Реферат: Администрирование локальных сетей

Также все это можно сделать визуально в SAM  разделе Auditing and Security

Управление паролями и системным доступом

Пароль - наиболее важный индивидуальный код (символы) идентификации пользователя. Этим, система подтверждает подлинность пользователя, чтобы позволить доступ к системе. Администратор и обычный пользователь в системе долженй совместно использовать ответственность за защиту пароля. Администратор исполняет следующие задачи защиты:

·     Генерирует ID и для системы новым пользователям. Чтобы поддерживать секретность пароля, SAM генерирует Номер Разрешения для каждого нового пользователя. Этот номер должен использоваться для первого входа в систему. Как только этот номер был проверен, новому пользователю будет дано установить свой новый пароль

·     устанавливает надлежащий доступ на /etc/passwd и зашифрованом  пароле, в /tcb/files/auth/user_initial/user_name файлы.

·      Устанавливает старение пароляоля.

·     Удаление(стирание) паролей у каких вышел срок действия

Каждый пользователь должен выполнять следующие правила:

·     Помнить пароль и держать его в секрете

·     Изменять переодически пароли

·     Следить за изменеием своих данных

·     Для каждой машине иметь разные пароли

19.       Управлением доступом к файлам и каталогам

ВHP-UX системе, Вы используете ls -l команду, чтобы видеть полную распечатку разрешений файла и ls -ld, чтобы перечислить разрешения каталога.

Chmod (1) команда позволяет Вам изменять разрешения каталогов и файлов.

Вы можете дополнительно использовать списки контроля доступа (ACLs), чтобы расширитьтрадиционный механизм разрешения,  давая пользователям большeую степень управления доступом. Разрешения доступа и ограничения могут быть определены к степени детализации определенных пользователей и групп.

chacl (1) создает и изменяет ACLs и lsacl (1) показывает списки ACLs файлов.

Команда chacl - подмножество команды chmod. Любые определенные разрешения, которые Вы назначаете с командой chacl,  добавлены к большему количеству общих разрешений, назначенных с командой chmod. Например, предположите, что Вы используете команду chmod, чтобы позволить только непосредственно разрешение записи myfile. Вы можете использовать команду chacl, чтобы делать исключение и позволять ваше разрешение записи администратора myfile также.

Используйте chmod с -A опцией при работе с файлами, которые имеют дополнительные назначенные разрешения. Дополнительные разрешения будут удалены.

Вот пример использования команды

$  chacl 'user.group operator mode'  file_name

где user и group указывает название  в систему пользователя и группу; знак процента (%) означает всех пользователей или группы. Оператор указывает добавление (+) или отрицание (-) разрешения и знаки "=" (=) средства " это разрешение точно. " Режим указывает позволенные разрешения: чтение  (r), запись (w), и выполнение /поиск (x). Оператор немедленно предшествует режиму (например, + rw добавляет разрешения записи и чтение; -rw запрещает  чтение и разрешения записи)

Вот еще примеры:

$ chacl 'carolyn.users=rw' myfile

     $ ll myfile

     -rw-r-----+    1 nora  users       236 Mar   8 14:23 myfile

     $ lsacl myfile

     (carolyn.users,rw-) (nora.%,rwx) (%.users,r--)(%.%,---) myfile

Для установки разрешения по умалчанию переменую окружения umask. В нем передаються параметры защиты. Напримар umask=022 (2 –w, 1 –x, 4 –r) означает что во всех открытых фыйлах по умолчаню не будет прав зяписи для групы и всех остальных пользователей.

Администратор должен установить

·     начальные права для каталога пользователя и дальше пользователь должен следить за защитой своей информации.

·     «правыльные» права на утсройства. (/dev)

Ниже привиден список команд  для системы контроля доступа файловой системы

chacl(1) - change ACLs of files.

getaccess(1) - list access rights to files.

lsacl(1) - list access control lists of files.

getaccess(2) - get a user's effective access rights to a file.

getacl, fgetacl(2) - get access control list information.

setacl, fsetacl(2) - set access control list information.

acltostr(3C) - convert ACL structure to string form.

chownacl(3C) - change owner/group represented in a file's ACL.

cpacl(3C), fcpacl(3C) - copy ACL and mode bits from one file to another.

setaclentry(3C), fsetaclentry(3C) - add/modify/delete a file's ACL entry.

strtoacl(3C) - parse and convert ACL structure to string form.

strtoaclpatt(3C) - parse and convert ACL pattern strings to arrays.

Контроль безопасности сети (networks)

Сетевые системы более узяввымие в палне защищености чем без нее (standalone). Сеть увеличивает системны доступ а так же добавляет большой риск в безопасности системы.

Если вы не можете управлять всей защитой сети то вам необходимо защищать каждую станцию отдельно.

Ниже приведены основые механизмы контроля доступом по сети

1. Перечинь  экспортиртируемыз файловых систем /etc/exports.

/etc/exports содержит входы, которые состоят из имени пути файловой системы, сопровождаемой списком компьютеров или групп компьютеров, позволенных доступ к файловой системе. Любой вход, состоящий из только имя пути без того, чтобы следоваться компьютерным названием- файловая система, доступная каждому компьютеру на сети. /etc/exports входы могли бы содержать названия групп компьютеров. Вы можете выяснять то, какие индивидуальные машины включены в группу,  проверяя /etc/netgroup.

2. Перечислить узлов, которые имеют эквивалентные базы паролей в /etc/hosts. equiv.

3. Проверить, что каждый узел в административном домене не расширяет привилегии на любых невключенных узлов.

Вы должны повторить шаги 1 и 2 для каждого узла в домене(области).

4. Конролируйте root и  локальную защиту на каждом узле в вашем административном домене Пользователь с привилегиями суперпользователя на любой машине в домене может приобретать те привилегии на каждой машине в домене. !!!

5. Поддержать последовательность названий пользователей, uid, и gid среди файлов пароля в вашем административном домене.

 6.Поддержать последовательность файлов группы на всех узлах в вашем административном домене.

Режимы, владельцы, и группы на всех системных файлах должы быть  установлены тщательно. Все отклонения от этих значений должны быть отмечены и исправлены.

Обратите внимание на файлы которые находяться в /etc. Ниже приведен список наиболее употребляемых файлов

networks                название сетей  и их адреса

hosts                       название станций а также их адреса

hosts.equiv            название и адреса станций в которые эквивалентны даной станции

services                  база данных сервисов

exports                   список экспорта файловых систем,  экспортируемых в NFS клиенту

protocols               база данныз протоколов

inetd.conf              файл конфигурации Internet

netgroup                Список сетевых групп.

Использують indetd.sec для контроля внешнего доступа. Файл находиться в /var/adm/inetd.sec

По следующему формату : <service name> <allow/deny> <host/net addresses, host/net names>

 

Мониторинг системы

Имееться набор команд для мониторинга системы. Ниже приведены краткие возможности и характеристики наиболее часто используемых:

SAR – показывает активные ресурсы сиситемы  (system activity reporter)

Запуск команды возможен в 2х вариантах:

sar [-ubdycwaqvmAMS] [-o file] t [n]

и

sar [-ubdycwaqvmAMS] [-s time] [-e time] [-i sec] [-f file]

Первая форма показывает октивность комапьютера n  раз с периодом t секунд. Если указана опция –o то информацию скидывает  в файл. По умолчанию n = 1.

Другая форма без осуществления выборки указанного интервала, sar извлекает данные от предварительно зарегистрированного файла, или тот, указанный -f опцией или, по умолчанию, стандартные действия операционной системы ежедневный файл данных /var/adm/sa/sadd  в течение текущего дня dd. Начальные и конечные времена сообщения могут быть ограничены через -s и -e параметры времени формы hh [:mm [:ss]]. -i опция выбирает отчеты в секундных интервалах. Иначе, все интервалы, найденные в файле данных сообщены.

Расмотрим опции:

-u             использование CPU.(значение по умолчанию); часть времени, выполняющегося в одном из нескольких режимов. На многопроцессорной системе, если -M опция используется вместе с -u опцией, для каждого -CPU использование также как среднее использование CPU всех процессоров. Если -M опция не используется,тогда показывает среднее использование CPU всех процессоров:

                                cpu         номер CPU(только на многопроцессорной системе с -M опцией);

%usr       использование пользователем (непgjrfривигильованый режим);

 %sys      системный режим;

%wio      простой с некоторым процессом, ожидающим Ввод - вывод (только блочных I/O, необработанный ввод /вывод, или VM обозначенные загрузки/выгрузки свопа);

                                %idle      “простой» проссора.

-b            показывает использования буфера

bread/s-                 количество физический чтений на секунду с буф. на диск.(или устройсва)

-bwrit/s                   количество физический записей  на секунду с буф. на диск.(или устройсва)

                                lread/s - lwrit/s количество байт чтения записи на устройства.

                                %rcache                                отношения  буфера- bread/lread

                                %wcache               bwrit/lwrit

                                pread/s                   Количество чтений не с блочного устройства

                                pwrit/s                    Количество записей не с блочного устройства

-d            показывает информацию о каждом block устройстве, к которому процесор имел отношение за определенный интервал времени

-y            ------- для non-block устройств ---

-с             системные вызовы

-w            свопинг и переключения системы

-a            использование файлов

-q            показывает среднюю длину сообщения и процент от занятого времени

-v            более детальная информация об использовании файлов,inode, процессов.

-m           информация о семафорах

-A            показывает всю информацию

-M           информация для индивидуального CPU в много-процесорных машинах

VMSTAT- показывает статистику виртуальной памяти

Параметры запуска комманды:

vmstat [-dnS] [interval [count]]

vmstat -f | -s | -z

-d            сообщает количество обменов между диском

-n            выводин информацию в 80 колоночном представлени. 

-S            количество прцессов которые свопяттся

interval  период отображения

count      количество повторов

-f             количество fork ( деления процесса)

-s             количество paging сообщений

-z             очищает все sum структуры ядра.

IOSTAT         мониторинг I|O устройств

Параметры запуска:

                iostat [-t] [interval [count]]

interval  период отображения

count      количество повторов

-t             отображает статистику для терминалов.

Для каждого диска статистика предоставляеться форматом:

                device                    имя устройства

bps                          количество передаваемых байт за секунду

sps                          количество seekов за секунду

msps                       в мс. средний seek

TOP    отображает состояние “горячих” процесов.

Параметры запуска:

                top [-s time] [-d count] [-q] [-u] [-n number]

-s timе                    время между обновлениями

-d count                 отображает количество и после этого выходит

-n number             количество «верхних» процесов

-q                            запускает с самым большим приоритетом (nice –20)

-u                            мвесто username показывает userID (для экономии проц. времени)

LSOF –отображает открытые файлы и процесы кто их открыл. Очень полезно для контроля доступа к устройствам.

NETSTAT показывает  состояние сети.

Параметры  запуска:

netstat [-aAn] [-f address-family] [system [core]]

netstat [-mMnrsv] [-f address-family] [-p protocol] [system [core]]

netstat [-gin] [-I interface] [interval] [system [core]]

netstat отображает статистику для сетевых интерфейсов и протоколов, также как содержания различных связанных сетью структур данных. Выходной формат изменяется согласно отобранным параметрам. Некоторые параметры игнорируются когда используется в комбинации с другими параметрами.

 Команда netstat берет одну из трех форм, показанных выше:

·     Первая форма команды отображает список активных сокетов для каждого протокола.

·     Вторая форма отображает содержание одной из других сетевых структур данных согласно отобранной опции.

·     Третья форма отображает информацию конфигурации для каждого сетевого интерфейса. Это также отображает сетевые данные трафика относительно конфигурированных сетевых интерфейсов, произвольно модифицированных в каждом интервале, измеренном мгновенно.

Опции:

-a                                            Показывает состояние всех сокетов.

-A                                            Адресный блок и протокол

-f address-family                 Показывает сокеты с определеного семейства: inet,unix (AF_INET,AF_UNIX)

-g                                             Показывает информацию о широковещательных интерфейсах

-i                                              Состояние интерфейсов

-I interface                            Состояние определленого интерфейса

-m                                           Колсичество памяти  и общая информация о сокетах

-M                                           Multicast таблица маршрутизации

-n                                            Показывать адрес сетки как номер

-p protocol                            Показывать всю статистику определьоного протокола

-r                                             Таблица маршрутизации

-s                                             Показать статистику по всех протоколах

-v                                            Дополнительная информация

Существует множество прормам мониторинга системы. Некоторые можно мониторить с помощю команды SAM. Также можно найти дополнительную информацию на сайте:

http://hpux.cae.qiax.edu