ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №6

Тема:          Разграничение полномочий и доступа к объектам операционной системы Unix

Цель:           сформировать умения разграничения полномочий и доступа к объектам операционной системы Unix

Оборудование: персональный компьютер, ОС Windows XP

Вид работы: групповой

Время выполнения: 4 часа

Задания к практической работе

1. Выбрать при загрузке операционной системы вариант Linux.

2. После загрузки операционной системы начать сеанс работы с указанными преподавателем именем и паролем.

3. Изучить способы регистрации пользователей и групп в системе:

а) запустить соответствующую системную программу (Главное меню | Система | Настройка | Прочие | Администрирование пользователей);

б) освоить использование функций программы для управления списком отображаемых пользователей и групп (включая системных или без них);

в) освоить применение команд программы для добавления, редактирования и удаления учетных записей пользователей и групп;

г) создать учетную запись для себя, включив ее в группу «Users»;

д) освоить использование функций программы для управления свойствами пароля пользователя (минимального и максимального сроков действия, срока для предупреждения об окончании срока действия, срока для отключения учетной записи после истечения срока действия пароля);

е) запустить программу «Поиск файлов» (Главное меню | Поиск | Поиск файлов), найти и просмотреть в каталоге /etc файлы passwd, group, shadow и gshadow.

4. Включить в отчет о лабораторной работе ответы на следующие вопросы:

а) какая информация указывается при создании нового пользователя (привести пример);

б) какая информация указывается при создании новой группы (привести пример);

в) какой формат имеют записи файла passwd (привести пример);

г) какой формат имеют записи файла group (привести пример);

д) какой формат имеют записи файла shadow (привести пример) и для чего используется этот файл;

е) какой формат имеют записи файла gshadow (привести пример) и для чего используется этот файл.

Для выполнения заданий этого пункта копировать в буфер содержимое соответствующего конфигурационного файла и вставлять его из буфера в нужное место отчета о выполнении лабораторной работы.

5. Изучить средства управления настройками безопасности:

а) запустить соответствующую системную программу (Главное меню | Система | Настройка | Центр управления | Безопасность и конфиденциальность);

б) открыть закладки «Конфиденциальность», «Криптография», «Профиль пользователя»;

в) ознакомиться с параметрами настройки безопасности.

6. Включить в отчет о лабораторной работе ответы на следующие вопросы:

а) какие параметры конфиденциальности предусмотрены в программе;

б) какие параметры настройки криптографии предусмотрены;

в) какие параметры профиля пользователя предусмотрены;

г) какие еще виды настроек безопасности предусмотрены в программе.

7. Начать сеанс от имени созданной при выполнении п. 3.г учетной записи (Главное меню | Переключить пользователя).

8. Освоить средства изменения пароля текущего пользователя (Главное меню | Система | Настройка | Центр управления | Безопасность и конфиденциальность | Профиль пользователя).

9. Продолжить сеанс от имени первоначально использованной (в п.2) учетной записи.

10. Освоить средства блокировки терминала при временном отсутствии пользователя:

а) немедленная блокировка (Контекстное меню Рабочего стола | Заблокировать сеанс или Главное меню | Заблокировать сеанс);

б) использование хранителя экрана (Контекстное меню Рабочего стола | Настроить Рабочий стол | Хранитель экрана).

11. Включить в отчет о лабораторной работе ответы на следующие вопросы:

а) в чем разница между изученными средствами блокировки терминала и какой из них является, на Ваш взгляд, более предпочтительным и почему;

б) какие параметры используются при настройке хранителя экрана.

12. Освоить средства разграничения доступа к файлам:

а) с помощью программы «Поиск файлов» (см. п. 3.е) или Рабочий стол | Устройства | Устройство 10G и команды «Свойства» контекстного меню файла (закладка «Права») получить и включить в отчет о лабораторной работе права доступа пользователей к файлам passwd, group, shadow и gshadow (каталог /etc), каталогу /etc, файлу /usr/bin/passwd, домашнему каталогу созданной при выполнении п. 3.г учетной записи (в каталоге /home), каталогу /tmp;

б) с помощью системной консоли (Главное меню | Система | Консоль (Терминал) или аналогичная команда) выполнить команды umask (получение значения переменной среды umask в восьмеричном виде) и umask -S (получение значения переменной среды umask в символическом виде).

Для выполнения заданий этого пункта включить в отчет о выполнении лабораторной работы таблицу, 8 строк которой соответствуют указанным в пп. а файлам и каталогам, а 6 столбцов – трем видам доступа (чтение, запись, выполнение) и трем дополнительным битам (SUID, SGID, Sticky).

13. Включить в отчет о лабораторной работе ответы на следующие вопросы:

а) почему для файлов и каталогов, перечисленных в п. 12.а, установлены именно такие права доступа (дать пояснение по каждому файлу и каталогу);

б) почему для файла /usr/bin/passwd установлен дополнительный бит прав доступа SUID;

в) в чем смысл использования и потенциальная опасность дополнительных битов доступа SUID и SGID;

г) какая политика разграничения доступа к файлам используется в операционной системе Linux и чем она отличается от политики разграничения доступа к объектам в защищенных версиях операционной системы Windows;

д) для чего используется переменная среды umask и что означает ее значение, определенное при выполнении п. 12.б;

е) кто может изменять права доступа к файлам и каталогам в системе Linux.

14. Освоить средства определения параметров политики аудита и просмотра журнала аудита:

а) открыть файл /etc/syslog.conf;

б) включить в отчет о лабораторной работе сведения о правах доступа к файлу /etc/syslog.conf (аналогично п. 12) и формате записи этого конфигурационного файла (привести пример, используя буфер для переноса содержимого файла в отчет о выполнении лабораторной работы);

в) открыть файл /var/log/secure и ознакомиться с его содержимым (использовать буфер для переноса содержимого файла в отчет о выполнении лабораторной работы);

г) открыть файл /var/log/messages и ознакомиться с его содержанием (использовать буфер для переноса содержимого файла в отчет о выполнении лабораторной работы);

д) включить в отчет о лабораторной работе сведения о правах доступа к файлам, указанным в п.п. 14.в и 14.г (аналогично п. 12).

15. Включить в отчет о лабораторной работе ответы на следующие вопросы:

а) в чем назначение файла /etc/syslog.conf и какая информация в нем содержится;

б) почему к файлам /etc/syslog.conf, /var/log/secure и /var/log/messages определены именно такие права доступа;

в) как может быть задана реакция на то или иное событие и в чем может заключаться эта реакция (помимо записи в журнал аудита).

16. Ознакомиться с содержимым файлов, находящихся в каталоге /etc/pam.d (на примере файла login, используя буфер для переноса содержимого файла в отчет о выполнении лабораторной работы). Включить в отчет о выполнении лабораторной работы содержимое файла passwd из этого каталога и ответ на вопрос о назначении файлов из этого каталога.

17. Если в системе установлена программа gpg (Главное меню | Дополнительные приложения), то освоить предоставляемые этой программой средства шифрования (расшифрования) файлов и текстовых сообщений. Включить в отчет о выполнении лабораторной работы сведения о вариантах использования этой программы.

18. Сохранить отчет о выполнении лабораторной работы в виде текстового файла (созданного, например, с помощью редактора KWrite − Главное меню | Дополнительные приложения | Редакторы) в своем домашнем каталоге (в подкаталоге с идентифицирующим Вас именем). Определить для этого файла права доступа, позволяющие всем другим пользователям только знакомиться с его содержанием.

19. После проверки отчета преподавателем удалить файл с отчетом, предварительно сохранив его на дискете в формате HTML (с помощью Рабочий стол | Устройства | Floppy), и завершить сеанс работы (Главное меню | Завершить сеанс | Выключить компьютер).

20. Включить в отчет о лабораторной работе ответы на контрольные вопросы в соответствии с выданным преподавателем списком.

Контрольные вопросы

1. Какие предопределенные учетные записи пользователей существуют в Unix-системах и для кого (чего) они предназначены?

2. Какие предопределенные учетные записи групп существуют в Unix-системах и для кого (чего) они предназначены?

3. Какие параметры учетной записи пользователя определяют его полномочия в Unix-системе?

4. Как могут быть ограничены полномочия пользователя в Unix-системе (укажите все известные Вам способы)?

5. Как ограничиваются полномочия пользователя в Unix-системе при  использовании ограниченной оболочки?

6. В чем потенциальная опасность «ручного» изменения администратором Unix-системы идентификаторов учетных записей и групп (в том числе назначение одного идентификатора разным пользователям)?

7. Как ограничиваются полномочия пользователя в Unix-системе при  использовании ограниченной файловой системы?

8. Для чего используется «теневой» файл паролей?

9. Как сохраняются пароли пользователей в файле учетных записей Unix-системы?

10. Для чего при сохранении паролей пользователей в Unix-системах используются случайные значения?

11. Где и как сохраняются пароли пользователей в незащищенных версиях операционной системы Windows?

12. Где и как сохраняются пароли пользователей в защищенных версиях операционной системы Windows?

13. Какой из алгоритмов хеширования паролей, используемых в защищенных версиях операционной системы Windows, является менее стойким и почему?

14. Для чего в защищенных версиях операционной системы Windows используется программа syskey?

15. Какие способы сохранения ключа шифрования существуют в программе syskey? В чем их недостатки?

16. Какой должна быть, на Ваш взгляд, минимальная длина пароля пользователя в Unix-системе и почему именно такой?

17. Какие средства блокирования временно оставленного терминала существуют в Unix-системах (укажите все известные Вам способы)?

18. В чем потенциальная опасность использования хранителя экрана при блокировании временно оставленного терминала?

19. Для чего в Unix-системах предусмотрены сменные модули аутентификации (PAM)?

20. Какие типы модулей PAM предусмотрены в Unix-системах?

21. Какие параметры настройки парольной аутентификации могут быть использованы в Unix-системах?

22. Какие способы несанкционированного доступа к компьютерной информации Вам известны?

23. Какие способы аутентификации, помимо парольной, существуют?

24. В чем сущность аутентификации на основе модели «рукопожатия»?

25. В чем достоинства и недостатки аутентификации на основе модели «рукопожатия»?

26. Какие элементы аппаратного обеспечения могут быть использованы в качестве носителей аутентифицирующей пользователя информации?

27. В чем основные достоинства аутентификации на основе биометрических характеристик пользователя?

28. Какие способы аутентификации пользователей на основе особенностей их работы за компьютером Вы знаете? В чем специфика этих способов?

29. Какую структуру имеет файловая система Unix?

30. Как образуется составное имя файла в Unix-системах?

31. Какая информация содержится в каталоге в Unix-системах?

32. Что содержится в индексе файла в Unix-системах?

33. Где и как задаются права доступа к файлу в Unix-системах?

34. Какие типы доступа существуют в Unix-системах? В чем их специфика для каталогов?

35. Какие права доступа к файлам в Unix-системах имеет суперпользователь root? В чем разница в правах доступа к объектам суперпользователя Unix и администратора Windows?

36. Какие права доступа определяет следующий вектор доступа “rwxr-xr—“?

37. Где определяются права доступа к области индексов файловой системы Unix?

38. Для чего предназначен 4-й (дополнительный) бит доступа в группе битов прав доступа владельца файла (setuid) в Unix-системах?

39. В чем потенциальная опасность использования 4-го (дополнительного) бита доступа в группе битов прав доступа владельца файла (setuid) в Unix-системах? Что необходимо предпринять для защиты от подобной угрозы?

40. Для чего предназначен 4-й (дополнительный) бит доступа в группе битов прав доступа членов группы владельца файла (setgid) в Unix-системах?

41. Для чего предназначен 4-й (дополнительный) бит доступа в группе битов прав доступа остальных пользователей (sticky) в Unix-системах? Кто и зачем может его использовать для каталогов?

42. Для чего в Unix-системах предназначена системная переменная umask?

43. Что определяет системная переменная Unix umask со значением 022?

44. Где и как определяются права доступа к объектам в защищенных версиях операционной системы Windows?

45. Какой алгоритм используется при разрешении доступа к объекту в защищенных версиях операционной системы Windows?

46. Как определяются права доступа к вновь создаваемым объектам в защищенных версиях операционной системы Windows?

47. Для чего предназначен файл /etc/syslog.conf в Unix-системах?

48. Какая реакция на события аудита может быть определена в Unix-системах?

Списки контрольных вопросов для письменного ответа

Скачано с www.znanio.ru