ot N. Antonov(4-12-2004)

reiting (21)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

Po statiiata na Stanislav Ievlev
Originalen dokument: linux.ru.net
Prevod sus sukrashteniia i s dopulneniia ot prevodacha

Ofitsialnata stranitsa na proekta RSBAC e www.rsbac.org. V kombinatsiia s tozi proekt e suzdadena distributsiiata Adamantix, koiato izpolzva sistemata i paketite na Debian GNU/Linux. Tozi uvoden material e kompilatsiia ot prevod i dopulneniia na bazata na opita na prevodacha v izpolzvaneto na sistemata RSBAC (N. A.).

Uvod

Predi da se zahvanem da pravim kompyutura si nepristupna krepost, triabva da vi predupredim kakvo vi ochakva. Vsiaka sistema za sigurnost vodi do ogranicheniia na vashata rabota, a serioznata sistema za sigurnost vodi do mnogo seriozni ogranicheniia. Dopulnitelnite proverki i otorizatsii ponizhavat proizvoditelnostta na iadroto, a takiva neshta kato sigurnoto iztrivane ponizhavat proizvoditelnostta na failovata sistema. Zabravete za vsesilniia superpotrebitel, zashtoto negovoto vsesilie e edin ot nai-golemite problemi na bezopasnostta. Sega vie shte imate otdelno administrator na sistemata (po-natatuk prosto administrator) i administrator po sigurnostta (po-natatuk prosto otgovornik za sigurnostta). Dvamata ne mogat da si vliiaiat edin na drug i dazhe shte se konkurirat za vlast v sistemata. Administratorut shte mozhe kato po-rano da upravliava tsialata sistema, da pravi nastroikite, da suzdava i premahva potrebiteli, da ogranichava potrebitelite spriamo polzvaneto na sistemnite resursi. Otgovornikut po sigurnostta obache shte mozhe da ogranichava vsichki potrebiteli (vklyuchitelno i administratora) po otnoshenie dostupa im do edni ili drugi danni, v tova chislo i sistemni. Naprimer, administratorut za razlika ot otgovornika mozhe da suzdava potrebiteli, no ne mozhe ruchno da redaktira failovete /etc/passwd i /etc/shadow, ako otgovornikut ne mu razreshi. Budete vnimatelni pri izvurshvaneto na opredeleni promeni, zashtoto mozhete da zabranite dostupa do sistema za VSICHKI, single user ne pomaga (sreshtu iadroto niama murdane), edinstvenoto spasenie mozhe da bude zarezhdaneto na normalno iadro. Nakraia i tova niama da vi pomogne, ako ste dobavili kriptirana failova sistema kum zarezhdaneto na iadroto.

I taka, ako nishto ot goreizbroenite neshta ne vi smushtava ili raznoskite ot zagubata na vazhna informatsiia previshavat vuzmozhnite razhodi, davaite napred! Inache prosto se postaraite da nastroite maksimalno gramotno standartnata UNIX-zashtita.

Kompilirane na iadro

Kakvo ni e neobhodimo:

1. Osnovniiat pach za iadroto -rsbac-versiia.tar.gz ili rsbac-versiia.tar.bz2

2. Instrumentite za upravlenie - rsbac-admin.tar.gz

Vzemete poslednata versiia na RSBAC. Nuzhni sa vi dva arhiva: rsbac-tekushta-versiia.tar.gz i rsbac-admin-tekushta-versiia.tar.gz. Purviiat sudurzha neobhodimite dobavki kum iadroto, a vtoriiat instrumentite za upravlenie. Triabva da suzdadem nov potrebitel v sistemata secodff da mu prisvoim uid 400. Po tozi nachin pri purvoto prezarezhdane na sistemata toi shte stane avtomatichno otgovornik po sigurnostta.

Sled kato sme razarhivirali izhodniia kod na iadroto i sme prilozhili suotvestvashtiia na versiiata na iadroto pach, s komandata make menuconfig puskame menyuto za nastroika na iadroto i s udivlenie otkrivame, che v nego ima razdel "Rule Set Based Access Control (RSBAC)". Eto taka nie se sreshtame i s temata na nasheto izlozhenie.

Sled kato sme nastroili ostanalite komponenti na iadroto, preminavame kum tochkata RSBAC i nastiskame Enter.

Tochkite, koito triabva da sa nastroeni po podrazbirane, sa slednite:

  • RSBAC proc support - v direktoriiata /proc se poiaviava poddirektoriia rsbac-info, neobhodima na programite za administrirane.
  • RSBAC maintenance kernel - kompiliraite dve iadra, kato ednoto e s vklyucheni parametri, a drugoto e bez nito edin vklyuchen parametur. Vtoroto shte ni dade posleden shans da se pochuvstvame root i mozhe da ni potriabva, ako sluchaino zagubim vsiakakuv kontrol nad sistemata.
  • support secure_delete - failovete shte se iztrivat bezvuzvratno, no tova suotvetno zabavia i rabotata na failovata sistema.
  • RSBAC individual logging - dopulnitelno protokolirane na dostupa do failovete. Log full path - ako ne vklyuchite tazi tochka, v zhurnala shte se zapisva samo imeto na faila, dostuput do koito se protokolira, a ne pulniia put do nego.
  • RSBAC extra stsistics - shte se poiavi statisticheska informatsiia v /proc/rsbac-info/xstats i dannite v zhurnala shte budat po-podrobni.

RSBAC ima modulna struktura, t.e. ima niakolko modula za avtentikatsiia, vseki ot koito kontrolira dostupa do svoite sobstveni vuzmozhnosti. Okonchatelnoto reshenie dali da se predostavi ili da se otkazhe dostuput e sumarno sled obsuzhdane na tozi vupros mezhdu vsichki moduli. Vseki modul raboti nezavisimo s izklyuchenie na modula auth, koito se izpolzva ot vsichki ostanali.

  • Modul auth - obsht kontrol nad protsesite, ne pozvoliava protsesite da smeniat svoia uid kakto im padne.
  • Modul RC (Role Compatibility) - mnogo seriozen modul za dostup na bazata na roleviia model. Reshava povecheto problemi otnosno upravlenieto na dostupa s minimalni usiliia.
  • Modul MAC (Mandatory Access Control) - predlaga mandaten model za dostup.
  • Modul ACL (Access Control Lists)- razshiriava pravata na failovete v sravnenie sus standartnite, pozvoliava kontroliraneto na takiva neshta kato dobaviane na fail v iadroto, startirane na faila, smiana na direktoriiata i drugi s tochnost do individualniia potrebitel, grupa ot potrebiteli ili rolia ot modela RC.

Kato ostavite gornite moduli, vklyuchete ostanalite i se uverete, che za vseki modul e vklyucheno samo "IME-NA-MODUL protection for AUTH module" i nishto poveche.

Sled kato vsichki nastroiki sa okonchatelno napraveni, zapisvame konfiguratsiiata i kompilirame iadroto. Oshte ot samoto nachalo shte vi napravi vpechatlenie, che shte se kompilirat dva vida iadra - edno s vklyucheni moduli i edno standartno. Purvo kompiliraite normalnoto iadro, sled tova izklyuchete optsiiata "RSBAC maintenance kernel" i bez nishto poveche da pipate, kompiliraite iadroto s vklyucheni moduli.

Vse oshte podgotvitelniiat etap ne e priklyuchen. Razarhiviraite programite za administrirane, kompiliraite gi i gi instaliraite. Na sistemata vi shte bude suzdadena direktoriia/rsbac - tova e nachatukut na bazite danni za dostup do failovete. Ako se prestaraete s nastroikite, zaredete normalno iadro i mahnete ottuk vsichki failove s izklyuchenie na useraci. Tova shte vi pozvoli da zapochnete otnachalo.

Vazhen moment: vuv versiia 1.0.9b administratorskite programi ne suzdavat direktoriia rsbac. Vmesto tiah direktoriiata suzdava samoto iadro.

I taka, imame iadro, imame programi. Pri purvoto zarezhdane shte vi zalee more ot nespravedlivi rugatni, kato nai-veche shte vidite, che se startirat samo uslugite, koito se puskat kato root. Ne se plashete, vsichko e nared.

Purvonachalno triabva da se razberem s programata login. Poblemut e, che login promenia svoia uid s uid-a na potrebitelia, koito se udostoveriava v sistemata, a kakto beshe kazano po-rano, modulut auth mnogo strogo sledi za takiva deistviia. Za da razreshim tozi problem, triabva da zaredim iadroto s parametur rsbac_auth_enable_login. Sega v sistemata veche mozhe da vliza vseki. Vlizame kato secoff.



<< Vuvedenie v RSBAC, chast II | Ne hvurliaite starite kompyutri >>