Главная Обратная связь

Дисциплины:






Механизмы идентификации и аутентификации, разграничение прав в ОС Linux



Механизмы идентификации и аутентификации

Раньше:

программа login для доступа в систему;

пароль хранится в файле, к которому можно получить доступ;

у каждого приложения – свои механизмы

Сейчас:

Стандартный механизм обеспечения безопасности в Linux-системах:

Pluggable Authentication Modules

(PAM, подключаемые модули аутентификации)

Разграничение прав в Linux

Наличие привилегированных и неприви-легированных пользователей

• root (суперпользователь);

• user (обычный пользователь)

Разграничение доступа к каталогам, файлам и процессам

Права назначаются пользователям, группам пользователей, всем остальным пользователям

Атрибуты файлов в ОС Linux

Возможные действия над файлом:

r (read) – просмотр или чтение файла;

w (write) – запись или изменение файла;

x (execution) – исполнение файла

Права устанавливаются отдельно для:

владельца файла;

группы-владельца файла;

всех остальных

Тип файла; права доступа владельца, группы-владельца, всех остальных; владелец файла; группа-владелец файла

Дополнительные флаги (атрибуты) для файлов:

• -a – Append (дополнение) – разрешается дополнять, нельзя изменять;

• -i – Immutable (неизменный) – запрещаются любые изменения;

• -d – No Dump (не создавать backup) – игнорируются попытки создания backup;

• -s – Secure Deletion (безопасное удаление) – при удалении – перезапись блоков диска нулями

И другие…

PAM-аутентификация

PAM – набор подключаемых модулей

У каждого модуля – свой механизм аутентификации

Плюсы:

единый механизм аутентификации для всех приложений ;

позволяет создать свой сценарий аутентификации;

поддерживается в AIX, DragonFly BSD, FreeBSD, HP-UX, GNU/Linux, Mac OS X, NetBSD и Solaris

Минусы:

PAM не хватает для реализации Kerberos

Kerebros сетевой протокол аутентификации, позволяющий передавать данные через незащищённые сети для безопасной идентификации. Он ориентирован в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию — оба пользователя через сервер подтверждают личности друг друга.

Типы модулей PAM

Модуль аутентификации - аутентификация или создание и удаление учетных данных;

Модуль управления учетными записями - контроль доступа, истечения учетных данных или записей, правил и ограничений для паролей и т. д.;

Модуль управления сеансами - создание и завершение сеансов;

Модуль управления паролями - операции, связанные с изменением и обновлением пароля

Порядок полей в конфигурационном файле:

имя службы, имя подсистемы, управляющий флаг, имя модуля и параметры модуля





sdamzavas.net - 2019 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...