaptics-ի ապարատում

և շարունակում է ներբեռնել, ներբեռնման ժամանակ բացվում է կարգավորումների ընտրացանկը

Պարզապես ընտրեք «Ելք» և սեղմեք Enter: 10 վայրկյան հետո բացվում է այս էկրանը, որտեղ գրաֆիկայի ոչ մի ակնարկ չկա: Մուտքագրեք ձեր օգտվողի անունը և գաղտնաբառը, և համակարգը պատրաստ է աշխատելու.

Ի դեպ, ուշադրություն դարձրեք, այստեղ տեղադրված է 2.6.18 միջուկը։ Այս միջուկը դուրս եկավ հինգ տարի շուտ, քան WSWS 5.0-ը: Այո՛, հինգ տարում հնարավոր եղավ կառուցել ամբողջ արդյունաբերություն, ինչպես ստալինյան հնգամյա ծրագրերում էր, բայց արդեն գրեթե 10 տարի է անցել։ Այդ հեռավոր ժամանակ ես նոր էի սկսել հետաքրքրվել Linux-ով։ Թեև երևի հինգ տարի աուդիտ են անում ծածկագրի անվտանգությունը։
Լավ, եկեք փորձենք օգտագործել այն, ինչ ունենք:
Փորձում է գործարկել գրաֆիկա: Նիկսում գրաֆիկա սկսելու համար սովորաբար պետք է մուտքագրել startx, մուտքագրել startx:
#startx
և ստացեք սխալներ.

Այստեղ ես միտումնավոր բացեցի /var/log/Xorg.0.log սխալների գրանցամատյանը, որպեսզի պարզ դառնա, թե ինչ է կատարվում. համակարգը չի կարող բեռնել ստանդարտ fbdev և vesa դրայվերները:

Մենք պարզապես պետք է վերագործարկենք համակարգը և վերադառնանք աշխատող ՕՀ, մուտքագրենք reboot և նորից մենք կանգ ենք առնում վերագործարկման վրա.

Փորձելով տեղադրել VirtualBox-ի միջոցով.

Մենք նաև մուտքագրում ենք արմատային մուտքը, գաղտնաբառը և startx-ը

Իհարկե, անվտանգության նկատառումներից ելնելով, VNIINS-ը խորհուրդ չի տալիս X-ը գործարկել որպես ադմինիստրատոր: Եվ ինչու՞, այդ դեպքում, առաջին գործարկումից հետո կամ բուն տեղադրիչում, անվտանգության նկատառումներով չառաջարկվեց ստեղծել պարզ օգտվողներ, ինչպես շատ այլ բաշխումներում:

O_o, կարծես թե ստացվում է:

WSWS 5.0 աշխատասեղան

Այսպիսով, այն, ինչ մենք տեսնում ենք, գեղեցիկ թեթև աշխատասեղանի մոդելավորում է հին պատուհաններև KDE. Բայց դա պարզապես զարդարված բաց կոդով աշխատասեղան է

Ֆայլերի կառավարիչ 11 տարի առաջ թողարկված, շատ նման է մերկացած konquerror-ի

Համակարգի սկուտեղում ժամանակի ցուցիչ՝ օրացույցով, ստեղնաշարի դասավորության փոխարկիչ և հասանելիության մակարդակների ցուցիչ (բայց դա ավելի հավանական է WSWS-ի մշակողների կողմից):

WSWS 5.0 Կարգավորումներ

Linux-ում որոշ ծրագրեր (օրինակ՝ Chromium-ը) չեն գործարկվում որպես root՝ անվտանգության նկատառումներից ելնելով, ուստի մենք նախ կստեղծենք նոր օգտվող և մուտք գործենք դրա միջոցով.

Սկսել - կարգավորումներ - ELK կառավարման վահանակ, օգտագործողի կառավարում - ավելացնել նոր օգտվող.

Գաղտնաբառը պետք է լինի առնվազն 8 նիշ:

Անվտանգության ատրիբուտները տպավորիչ են, բայց մենք դրանց չենք անդրադառնա.

Օգտատերը հաջողությամբ ստեղծվեց: Մենք դուրս ենք գալիս նիստից և անմիջապես մտնում ենք արմատային կոնսոլի հաշիվ, որտեղ մեզ ողջունում են մի շարք սխալներ.

Մենք դուրս ենք գալիս այս հաշվից՝ սեղմելով Ctrl + D, մուտք ենք գործում որպես նոր օգտվող և գործարկում startx-ը: X-երը գործարկվեցին, բայց նրանք չեն արձագանքում մկնիկի շարժմանը և ստեղնաշարի դյուրանցումներին: վերսկսել վիրտուալ մեքենաչօգնեց, այս հաշվի x-երը նույնպես չեն աշխատում: Լավ, դուք պետք է գործարկեք որպես root, ինչը անվտանգության խախտում է:

Մենք ունենք 800x600 էկրանի թույլտվություն, փորձում ենք փոխել այն։ Գնացեք «Կառավարման վահանակ» և ընտրեք «Մոնիտոր» պատկերակը: Բացվում է պատուհան, որտեղ կա հաղորդագրություն, որ մենք չունենք xorg.conf ֆայլ, և որ էկրանը մութ կլինի, երբ այն ստեղծվի: Ստեղծե՞լ, թե՞ ոչ:

Սեղմեք «Այո»

Կազմաձևման սկզբնավորման սխալ.

Դրանից հետո մոնիտորի կարգավորումներով պատուհան է բացվում: Մենք փորձում ենք ինչ-որ բան փոխել, բայց ոչ մի արձագանք: Հատկանշական է, որ այս պատուհանը ցույց է տալիս օրինակ Windows էկրան 95. Իսկ երբ սեղմում ես «Այո» և «Չեղարկել» կոճակները, պատուհանը չի փակվում և ոչինչ չի լինում։ Դուք կարող եք փակել պատուհանը միայն սեղմելով խաչի վրա:

«Համակարգ» ցանկում կա «Էկրանի լուծումների փոխում» կետը: Մենք ընտրում ենք այն և սկուտեղի մեջ բացում ենք ծրագիր միայն երկու կետով՝ 800x600 և 640x480 և 60 Հց հաճախականությամբ։ Բայց FreeDOS-ում ինձ հաջողվեց ավելի բարձր դնել ու նույնիսկ հաճախականությունը փոխել: Այստեղից եզրակացություն, որ OS WSVS-ում գրաֆիկան ավելի վատն է, քան DOS-ում:

Մենք դիտարկում ենք սարքավորումների մասին տեղեկությունները.

OK սեղմելուց հետո բացվում է հետևյալ պատուհանը.

WSWS 5.0 ծրագրեր

Հետաքրքիր է, որ երբ մկնիկի ցուցիչը EDE ծրագրերից տեղափոխում ենք KDE, մկնիկի ցուցիչի գույնը փոխվում է։
Դա պայմանավորված է նրանով, որ WSWS աշխատասեղանը EDE և KDE աշխատասեղանների խառնուրդ է:
Ցանց.Ընդհանուր առմամբ այս կատեգորիայում կա տասը ծրագիր, այդ թվում՝ ELK Browser, IRC, Wireshark, GFTP, Mail Monitor, Network Monitor և PPP-ի կարգավորում և ցանցային սարքերի կառավարում:

Ցանցային սարքի կառավարում

Փոստի հաճախորդը չի սկսվի՝

ELK Browser զննարկիչը Aurora բրաուզերի ճշգրիտ պատճենն է: Տեսեք, վերանվանեցին ԵԼՔ, բայց մոռացան փոխել լոգոն.

ELK զննարկիչ.

Կոմունալ ծառայություններ
Կոմունալ ծառայություններում արդեն կա 4 տերմինալ՝ ELK-տերմինալ, X-տերմինալ, Console և տերմինալ գերօգտագործողի ռեժիմում։ Գիտե՞ք, թե ինչու են դրանք այդքան շատ։ Քանի որ WSWS աշխատասեղանը EDE-ի և KDE-ի խառնուրդ է: Չէին էլ մտածում ավելորդ կոմունալ ծառայությունները հեռացնելու մասին, ամեն ինչ դրված էր լռելյայն, թողեցին։

Այդ իսկ պատճառով կան բազմաթիվ ծրագրեր երկու տարբեր աշխատասեղաններից, բայց նույն հնարավորություններով: Սա հատկապես ճիշտ է նկարներ, փաստաթղթեր (PDF, DJVU և այլն) և տեքստային խմբագրիչներ դիտելու համար:

Emacs տեքստային խմբագիր WSWS-ում.

Գիտական. KDE-ի գիտական ​​միակ հաշվիչը, որը թողարկվել է 2005 թ.
Գրաֆիկական արվեստ.Այս բաժնում թողարկվում են KDE + Xsane 2007-ի բոլոր ծրագրերը:
Խաղեր.Խաղերը ներառում են KDE-ի խաղերի ընտրանի, ներառյալ Minesweeper և Parachutes ռազմական խաղերը.
Մուլտիմեդիա. Պարզ մեդիա նվագարկիչ, աուդիո CD նվագարկիչ, K3b (CD/DVD այրիչ), ձայնի վերահսկման և ձայնագրման ծրագրակազմ:
Ձայնը ստուգելու համար անհրաժեշտ է ներբեռնել այստեղ վիրտուալ համակարգինչ-որ ֆիլմ .. Այստեղ ձայնն ու վիդեոն ընդհանրապես չեն աշխատում։ Ես դրեցի վիրտուալ տուփի կարգավորումներ Alsa, Oss, SoundBlaster16 - ոչինչ չի աշխատում: Ես փորձեցի ogv, ogg, mp4 - որոշ դեպքերում այն ​​պահանջում է կոդեկների տեղադրում, որոշ դեպքերում այն ​​ցույց է տալիս սխալ.
Փորձենք տեղադրել ffmpeg:
Բացեք Start - ELK Control Panel - Ծրագրի կառավարիչ
փաթեթների ցուցակները ստուգվում են մի քանի վայրկյան առաջ սկսելուց առաջ
փորձեք գտնել ffmpeg
Ահա այսպիսի ռուսաց լեզու ռուսական բանակում։

ffmpeg-ը հայտնվել է տեղադրված փաթեթների ցանկում։ oss-ի և alsa-ի (ձայնային համակարգեր) որոնումն ընդհանրապես ոչ մի արդյունք չի տվել։ Office-ի և firefox-ի հարցումները նույնպես արդյունք չեն տվել։

k3b-ը գործարկման ժամանակ սխալ է թույլ տալիս, որ mime տեսակը չի գտնվել: Դուք պետք է սեղմեք OK 10 անգամ և այն կսկսվի.

Համակարգի անջատում.
Դուրս բերել...
1. WSWS-ը չի աշխատում ժամանակակից սարքավորումների վրա
2. Համակարգի առանցքը, ինչպես բոլոր ծրագրերը, թողարկվել է 11 տարի առաջ, ուստի ժամանակակից սարքավորումները չեն ապահովվում:
3. Էկրանի լուծաչափը դրված է 800x600 և չի փոխվում
4. Տեսահամակարգն աշխատում է միայն էմուլյատորում, սակայն աշխատանքն ավարտելուց հետո ցույց է տալիս սխալներ։
5. Ձայնն ընդհանրապես չի աշխատում
6. Գրաֆիկները աշխատում են միայն որպես root, ինչը անվտանգության խախտում է
7. Անջատման և վերագործարկման հրամանները լռելյայն հասանելի են միայն վահանակի միջոցով և աշխատում են միայն էմուլյատորում:

Ընդհանուր եզրակացություններ.

WSVS5.0 - պատճենվել է 2011 թվականին RedHat Enterprice Linux5.0 (2007) կողմից, ճիշտ չի աշխատում 2011 թվականին թողարկված համակարգիչների վրա: Այո, ռուսական բանակում, ընդհանուր առմամբ, նկատելի է խոր հնության տենչը, օրինակ՝ «Ադմիրալ Կուզնեցով» ավիակիր հածանավն իր ցատկահարթակով կատապուլտի փոխարեն, որի պատճառով ինքնաթիռները ստիպված են թռչել թերի զինամթերքով։ և երբեմն ընկնում են ջուրը օդանավի թռիչքի ժամանակ և մազութի էլեկտրակայանով, ուղևորության ընթացքում լիցքավորման կարիք ունեցող ...

WSWS 3.0անվտանգ, բազմաֆունկցիոնալ, ժամանակի փոխանակման, բազմաֆունկցիոնալ օպերացիոն համակարգ է, որը մշակվել է Linux-ում: Օպերացիոն համակարգը տրամադրում է բազմամակարդակ առաջնահերթությունների համակարգ՝ կանխարգելիչ բազմաբնույթ առաջադրանքների, վիրտուալ հիշողության կազմակերպման և ցանցային ամբողջական աջակցությամբ; աշխատում է բազմապրոցեսորային (SMP - սիմետրիկ բազմամշակում) և կլաստերի կոնֆիգուրացիաներով Intel հարթակներ, MIPS և SPARC: WSVS 3.0-ի առանձնահատկությունը - ներկառուցված պաշտպանական միջոցներ չարտոնված մուտքից, որոնք համապատասխանում են Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողովի 2-րդ դասի միջոցների ուղեցույցի պահանջներին: Համակարգչային գիտություն. Անվտանգության գործիքները ներառում են պարտադիր մուտքի հսկողություն, մուտքի վերահսկման ցուցակներ, դերային մոդելներ և առաջադեմ աուդիտի գործիքներ (միջոցառումների գրանցում):

WSWS 3.0 ֆայլային համակարգը աջակցում է մինչև 256 նիշ երկարությամբ ֆայլերի անուններ՝ ռուսալեզու ֆայլերի և գրացուցակների անուններ, խորհրդանշական հղումներ, քվոտային համակարգ և մուտքի իրավունքի ցուցակներ ստեղծելու ունակությամբ: Հնարավոր է մոնտաժել ֆայլը FAT համակարգերև NTFS, ինչպես նաև ISO-9660 (CD): Քվոտայի մեխանիզմը թույլ է տալիս վերահսկել օգտվողների կողմից սկավառակի տարածության օգտագործումը, գործարկված գործընթացների քանակը և յուրաքանչյուր գործընթացին հատկացված հիշողության քանակը: Համակարգը կարող է կազմաձևվել այնպես, որ նախազգուշացումներ տա, երբ օգտագործողի կողմից պահանջվող ռեսուրսները մոտենում են նշված քվոտային:

WSWS 3.0-ը ներառում է X Window-ի վրա հիմնված գրաֆիկական համակարգ: Գրաֆիկական միջավայրում աշխատելու համար տրամադրվում են երկու պատուհանների կառավարիչներ՝ IceWM և KDE: WSWS-ում ծրագրերի մեծ մասը գրաֆիկական ուղղվածություն ունի, ինչը բարենպաստ պայմաններ է ստեղծում ոչ միայն օգտատերերի աշխատանքի, այլ նաև Windows-ից WSWS-ին անցնելու համար:

WSWS 3.0-ը տրամադրվում է այնպիսի կազմաձևով, որը, բացի հիմնականից, ներառում է լրացուցիչ ծրագրային արտադրանքների մի շարք: Օպերացիոն համակարգը ինքնին օգտագործվում է որպես հիմնական տարր ավտոմատացված աշխատակայանների (AWP) կազմակերպման և ավտոմատացված համակարգերի կառուցման գործում: Լրացուցիչ ծրագրակազմը կարող է տեղադրվել ընտրությամբ և կենտրոնացած է տիրույթի կառավարման և ադմինիստրացիայի առավելագույն ավտոմատացման վրա, ինչը թույլ է տալիս նվազեցնել աշխատատեղերի պահպանման ծախսերը և կենտրոնանալ օգտատերերի կողմից իրենց նպատակային առաջադրանքի կատարման վրա: Տեղադրման ծրագիրը թույլ է տալիս ՕՀ-ն տեղադրել bootable CD-ից կամ ցանցի միջոցով FTP-ի միջոցով: Սովորաբար տեղադրման սերվերը սկզբում տեղադրվում և կազմաձևվում է սկավառակներից, իսկ հետո մնացած համակարգիչները տեղադրվում են ցանցի միջոցով: Գործող տիրույթում տեղադրման սերվերը կատարում է աշխատանքային կայանների ծրագրակազմի թարմացման և վերականգնման խնդիրը: Նոր տարբերակը վերբեռնվում է միայն սերվերի վրա, այնուհետև տեղի է ունենում ավտոմատ թարմացումԱշխատավայրի ծրագրային ապահովում. Եթե ​​ծրագրաշարը վնասված է աշխատանքային կայաններում (օրինակ, երբ ծրագրի ֆայլը ջնջվում է կամ չեկային գումարներգործարկվող կամ կազմաձևման ֆայլեր), համապատասխան ծրագրաշարը ավտոմատ կերպով վերատեղադրվում է:

Տեղադրման ընթացքում ադմինիստրատորին առաջարկվում է ընտրել կա՛մ ստանդարտ տեղադրման տեսակներից մեկը, կա՛մ հատուկ տեղադրում: Ստանդարտ տեսակներն օգտագործվում են ստանդարտ աշխատատեղերի վրա տեղադրելու ժամանակ և ծածկում են OS WSWS 3.0-ի հիման վրա աշխատատեղերի կազմակերպման հիմնական բնորոշ տարբերակները (նկ. 1): Յուրաքանչյուր ստանդարտ տեսակ սահմանում է տեղադրվելիք ծրագրային ապահովման արտադրանքների մի շարք, սկավառակի կոնֆիգուրացիա, ֆայլային համակարգերի մի շարք և մի շարք համակարգի կարգավորումները. Պատվերով տեղադրումը թույլ է տալիս հստակորեն սահմանել վերջնական համակարգի բոլոր նշված բնութագրերը մինչև անհատական ​​ծրագրային փաթեթների ընտրությունը: Եթե ​​ընտրում եք հատուկ տեղադրում, կարող եք տեղադրել WSWS 3.0-ը համակարգչի վրա, որն արդեն ունի մեկ այլ օպերացիոն համակարգ (օրինակ՝ Windows NT):

WSWS 3.0-ի կառուցվածքը ներառում է փաստաթղթային միասնական համակարգ (ESD)՝ համակարգի գործունեության տարբեր ասպեկտների մասին տեղեկություններով: ESD-ը բաղկացած է փաստաթղթերի սերվերից և տվյալների բազայից, որը պարունակում է նկարագրության տեքստեր, որոնք հասանելի են բրաուզերների միջոցով: Լրացուցիչ տեղադրման ժամանակ ծրագրային ապահովումհամապատասխան հղման բաժինները տեղադրված են ESD տվյալների բազայում: ESD-ը կարող է տեղակայվել յուրաքանչյուր աշխատավայրում, կամ WSWS տիրույթում կարող է հատկացվել հատուկ փաստաթղթերի սերվեր: Վերջին տարբերակը օգտակար է մեծ WSWS տիրույթներում՝ սկավառակի ընդհանուր տարածությունը խնայելու, կառավարման գործընթացը պարզեցնելու և փաստաթղթերը թարմացնելու համար: Այլ աշխատանքային կայաններից փաստաթղթերի հասանելիությունը հնարավոր է WSWS 3.0-ով տրամադրված վեբ բրաուզերի միջոցով:

WSVS 3.0-ը ռուսաֆիկացված է ինչպես այբբենական, այնպես էլ գրաֆիկական ռեժիմներով: Աջակցվում են վիրտուալ տերմինալներ, որոնց միջև անցումը կատարվում է բանալիների համակցության միջոցով:

Համակարգի ամբողջականության առումով առանցքային կետը WSWS-ի նոր օգտվողների գրանցման գործառնությունն է, երբ որոշվում են օգտվողի հատկանիշները, ներառյալ անվտանգության ատրիբուտները, որոնց համաձայն մուտքի վերահսկման համակարգը հետագայում կվերահսկի օգտագործողի աշխատանքը: Մանդատի մոդելի համար հիմք է հանդիսանում նոր օգտատեր գրանցելիս մուտքագրված տեղեկատվությունը:

Մուտքի հայեցողական հսկողություն իրականացնելու համար օգտագործվում են մուտքի վերահսկման բիթերի և մուտքի վերահսկման ցուցակների (ACL) ավանդական Unix մեխանիզմները: Երկու մեխանիզմներն էլ ներդրված են WSWS 3.0 ֆայլային համակարգի մակարդակով և ծառայում են ֆայլային համակարգի օբյեկտներին մուտքի իրավունքներ սահմանելու համար: Բիթերը թույլ են տալիս սահմանել իրավունքներ օգտատերերի երեք կատեգորիաների համար (սեփականատեր, խումբ, այլք), սակայն սա բավականաչափ ճկուն մեխանիզմ չէ և օգտագործվում է ՕՀ ֆայլերի մեծ մասի համար իրավունքները սահմանելիս, որոնք նույն կերպ են օգտագործվում հիմնական մասի կողմից: օգտվողներ. ACL-ների օգնությամբ հնարավոր է իրավունքները սահմանել առանձին օգտատերերի և/կամ օգտատերերի խմբերի մակարդակով և այդպիսով հասնել իրավունքների սահմանման զգալի մանրամասների: Ցուցակները օգտագործվում են ֆայլերի հետ աշխատելիս, որոնք պահանջում են, օրինակ, մի քանի կոնկրետ օգտվողների համար մուտքի տարբեր իրավունքներ սահմանել:

Ավանդական Unix համակարգերի զգալի թերություններից մեկը, անվտանգության տեսանկյունից, ամենալայն լիազորություններով գերօգտագործողի առկայությունն է: WSWS 3.0-ի առանձնահատկությունը գերօգտագործողի գործառույթների ապակենտրոնացումն է: Համակարգի կառավարման խնդիրը բաժանված է մի քանի մասերի, որոնց համար կան կոնֆիգուրացիայի, անվտանգության և աուդիտի ադմինիստրատորներ։ Օպերացիոն համակարգի տեսանկյունից այս ադմինիստրատորներն են սովորական օգտվողներ, որոնց տրվում է հատուկ ադմինիստրատիվ ծրագրեր գործարկելու և համապատասխան կոնֆիգուրացիայի ֆայլեր մուտք գործելու հնարավորություն։ Հաշիվների ստեղծում համակարգի ադմինիստրատորներտեղի է ունենում WSWS 3.0-ի տեղադրման փուլում:

Ադմինիստրատորներից յուրաքանչյուրը պատասխանատու է միայն իր առաջադրանքների կատարման համար, օրինակ՝ կազմաձևման ադմինիստրատորը կառավարում է ֆայլային համակարգերը, ցանցային միջերեսները, կազմաձևումը համակարգային ծառայություններև այլն: Անվտանգության ադմինիստրատորը պատասխանատու է անվտանգության քաղաքականության համար և վերահսկում է անվտանգության հետ կապված համակարգի կարգավորումները՝ գաղտնաբառի նվազագույն երկարությունը, օգտվողի մուտքի անհաջող փորձերի քանակը և այլն: Միևնույն ժամանակ, անվտանգության հետ կապված բոլոր իրադարձությունները գրանցվում են, ներառյալ ադմինիստրատորների գործողությունները: Աուդիտի կառավարումը աուդիտի ադմինիստրատորի պարտականությունն է, ով կարող է, օրինակ, «մաքրել» աուդիտի մատյանները:

Գերօգտագործողի գործառույթների ապակենտրոնացումը թույլ է տալիս իրականացնել «չորս աչքերի» սկզբունքը։ Օրինակ, նոր WSWS 3.0 օգտագործողի գրանցումը երկքայլ գործընթաց է: Նախ, կազմաձևման ադմինիստրատորը ստեղծում է հաշիվ նոր օգտվողի համար, այնուհետև անվտանգության ադմինիստրատորը գրանցում է նոր օգտվողին անվտանգության տվյալների բազայում: Դրանից հետո միայն հնարավոր է դառնում նոր օգտվողի մուտքը համակարգ։

Վարչական առաջադրանքների կատարման համար բաշխման փաթեթը ներառում է «Կառավարման գործիքներ» փաթեթը, որը ներառում է օգտատերերի, ֆայլերի, անվտանգության, աուդիտի, համակարգային և ցանցային կարգավորումների կառավարման ծրագրեր:

Առաջին խնդիրը, որը պետք է կատարվի WSWS 3.0-ի տեղադրումից հետո, այն է, որ ադմինիստրատորը սահմանի անվտանգության քաղաքականությունը, որն իրականացվում է կազմակերպությունում: Այս առաջադրանքի բաղադրիչներից մեկը պարտադիր մուտքի վերահսկման մեխանիզմի կարգավորումն է: Նկ. 2-ը ցույց է տալիս հավատարմագրերի շարժիչի կառավարիչ ծրագրի տեսքը, որը թույլ է տալիս կարգավորել WSWS 3.0 առարկայի և օբյեկտի հավատարմագրերի մի շարք: Ծրագրի պատուհանի վերին մասում կազմաձևված են անվտանգության մակարդակները, որոնց հնարավոր արժեքները կարող են լինել, օրինակ, «ոչ գաղտնի» և «գաղտնի»: Ներքևի մասում ստեղծվում են բազմաթիվ կատեգորիաներ, որոնք նկարագրում են առարկայական ոլորտը, որին պատկանում է տեղեկատվությունը. «աշխատակիցներ», «տեխնիկական միջոցներ» և այլն: Հնարավոր է ստեղծել կատեգորիաների սուպերբազմություններ (օրինակ՝ «Կատեգորիա_1_2»), ներառյալ մի քանի առանձին կատեգորիաներ և այլ գերբազմություններ։ Մակարդակների հետ աշխատելն առավել հարմար է, երբ դրանք ներկայացված են տասնորդական ձևով, քանի որ մակարդակներն ունեն հիերարխիկ կազմակերպություն. Իր հերթին, կատեգորիաների հետ աշխատելիս հարմար է դրանք ներկայացնել երկուական ձևով, քանի որ կատեգորիաները հիերարխիկ բազմություն չեն:

Նկ. 3-ը ցույց է տալիս օգտվողների կառավարման ծրագրի պատուհաններից մեկի տեսքը: Այս ծրագիրը կարող է գործարկվել միայն կազմաձևման և անվտանգության ադմինիստրատորների կողմից: Միևնույն ժամանակ, նրանցից յուրաքանչյուրը կարող է սահմանել կամ փոխել միայն օգտագործողի այն ատրիբուտները, որոնց կառավարումը իր իրավասությունների շրջանակում է։

Նկ. Նկար 4-ը ցույց է տալիս ֆայլերի կառավարման ծրագրի պատուհանի օրինակ, որը թույլ է տալիս դիտել և փոխել ֆայլի հատկանիշի արժեքները: Պատուհանի ձախ կողմում ֆայլային համակարգի ծառի կառուցվածքի պատկերացումը հեշտացնում է նրա միջով նավարկելը և ընտրելը. ցանկալի ֆայլ. Աջ մասը ցույց է տալիս ընտրված ֆայլի ատրիբուտները՝ խմբավորված ըստ դրանց ֆունկցիոնալ նպատակի: Յուրաքանչյուր խումբ ունի առանձին ներդիր: Ընդհանուր ներդիրը պարունակում է Unix ֆայլի ավանդական հատկանիշներ, ինչպիսիք են տեսակը, չափը, կոշտ հղումների քանակը, հայեցողական ատրիբուտները և ժամանակի դրոշմանիշները: WSWS 3.0 ֆայլերի առանձնահատկությունը պարտադիր ատրիբուտների առկայությունն է և հայեցողական ատրիբուտների ընդլայնումը մուտքի իրավունքների ցանկով: Պարտադիր հատկանիշները ներկայացված են «Մանդատի պիտակ» ներդիրում: Ֆայլի ACL-ը կառավարելու համար ընդգծված է «Թույլտվություններ» ներդիրը: Ավելին, դիրեկտորիաներ ընտրելիս, որոնց համար հնարավոր է լռելյայն ստեղծել ACL, ակտիվանում է «Մուտքի իրավունքներ ըստ լռելյայն» ներդիրը: Նկ. 5-ը ցույց է տալիս ACL ֆայլի հետ աշխատելու պատուհանի տեսքը: Հնարավոր է ավելացնել ինչպես մեկ մուտքագրում օգտվողի կամ խմբի համար, այնպես էլ մի քանի գրառումներ նույն մուտքի իրավունքներով: Ինչպես նախորդ ծրագրի դեպքում, միայն կոնֆիգուրացիայի և անվտանգության ադմինիստրատորները կարող են գործարկել ֆայլերի կառավարման ծրագիրը: Նրանցից յուրաքանչյուրը կարող է փոխել միայն ֆայլի այն ատրիբուտները, որոնց կառավարումը իր իրավասության մեջ է։

WSWS 3.0 ծառայություններ

WSWS-ը, ինչպես ցանկացած այլ օպերացիոն համակարգ, ծառայում է օպտիմալ պայմաններ ստեղծելու ծառայությունների և հավելվածների կատարման համար, որոնք ապահովում են ավտոմատացում և բարձրացնում օգտատերերի աշխատանքի արդյունավետությունը:

Ցանկացած ՕՀ-ի հիմնական ծառայություններից մեկը տպագիր ծառայությունն է։ WSWS 3.0-ը ներառում է տպագրական համակարգ, որը թույլ է տալիս տպել փաստաթղթեր՝ անվտանգ համակարգերի պահանջներին համապատասխան: WSWS 3.0 տպագրական համակարգի առանձնահատկությունների թվում, որոնք այն տարբերում են նմանատիպ համակարգերից, ներառում է մուտքի վերահսկման պարտադիր մեխանիզմի աջակցությունը, որը թույլ է տալիս տպագրական աշխատանք ստեղծելու փուլում որոշել փաստաթղթերի գաղտնիության մակարդակը և ավտոմատ կերպով ուղարկել աշխատանք կոնկրետ տպիչի վրա՝ համաձայն այս կազմակերպությունում ընդունված տպագրական կանոնների: Յուրաքանչյուր տպագիր թերթիկ ավտոմատ կերպով պիտակվում է փաստաթղթի հավատարմագրերով, ներառյալ փաստաթուղթը տպած օգտատիրոջ ազգանունը և այն համակարգչի անունը, որտեղից ուղարկվել է տպման աշխատանքը: Տպագրական համակարգի առավելություններից մեկը դրա անփոփոխությունն է այն հավելվածների նկատմամբ, որոնք մուտք են գործում տպագրական ծառայություն: Սա նշանակում է, որ նա կապված չէ առկա հավելվածներըև չի փոխվում, երբ հայտնվում են նոր հավելվածներ: Որպես հետևանք, տպագրական հավելվածները պետք է հաշվի առնեն թերթերի մակնշումը և դրա համար տեղ թողնեն: Տպագրության փաստը գրանցվում է տպագիր փաստաթղթերի վերարտադրումը գրանցելու հատուկ ամսագրում: Այս գրանցամատյանի հետ աշխատելու համար օգտագործեք հատուկ ծրագիր, որը թույլ է տալիս դիտել, խմբագրել գրառումների որոշ դաշտեր և տպել դրանք (նկ. 6):

WSWS 3.0 անվտանգության համակարգի կարևոր տարրը նույնականացման/նույնականացման համակարգն է: Հաջողությամբ նույնականացման համար օգտագործողը պետք է մուտքագրի ճիշտ գաղտնաբառը: Ակնհայտ է, որ ընտրված գաղտնաբառի որակը որոշում է համակարգի դիմադրությունը ներխուժողների ներթափանցմանը դրա մեջ: Օգտագործողի գաղտնաբառեր ստեղծելու համար WSWS 3.0-ը ներառում է հատուկ ծրագիր (նկ. 7):

Դոմեյն համակարգիչների մոնիտորինգի համար օգտագործվում է կատարողականի մոնիտորինգի համակարգ (CF), որը բաղկացած է սերվերից և հատուկ գործակալներից։ Գործակալները տեղադրվում են տիրույթի համակարգիչների վրա և հայտնում են իրենց վիճակի մասին սերվերին: CF համակարգը թույլ է տալիս տեղեկատվություն ստանալ համակարգիչների աշխատանքի տարբեր ասպեկտների մասին (գործընթացների վիճակը, սկավառակի ենթահամակարգը, միջուկի ենթահամակարգերը) և վերահսկել ցանցային ծառայությունների առողջությունը (ftp, ssh և այլն): Սերվերի ստացած տեղեկատվությունը կուտակվում է հատուկ տեղեկամատյաններում, ինչը հնարավորություն է տալիս դիտարկել ոչ միայն տիրույթի ներկա վիճակը, այլև ուսումնասիրել դրա վիճակը համակարգի գործունեության ողջ ժամանակահատվածում:

WSWS տիրույթ

WSWS 3.0-ն օգտագործվում է տիրույթներ ստեղծելու համար, որոնց վրա կառուցված են անվտանգ ավտոմատ համակարգեր: Ֆիզիկապես տիրույթն իրականացվում է որպես համակարգիչների տեղական ցանց, որոնց մեծ մասն օգտագործվում է օգտատերերի աշխատանքը կազմակերպելու համար։ Նրանցից ոմանք անհրաժեշտ են ընդհանուր ռեսուրսների կազմակերպման համար, ինչպիսիք են ֆայլերի սերվերը, տվյալների բազայի սերվերը, տպագիր սերվերը, փոստի սերվեր. Տրամաբանական է, որ WSWS տիրույթը համակարգիչների մի շարք է, որոնք իրականացնում են մեկ անվտանգության քաղաքականություն և կազմում են մեկ կառավարման տարածք: Անվտանգության միասնական քաղաքականությունը ենթադրում է, որ բոլոր տիրույթի համակարգիչները աջակցում են մուտքի առարկաների և օբյեկտների, անվտանգության ատրիբուտների, և միասնական կանոններհայեցողական և պարտադիր մուտքի վերահսկում: Այս առումով WSWS տիրույթը նաև անվտանգության տիրույթ է։

Մեկ կառավարման տարածքը ենթադրում է WSWS տիրույթի տեղեկատվական ռեսուրսների (համակարգիչների) միասնական կառավարում: Դրա հիմքը WSWS տիրույթի մեկ օգտագործողի տարածքն է:

• Դոմենի յուրաքանչյուր օգտագործողի համար իր աշխատավայրում պահպանվում է հաշիվ, որը ներառում է օգտատիրոջ մասին անհրաժեշտ տեղեկատվություն (տրամաբանական անուն, գաղտնաբառ, լրիվ անուն և օգտվողի անվտանգության հատկանիշներ): Այս տեղեկատվությունը օգտագործվում է օգտատիրոջ համար նույնականացման/նույնականացման ընթացակարգեր կատարելու համար, երբ նա մտնում է WSWS տիրույթ:
• Համօգտագործվող ռեսուրսներով (սերվեր) տիրույթի յուրաքանչյուր համակարգչում, որի վրա այս օգտվողը կարող է աշխատել, նրա համար կա ճիշտ նույն հաշիվը, ինչ իր աշխատավայրում:
• Անվտանգության ադմինիստրատորի աշխատավայրը պահում է տվյալների բազա՝ տիրույթի բոլոր օգտագործողների մասին տեղեկություններով, ներառյալ նրանց հաշիվը, ընդլայնված տեղեկատվությունը (օրինակ՝ պաշտոնը, բաժնի անվանումը/համարը), ինչպես նաև նրա համակարգչի և բոլոր սերվերների անունները, որոնց նա հասանելի է:

Այսպիսով, հաշիվը միակն է այս օգտվողի համար WSWS տիրույթում, և հենց դրա միջոցով է վերահսկվում օգտվողի մուտքը տիրույթի տեղեկատվական ռեսուրսներ:

Տարասեռ տիրույթներ

Վրա այս պահինանվտանգ ավտոմատացված համակարգ մշակելիս հիմք են ընդունվում առկա տեղական ցանցերը, որոնցում, որպես կանոն, գերակշռում են սերվերները և աշխատատեղերը. Windows բազաՆՏ. Կազմակերպության WSWS հարթակին անհապաղ անցման անհնարինությունը ստեղծում է Windows-ի հետ դրա ինտեգրման խնդիր։ Այստեղ կարելի է առանձնացնել երկու ասպեկտ՝ WSWS-ին անցնելու օպտիմալ ռազմավարության ընտրությունը և այս անցմանը ուղեկցող տեխնիկական դժվարությունները:

Անվտանգ ավտոմատացված համակարգում տեղեկատվական հոսքերի վերլուծության արդյունքում հնարավոր է լինում բացահայտել անվտանգության տեսանկյունից առավել կարևոր ոլորտները։ Նախևառաջ, այս ոլորտները ներառում են տեղեկատվության ներմուծման/արտահանման հոսքեր, քանի որ հենց այդ հոսքերի միջոցով է գաղտնի տեղեկատվությունը (և դրսից ստացված, և ներսից ստացված) արտաքին աշխարհ. տպագիր սերվերներ և տեղեկատվության արտահանում սկավառակների և ժապավենների վրա: Երկրորդ ամենակարևորը տեղեկատվության պահպանման ոլորտներն են՝ ֆայլերի սերվերները և օգտագործողների աշխատանքային կայանները:

Windows ցանցը անվտանգ ավտոմատացված համակարգի վերածելու գործընթացում նախ պետք է փոփոխվեն ցանցի այն հատվածները, որոնք ամենակարևորն են անվտանգության տեսանկյունից: Առաջին քայլը նվազագույնի հասցնելն է և վերահսկել ելքային տեղեկատվական հոսքերը: Ինչպես նշվեց, WSWS 3.0-ն ունի փաստաթղթերի տպագրության հաշվառման և վերահսկման մշակված համակարգ և թույլ է տալիս սեփական հիմքի վրա կառուցված ցանցում իրականացնել տպագիր փաստաթղթերի տպագիր փաստաթղթերի թողարկման պահանջները:

Երկրորդ քայլը ֆայլերի սերվերների տեղափոխումն է Windows հարթակից: WSWS 3.0-ը նախատեսում է օպերացիոն համակարգի տեղեկատվական ռեսուրսների օգտատերերի հասանելիությունը կառավարելու մշակված համակարգ, որը թույլ է տալիս կազմակերպել օգտվողի տվյալների պաշտպանությունը պատշաճ մակարդակով:

WSWS-ը և Windows-ը ինտեգրելիս առաջանում են մի շարք տեխնիկական խնդիրներ, որոնցից ամենագլխավորը օգտատերերի նույնականացման/վավերականացման սխեմաների համատեղելիության խնդիրներն են, օգտագործողի մուտքի վերահսկման սկզբունքները, որոնք օգտագործվում են այս կիրիլյան կոդավորման համակարգերում:

Առաջին երկու խնդիրներն այն են, որ Windows NT միջավայրն աջակցում է NT տիրույթի մուտքի սխեմայի վրա հիմնված մեկ հիմքհատուկ կառավարման սերվերի վրա պահվող տվյալները՝ տիրույթի վերահսկիչ: Այս սխեման էապես տարբերվում է WSWS-ում օգտագործվող սխեմայից: Բացի այդ, Windows NT-ի ճարտարապետությունը չունի պարտադիր մուտքի վերահսկման աջակցություն և չի կարող դրան համապատասխանեցնել WSWS օպերացիոն համակարգի անվտանգության շատ հատկանիշներ: Windows համակարգերը օգտագործում են CP1251 կոդավորումը, մինչդեռ WSWS 3.0-ը (որպես Linux-ի ժառանգություն) օգտագործում է KOI8-R, այնուամենայնիվ, կուտակված տվյալները (որոնց հետ աշխատելու համար պահանջում է Windows միջավայրը) սովորաբար պահվում է CP1251-ում: Միևնույն ժամանակ, տվյալների ներկայացումն օգտատերերին, դրանց մուտքագրումն ու խմբագրումը տեղի է ունենում WSWS միջավայրում, ուստի անհրաժեշտ է արագորեն տրանսկոդավորել: Բացի այդ, տվյալների կառավարման խնդիրների լուծման համար (օրինակ՝ տվյալների տեսակավորման առաջադրանքը) CP1251 կոդավորումն ավելի ընդունելի է, քան KOI8-R-ը։

WSWS 3.0-ի վրա հիմնված անվտանգ ավտոմատացված համակարգ կառուցելու համար՝ NT-ի հետ ժամանակավոր համատեղելիության հնարավորությամբ, մշակվել է տերմինալ մուտքի համակարգ (նկ. 8): Այս համակարգըթույլ է տալիս WSWS-ում Windows հավելվածների հետ աշխատանքը կազմակերպել հետևյալ կերպ. ֆայլերի և տպագիր սերվերները, ինչպես նաև հաճախորդների կայքերը կառուցված են WSWS 3.0-ի հիման վրա, իսկ NT Terminal Server Edition-ի վրա հիմնված հավելվածի սերվերը հատկացվում է Windows հավելվածների հետ աշխատելու համար: , որի մուտքն իրականացվում է հատուկ եղանակով . Այս տարբերակի առավելություններից է օգտատերերի աշխատանքի կազմակերպման ճկունությունը, ովքեր փաստացի հնարավորություն են ստանում միաժամանակ աշխատել երկու գործառնական միջավայրում և օգտվել դրանցից յուրաքանչյուրի հավելվածներից։ Թերությունը հատուկ մուտքով հավելվածի սերվեր ստեղծելու անհրաժեշտությունն է, ինչը հանգեցնում է անվտանգության քաղաքականության սահմանափակումների։ Արդյունքում, WSWS-ի և Windows NT-ի ինտեգրման խնդիրը լուծվում է՝ ստեղծելով WSWS տիրույթ NT-ի վրա հիմնված հավելվածի սերվերով և օգտագործելով տերմինալային մուտքի համակարգ։

Եկեք հիմա դիտարկենք, թե ինչպես է օգտատերը աշխատում տարասեռ WSWS տիրույթում: Օգտագործողը տիրույթ է մտնում իր աշխատակայանի միջոցով։ Windows NT հավելվածի սերվեր մուտք գործելու համար օգտվողը մուտք է գործում տերմինալ մուտքի հաճախորդ: Հավելվածի սերվերում պահվող հատուկ տվյալների բազայում կա համապատասխանություն օգտվողի անվան և նրա համակարգչի անվան միջև, որն օգտագործվում է այս օգտվողի համար ցանցային կրիչներ քարտեզագրելիս: Արդյունքում, NT նիստում աշխատելիս օգտատերը տեսնում է միայն իր տնային գրացուցակի բովանդակությունը՝ որպես ցանցային դրայվ իր աշխատավայրում, ինչպես նաև տիրույթի բաժնետոմսերը (ֆայլի սերվերներ և տպիչներ): Այն կարող է գործարկել Windows հավելվածները, բայց կաշխատի միայն WSWS 3.0-ով աշխատող համակարգիչների վրա պահվող ֆայլերի սահմանափակ քանակով (սեփական կամ համօգտագործվող):

Դոմենում գաղտնի փաստաթղթերի տպագրությունը կազմակերպելու համար հատկացվում է WSWS-ի վրա հիմնված տպագիր սերվեր, որը պատասխանատու է տպագրության իրականացման և հաշվառման համար, ինչը կանխում է ելքային գաղտնի փաստաթղթերի չհաշվառված կրկնօրինակումը: Ոչ գաղտնի տեղեկատվություն տպելու համար հնարավոր է տեղական տպիչները միացնել աշխատանքային կայաններին: Օգտագործողը աշխատում է հետ Windows հավելվածներկամ WSWS, փաստաթուղթն ուղարկում է տպագրության, և կարևոր չէ, թե որտեղ է գտնվում փաստաթուղթը՝ տեղական մեքենայի վրա, թե ֆայլերի սերվերի վրա: WSWS-ի օգնությամբ վերլուծվում է փաստաթղթի գաղտնիության մակարդակը։ Եթե ​​փաստաթուղթը գաղտնի է, աշխատանքը վերահղվում է տպման սերվերին, եթե ոչ, ապա փաստաթուղթը տպագրվում է տեղում:

Առաջարկվող տարբերակները թույլ են տալիս աստիճանական անցում կազմակերպել Windows NT-ի վրա հիմնված տեղեկատվական ենթակառուցվածքից դեպի անվտանգություն ավտոմատացված համակարգերտեղեկատվության մշակում՝ հիմնված WSWS 3.0-ի վրա:

գրականություն

1. Ռուսաստանի պետական ​​տեխնիկական հանձնաժողով. Ուղղորդող փաստաթուղթ. Համակարգչային հարմարություններ. Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Տեղեկատվության չարտոնված մուտքից անվտանգության ցուցիչներ: Մոսկվա, 1992 թ

2. Դ.Վ. Էֆանովը։ Փաստաթղթերի տպագրության հաշվապահական համակարգ // ACS և կարգավորիչներ. 2001, №1

Անդրեյ Տյուլին- Ռուսաստանի Դաշնության պաշտպանության նախարարության աշխատակից. Իգոր Ժուկով, Դմիտրի Էֆանով ([էլփոստը պաշտպանված է]) - ոչ արդյունաբերական ոլորտում վերահսկողության ավտոմատացման համառուսաստանյան գիտահետազոտական ​​ինստիտուտի աշխատակիցներ (Մոսկվա):