Будь умным!

У вас вопросы?
У нас ответы:) SamZan.net

К основным функциям ядра ОС UNIX принято относить следующие

Работа добавлена на сайт samzan.net:


22. К основным функциям ядра ОС UNIX принято относить следующие.

  1.  Инициализация системы – функция запуска и раскрутки. Ядро системы обеспечивает средство раскрутки (bootstrap), которое обеспечивает загрузку полного ядра в память компьютера и запускает ядро.
  2.  Управление процессами и нитями – функция создания, завершения и отслеживания существующих процессов и нитей (процессов, выполняемых на общей виртуальной памяти). Поскольку ОС UNIX является мультипроцессорной операционной системой, ядро обеспечивает разделение между запущенными процессами времени процессора (или процессоров в мультипроцессорных системах) и других ресурсов компьютера для создания внешнего ощущения того, что процессы реально выполняются в параллель.
  3.  Управление памятью – функция отображения практически неограниченной виртуальной памяти процессов в физическую оперативную память компьютера, которая имеет ограниченные размеры. Соответствующий компонент ядра обеспечивает разделяемое использование одних и тех же областей оперативной памяти несколькими процессами с использованием внешней памяти.
  4.  Управление файлами – функция, реализующая абстракцию файловой системы, иерархии каталогов и файлов. Файловые системы ОС UNIX поддерживают несколько типов файлов. Некоторые файлы могут содержать данные в формате ASCII, другие будут соответствовать внешним устройствам. В файловой системе хранятся объектные файлы, выполняемые файлы и т.д. Файлы обычно хранятся на устройствах внешней памяти; доступ к ним обеспечивается средствами ядра. В мире UNIX существует несколько типов организации файловых систем. Современные варианты ОС UNIX одновременно поддерживают большинство типов файловых систем.
  5.  Коммуникационные средства - функция, обеспечивающая возможности обмена данными между процессами, выполняющимися внутри одного компьютера (IPC - Inter-Process Communications), между процессами, выполняющимися в разных узлах локальной или глобальной сети передачи данных, а также между процессами и драйверами внешних устройств.

Программный интерфейс – функция, обеспечивающая доступ к возможностям ядра со стороны пользовательских процессов на основе механизма системных вызовов, оформленных в виде библиотеки функций

23. Файловая система

Понятие файла является одним из наиболее важных для ОС UNIX. Все файлы, с которыми могут манипулировать пользователи, располагаются в файловой системе, представляющей собой дерево, промежуточные вершины которого соответствуют каталогам, а листья – файлам и пустым каталогам. Реально на каждом логическом диске (разделе физического дискового пакета) располагается отдельная иерархия каталогов и файлов.

Каждый каталог и файл файловой системы имеет уникальное полное имя (в ОС UNIX это имя принято называть full pathname – имя, задающее полный путь, поскольку оно действительно задает полный путь от корня файловой системы через цепочку каталогов к соответствующему каталогу или файлу; мы будем использовать термин "полное имя", поскольку для pathname отсутствует благозвучный русский аналог). Каталог, являющийся корнем файловой системы (корневой каталог), в любой файловой системе имеет предопределенное имя "/" (слэш).

24. Описание принципов работы комплекса средств защиты в ОС Solaris 7

Операции с документом

  •  Send this

ОС Solaris разрабатывается в соответствии с общепринятыми стандартами в области информационной безопасности. Она полностью удовлетворяет критериям защищенности, устанавливаемым Оранжевой книгой (TCSEC, DoD CSC-STD-001-83) для систем класса С2. Solaris 2.4SE имеет сертификат соответствия классу защищенности E2/F-C2, согласно европейскому стандарту ITSEC. Сертификация версии Solaris 2.6 на соответствие классам защищенности E3/F-C2 ITSEC и C2 TCSEC еще не завершена.

Введение

Наиболее полный набор требований безопасности, соответствующий современному уровню развития критериев оценивания безопасности, содержится в Профиле защиты CS2, разработанном в соответствии с Едиными критериями оценивания безопасности ИТ. Профиль защиты CS2 устанавливает критерии защищенности для коммерческих систем, примерно соответствующих классу C2 TCSEC, а также пятому классу защищенности согласно РД ГТК “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

Согласно РД ГТК СВТ, соответствующее пятому классу защищенности, должно содержать следующие группы средств обеспечения безопасности:

  •  разграничения доступа
  •  средства очистки памяти
  •  идентификация и аутентификация
  •  регистрация и учет
  •  контроль целостности
  •  администрирование безопасности

Материал последующих разделов конструкторской документации структурирован в соответствии с перечисленными группами средств защиты. Описание средств защиты каждой группы дается в соответствии с требованиями Профиля защиты CS2, содержащего наиболее полный из имеющихся в настоящее время критериев оценивания защищенности.

Описание принципов работы КСЗ

Данный раздел содержит описание уровней защиты, а также отдельных подсистем (модулей) КСЗ, выполняемых ими функций и взаимосвязей между ними.

КСЗ ОС Solaris 7 включает в себя следующие подсистемы:

  1.  средства идентификации и аутентификации
  2.  средства разграничения доступа
  3.  средства регистрации системных событий
  4.  средства контроля и восстановления целостности системного ПО
  5.  средства выделения внешних устройств

Средства защиты ОС Solaris 7 можно разделить на черыре уровня:

  1.  Контроль входа в систему. Этот уровень содержит средства и механизмы, позволяющие системному администратору определять и контролировать кто имеет право входа в систему.
  2.  Контроль доступа к системным ресурсам. Этот уровень содержит средства и механизмы, позволяющие системному администратору определять правила разграничения доступа и осуществлять контроль их выполнения.
  3.  Защита распределенных сетевых сервисов средствами аутентификации и шифрования данных.
  4.  Контроль доступа на сетевом уровне. Этот уровень включает в себя межсетевые экраны, осуществляющие контроль и фильтрацию трафика между внутренними и внешними сетями, а также между различными сегментами локальной сети.

Рисунок 1 Уровни защиты ОС Solaris

Контроль входа в систему

Первый уровень защиты ОС Solaris включает средства, позволяющие системному администратору контролировать вход пользователей в систему, путем добавления в систему новых пользователей, удаления пользователей из системы, изменения их регистрационных данных и управления паролями пользователей. Ключевым вопросом является защита паролей пользователей. Для назначения, изменения и защиты паролей используются средства управления паролями, позволяющие администратору определять политику управления паролями, с целью повышения надежности паролей. Политика управления паролями определяет сроки действия паролей, сложность паролей, порядок их назначения и хранения и т. п. Средства управления паролями ОС Solaris включают базовые средства и средства контроля удаленного входа в систему.

1. Базовые средства управления паролями ОС Solaris включают в себя:

Проверка паролей при входе пользователя в систему

Осуществляется проверка введенного пользователем пароля с паролем  этого пользователя, хранящимся в специальном файле паролей в зашифрованном виде. Пользователю разрешается вход в систему только, если проверка проверка пароля завершается удачно.

Поддержка старения паролей

Средства поддержки старения паролей позволяют администратору установить дату истечения действия пароля. При приближении этой даты пользователю будет сообщено об истечении срока действия его пароля и будет предложено установить новый пароль. В случае если срок действия пароля истек, а новый пароль не был установлен, пользовательский бюджет будет заблокирован.

Запрет на повторное использование паролей

Это средство не позволяет пользователю установить пароль, который он уже использовал ранее. Это повышает надежность паролей, т. к. чем дольше используется один и тот же пароль, тем выше вероятность его раскрытия.

Проверка сложности паролей

Средство проверки сложности паролей позволяет гарантировать, что устанавливаемые пользователями пароли будет трудно подобрать. С этой целью осуществляется проверка  количества букв и цифр в пароле.

Все пароли храняться в файле /etc/shadow, недоступном для чтения и модификации всеми пользователями системы, за исключением пользователя root

Блокирование неактивных пользовательских бюджетов

Средство блокирования неактивных пользовательский бюджетов позволяет администратору установить дату истечения срока действия пользовательского бюджета. По истечению этого срока пользовательский бюджет будет заблокирован.

2. Контроль удаленного входа в систему по коммутируемым каналам связи

Базовые средства контроля удаленного доступа ОС Solaris обеспечивают парольную защиту доступа к портам ввода-вывода, используемым для подключения модемов. Если для модемного порта был установлен пароль, то при удаленном входе в систему пользователь должен сначала ввести этот пароль и, в случае успеха, осуществляется формальная процедура входа в систему, включающая аутентификацию пользователя.

Линия программных продуктов Sun Security Manager дополнительно содержит следующие средства контроля входа в систему:

  •  ограничение времени, в течении которого разрешается вход в систему;
  •  автоматическое блокирование входа в систему после определенного количества неудачных попыток аутентификации;
  •  автоматическое блокирование или завершение интерактивного сеанса работы пользователя после заданного периода неактивности;
  •  дополнительный контроль получения полномочий суперпользователя, дополнительно требующий введения специального пароля.

Контроль доступа к системным ресурсам

На этом уровне осуществляет контроль доступа к системным ресурсам со стороны пользователей, успешно зарегистрировавшихся в системе, и запущенных ими процессов.

В состав базовых средств защиты этого уровня входят следующие программые пакеты:

Подсистема контроля и восстановления целостности системного ПО ASET

Подсистема ASET позволяет администратору оценить общую защищенность системы и установить параметры системы в соответствии в выбранным уровнем безопасности. Имеется три предопределенных уровня безопасности: низкий, средний и высокий.

Проверки состояния системы осуществляются периодически, при этом администратор системы извещается о потенциальных брешах в защите. Проверки, производимые ASET, включают в себя:

  •  Существование пароля для программы EEPROM, предотвращающего загрузку системы в однопользовательском режиме неуполномоченным на это лицом.
  •  Неправильное использование переменной UMASK, определяющей права доступа к файлам, устанавливаемые по-умолчанию при их создании.
  •  Неправильное использование переменной PATH, определяющей порядок просмотра каталогов для запуска программы.
  •  Права доступа к системным файлам.
  •  Наличие новых программ с установленным битом смены владельца при запуске.
  •  Права доступа к домашним каталогам пользователей.
  •  Содержимое файлов .rhosts, /etc/passwd, /etc/group.
  •  Размеры файлов в каталогах /usr/bin и /bin.

Сообщения о выявленных брешах в защите могут посылаться администратору по электронной почте.

На низком уровне безопасности проверяется установка прав доступа к файлам  в свое начальное состояние, в котором они находились после установки системы. На этом уровне осуществляется ряд проверок и администратору сообщается об обнаруженных уязвимостях.

В большинстве случаев адекватную защиту обеспечивает средний уровень безопасности. На этом уровне ASET изменяет права доступа к некоторым системным файлам (таким как ttytab, host.equiv и т. п.) и определенные параметры системы, связанные с безопасностью. Кроме того, на этом уровне выполняются дополнительные проверки защищенности системы.

При выборе высокого уровня безопасности достигается наибольшая защищенность. Многие системные файлы и параметры устанавливаются таким образом, чтобы обеспечить минимальный уровень доступа. На этом уровне безопасности отключается маршрутизация IP-пакетов и проверяются параметры межсетевого экрана (МЭ).

Средства разграничения доступа к файлам

ОС Solaris поддерживает два механизма разграничения доступа к файлам:

  •  страндартные средства ОС UNIX устрановки прав доступа к файлам, совместимые со спецификацией SVID
  •  списки контроля доступа (ACL), совместимые со спецификацией POSIX 1003.6, поддерживаются для UFS и NFS версий 2 и 3.

Стандартные средства разграничения доступа к файлам позволяют устанавливать права на чтение, запись и выполнение для следующих категорий пользователей: владельца файла, группы владельца и всех остальных. Существенным ограничением этого механизма является то, что он не позволяет определять права доступа к файлу для конкретного пользователя или группы.

Механизм разграничения доступа, основанный на списках контроля доступа (ACL), расширяет стандартный средства, позволяя определять права доступа к файлу для любого конкретного пользователя и группы. Список контроля доступа содержит записи контроля доступа к файлу, определяющие полномочия отдельных пользователей и групп. 

Рисунок 2 Списки контроля доступа к файлам

Подсистема регистации и учета

Подсистема регистрации и учета ОС Solaris содержит две группы средств, позволяющих осуществлять регистрацию системных событий и осуществлять анализ полученных данных:

  •  стандартные средства регистрации системных событий
  •  подсистема аудита безопасности

Стандартные средства регистрации системных событий позволяют регистрировать события, связанные с входом в систему, использованием системных ресурсов, пользовательских квот и т. п. в системных журналах (syslogs). Многие модули ОС используют системные журналы для регистрации событий, связанных с их функционированием и извещения администратора о наступлении этих событий. Этот механизм может быть расширен путем написание специальных сценариев Shell (wrappers) с целью отслеживания конкретных ситуаций.

Подсистема аудита безопасности ОС Solaris является более мощным средством регистрации и анализа системных событий по сравнению с системными журналами, позволяющее производить более детальный анализ событий происходящих в системе. Аудит безопасности позволяет осуществлять регистрацию отдельных типов и классов событий для конкретных пользователей в соответствии с политикой аудита. Политика аудита устанавливается администратором безопасности. Регистрация событий может осуществляться на уровне системных вызовов.

Общая схема КСЗ

Рисунок 3 Общая схема КСЗ ОС Solaris




1. Понятие предмет и метод конституционного права как науки и учебной дисциплины
2. PsR ~ Tour Tourist Compny - Туристская Компания 670000 г
3. Синхронность или одновременный оргазм
4. х представленных в группе Музыкальные выборы Сейма вКонтакте
5. Виникнення історичного мовознавства і порівняльно-історичного методу дослідження мов
6. Етика аудитора.html
7. Любой электрический параметр потенциал сила тока сопротивление и др
8. Государственное устройство Австралии
9. сведения об объектах и явлениях окружающей среды их параметрах свойствах и состоянии
10. Визначення якостей котлової, тепломережевої води і конденсату
11. тематика коммуникацияхудожественное творчество конструирование в старшей группе с использованием Мон
12. Основы охраны труда
13. 2011г 2011г
14. Доклад- Черкесы
15. Зеркала зубные гортанные носоглоточные
16. Всероссийский учебнонаучнометодический центр по непрерывному медицинскому и фармацевтическому образов.html
17. правові умови здійснення даного проекту
18. Тема- Підбір обезпилуючого обладнання
19. Let's tlk bout friendship. Wht role do friends ply in your life s we live in society we meet lot of people during our lives
20. Україна 2011. ~ 295 с

Материалы собраны группой SamZan и находятся в свободном доступе