Установка Trusted Системы

HP-UX предлагает дополнительный инструментарий для безопасности системы.

Для конвертации в trusted систему можно использовать SAM в разделе Auditing and Security. Также можна сделать это вручною редактируя скрипт /etc/rc.config.d/auditing.

После «конвертации» стелаються следующие действия

a. Создает новый, защищенная база данных пароля в /tcb/files/auth/.

b. Зашифровка паролей с /etc/passwd файла до защищенной базы данных пароля и заменяют поле пароля в /etc/passwd со звездочкой (*). Вы должны копировать /etc/passwd файл, чтобы записать на ленту перед преобразованием.

c. Вынуждает всех пользователей использовать пароли

d. Создает audit ID для каждого пользователя.я.

e. Устанавливает audit флажок на для всех существующих пользователей

f. Конвертирует at,batch и crontab файлы, чтобы использовать установлные audit ID

Для аудитинга используют следующие команды:

audsys(1M) установка/отмена фудитинга и показывает ревезионные файли

audusr(1M) выбор ползователя для аудита

audevent(1M) просмотр и изменения событий и системеных вызовов

audomon(1M) устанавливает аудит файл и размер для мониторинга

audisp(1M) показывает аудит установки (записи)

Также все это можно сделать визуально в SAM разделе Auditing and Security

Управление паролями и системным доступом

Пароль - наиболее важный индивидуальный код (символы) идентификации пользователя. Этим, система подтверждает подлинность пользователя, чтобы позволить доступ к системе. Администратор и обычный пользователь в системе долженй совместно использовать ответственность за защиту пароля. Администратор исполняет следующие задачи защиты:

· Генерирует ID и для системы новым пользователям. Чтобы поддерживать секретность пароля, SAM генерирует Номер Разрешения для каждого нового пользователя. Этот номер должен использоваться для первого входа в систему. Как только этот номер был проверен, новому пользователю будет дано установить свой новый пароль

· устанавливает надлежащий доступ на /etc/passwd и зашифрованом пароле, в /tcb/files/auth/user_initial/user_name файлы.

· Устанавливает старение пароляоля.

· Удаление(стирание) паролей у каких вышел срок действия

Каждый пользователь должен выполнять следующие правила:

· Помнить пароль и держать его в секрете

· Изменять переодически пароли

· Следить за изменеием своих данных

· Для каждой машине иметь разные пароли

Управлением доступом к файлам и каталогам

ВHP-UX системе, Вы используете ls -l команду, чтобы видеть полную распечатку разрешений файла и ls -ld, чтобы перечислить разрешения каталога.

Chmod (1) команда позволяет Вам изменять разрешения каталогов и файлов.

Вы можете дополнительно использовать списки контроля доступа (ACLs), чтобы расширитьтрадиционный механизм разрешения, давая пользователям большeую степень управления доступом. Разрешения доступа и ограничения могут быть определены к степени детализации определенных пользователей и групп.

chacl (1) создает и изменяет ACLs и lsacl (1) показывает списки ACLs файлов.

Команда chacl - подмножество команды chmod. Любые определенные разрешения, которые Вы назначаете с командой chacl, добавлены к большему количеству общих разрешений, назначенных с командой chmod. Например, предположите, что Вы используете команду chmod, чтобы позволить только непосредственно разрешение записи myfile. Вы можете использовать команду chacl, чтобы делать исключение и позволять ваше разрешение записи администратора myfile также.

Используйте chmod с -A опцией при работе с файлами, которые имеют дополнительные назначенные разрешения. Дополнительные разрешения будут удалены.

Вот пример использования команды

$ chacl 'user.group operator mode' file_name

где user и group указывает название в систему пользователя и группу; знак процента (%) означает всех пользователей или группы. Оператор указывает добавление (+) или отрицание (-) разрешения и знаки "=" (=) средства " это разрешение точно. " Режим указывает позволенные разрешения: чтение (r), запись (w), и выполнение /поиск (x). Оператор немедленно предшествует режиму (например, + rw добавляет разрешения записи и чтение; -rw запрещает чтение и разрешения записи)

Вот еще примеры:

$ chacl 'carolyn.users=rw' myfile

$ ll myfile

-rw-r-----+ 1 nora users 236 Mar 8 14:23 myfile

$ lsacl myfile

(carolyn.users,rw-) (nora.%,rwx) (%.users,r--)(%.%,---) myfile

Для установки разрешения по умалчанию переменую окружения umask. В нем передаються параметры защиты. Напримар umask=022 (2 –w, 1 –x, 4 –r) означает что во всех открытых фыйлах по умолчаню не будет прав зяписи для групы и всех остальных пользователей.

Администратор должен установить

· начальные права для каталога пользователя и дальше пользователь должен следить за защитой своей информации.

· «правыльные» права на утсройства. (/dev)

Ниже привиден список команд для системы контроля доступа файловой системы

chacl(1) - change ACLs of files.

getaccess(1) - list access rights to files.

lsacl(1) - list access control lists of files.

getaccess(2) - get a user's effective access rights to a file.

getacl, fgetacl(2) - get access control list information.

setacl, fsetacl(2) - set access control list information.

acltostr(3C) - convert ACL structure to string form.

chownacl(3C) - change owner/group represented in a file's ACL.