Лясин Д.Н., Саньков С.Г. Методы и средства защиты компьютерной информации
Подождите немного. Документ загружается.
прочитать его с помощью команды cat) и для того, чтобы перейти в каталог, т.е.
сделать его текущим с помощью команды cd. Кроме того, для того чтобы сделать
каталог текущим, право на выполнение необходимо иметь для всех каталогов на
пути к указанному. Права r и x действуют независимо, право х для каталога не
требует наличия права r, и наоборот. Комбинацией этих двух прав можно добиться
интересных эффектов, например, создания «темных» каталогов, файлы которых
доступны только в случае, если пользователь заранее знает их имена, поскольку
получение списка файлов таких каталогов запрещено. Создание, удаление и
переименование файлов требует наличия прав w и x на каталог. При этом при
удалении файлов не учитываются права доступа для самого файла. Т.е. если
пользователь имеет право w на каталог, то он может удалить в нем файл, на который
не имеет никаких прав. Можно изменить подобное поведение операционной
системы с помощью специальных дополнительных флагов, которые будут
рассмотрены ниже.
Операционная система UNIX производит проверку прав доступа при создании,
открытии (для чтения или записи), запуске на выполнение или удалении файла. При
этом выполняются следующие проверки:
1. Если операция запрашивается суперпользователем (с UID=0), доступ
разрешается. Никакие дополнительные проверки не производятся. Это позволяет
администратору иметь неограниченный доступ ко всей файловой системе.
2. Если операция запрашивается владельцем файла, то доступ разрешается при
условии, что требуемое право доступа определено для владельца-пользователя, в
противном случае доступ запрещается.
3. Если операция запрашивается пользователем, являющимся членом группы,
которая является владельцем файла, то доступ разрешается при условии, что
требуемое право доступа определено для владельца-группы, в противном случае
доступ запрещается.
4. Если требуемое право доступа для прочих пользователей (other) установлено,
доступ разрешается, в противном случае доступ запрещается.
120
Система проводит проверки именно в указанной последовательности.
Например, если пользователь не является владельцем файла, но является членом
владельца-группы, то доступ определяется исключительно из прав владельца-
группы, права, указанные для остальных пользователей, не проверяются. Например,
-rwx --- r-- 2 root guest 1056 Jun 1 19:13 special.info
Если пользователь gstuser является членом группы guest, то доступ к файлу
special.info для него будет запрещен, хотя все остальные пользователи, не входящие
в эту группу, имеют право чтения на этот файл. Эта возможность позволяет
выделять группы пользователей, обладающих ограниченными правами.
Помимо рассмотренных основных прав доступа, имеются еще
дополнительные права. Это биты SUID, SGID и Sticky-бит. Данные биты можно
установить или убрать с помощью стандартной утилиты chmod. При использовании
символьного режима данные биты указываются буквами s и t соответственно, а при
использовании числового режима SUID соответствует 4000, SGID – 2000 и Sticky-
бит – 1000. При просмотре прав доступа данные биты указываются вместо
соответствующих битов x строчными буквами s и t. Следует отметить, что в
большинстве случаев использование данных битов без установки соответствующих
битов x лишено смысла (например установка SUID без установки бита x для
владельца файла). Поэтому в этом случае при просмотре прав доступа биты будут
указаны прописными буквами S и T, что указывает на некорректное их
использование.
Рассмотрим область применения дополнительных битов. Биты SUID и SGID
позволяют установить для файлов EUID и EGID процесса, равными UID или GID
владельца-пользователя и владельца-группы файла. Sticky-бит для файлов считается
устаревшим режимом и в современных системах практически не используется. Для
каталогов бит SGID задает режим, при котором при создании файла владельцем-
группой становится группа, владеющая каталогом. Это позволяет некоторым Unix
системам имитировать поведение систем версии BSD, для которых такое правило
наследования действует по умолчанию. Sticky-бит для каталогов устанавливает
режим, при котором пользователь может удалять файлы из каталога, только если он
121
имеет право w для этих файлов. Это перекрывает режим по умолчанию, при
котором для удаления файлов достаточно только прав w и x на сам каталог.
Примером использования данного режима может служить каталог /tmp, который
является открытым на запись для всех пользователей, но в котором может оказаться
нежелательной возможность удаления пользователем чужих временных файлов.
Кроме рассмотренных выше прав доступа, в некоторых системах используются
дополнительные права доступа. Например, в BSD системах существует
специальный флаг noschg, установка которого запрещает изменять и удалять файл.
Кроме того, некоторые современные версии систем Unix поддерживают управление
списками доступа ACL.
Как уже было отмечено, права процессов зависят от прав пользователя,
запустившего процесс. В операционных системах семейства Unix процессы имеют
четыре идентификатора, связанных с правами доступа. Это идентификаторы
пользователя RUID, EUID (реальный и эффективный) и идентификаторы группы
RGID, EGID. RUID и RGID всегда устанавливаются равными UID и GID
пользователя, запустившего процесс. По умолчанию EUID и EGID также будут
равны UID и GID пользователя, запустившего процесс. Однако, как было отмечено
выше, если для файла установлены биты SUID или SGID, то EUID и EGID будут
равны UID и GID владельца-пользователя и владельца-группы соответственно. В
качестве примера можно привести утилиту passwd, владельцем которой является
root, и у нее установлен бит SUID. Это дает право любому пользователю изменять
свой пароль и сохранить изменения в файле паролей. Стоит также отметить, что в
любом случае утилита passwd может по битам RUID и EUID определить, запустил
ее суперпользователь, либо другой пользователь от имени суперпользователя. И
соответственно для обычных пользователей она может предоставить лишь
ограниченные права. Например, суперпользователь может изменять пароль любого
пользователя, даже не зная его старого пароля. При запуске дочерних процессов они
наследуют права доступа родительского процесса. Поэтому устанавливать биты
SUID и SGID следует с большой осторожностью и только для программ, которые не
имеют возможности запуска произвольных задач, поскольку, например, командный
122
интерпретатор, запущенный от имени суперпользователя, предоставляет почти
неограниченные возможности.
Как уже было отмечено, суперпользователь обладает неограниченными
правами. Для работы в системе с правами суперпользователя можно просто войти в
систему под именем root. Однако данный режим не рекомендуется использовать,
поскольку, во-первых, при работе под именем root не ведется никаких записей о
том, какие действия выполнял суперпользователь, во-вторых, сценарий регистрации
суперпользователя не предполагает сбора никакой другой идентифицирующей
информации (например, если под именем root могут входить несколько человек,
невозможно определить, кто именно произвел вход в систему) и, в-третьих, любые
неосторожные действия могут привести к необратимым последствиям. Поэтому для
обеспечения большей безопасности регистрация под именем root запрещена на
терминалах и по сети, т.е. везде кроме системной консоли.
Для того чтобы другой пользователь мог выполнять операции от имени root,
существует 2 варианта: команда su и утилита sudo. Для использования команды su,
пользователь должен войти в систему под любым произвольным именем и затем
вызвать команду su без параметров. При этом будет запрошен пароль
суперпользователя, и в случае указания правильного пароля, будет запущен
командный интерпретатор с правами суперпользователя. Во многих системах
пользователь должен также являться членом группы с GID=0. В общем случае
команда su позволяет запускать командный интерпретатор от имени любого
пользователя, указанного в качестве параметра. Команда su предназначена, в
основном, для системных администраторов, а не для обычных пользователей. В
некоторых случаях может возникнуть необходимость разрешить для некоторых
пользователей выполнение некоторых команд от имени суперпользователя. Для
этого можно использовать утилиту sudo. Программа sudo принимает в качестве
параметра командную строку, которая подлежит выполнению с правами
пользователя root. В файле /usr/local/etc/sudoers содержится список пользователей
и перечень команд, которые они имеют право выполнять на указанных машинах.
Если все разрешения совпадают, то перед выполнением указанной команды sudo
123
запрашивает у пользователя его пароль и выполняет указанную команду от имени
суперпользователя. Программа sudo ведет файл регистрации выполненных команд,
а также вызвавших их пользователей и времени вызова. Редактировать файл sudoers
может только суперпользователь с помощью специальной утилиты visudo. Он
должен соблюдать большую аккуратность при установке разрешений в файле
sudoers и должен предоставить пользователям минимальный набор команд,
достаточный для выполнения требуемых операций.
Таким образом, можно сделать вывод, что подсистема безопасности ОС
семейства Unix достаточно эффективна, и большинство систем Unix по всем
параметрам соответствуют классу безопасности C2. Однако стоит отметить, что
администратор системы должен очень ответственно подходить к вопросам
безопасности, поскольку какое-либо некорректное действие (например,
предоставление пользователям возможности доступа к файлу паролей, возможности
запуска командного интерпретатора с правами root, возможности запуска
непроверенных или ненадежных скриптов и программ от имени суперпользователя)
могут свести на нет все достоинства системы безопасности Unix.
Подсистема аудита в операционных системах семейства UNIX позволяет
эффективно отслеживать действия пользователей в системе. В большинстве
операционных систем семейства Unix используется централизованная система
регистрации системных сообщений Syslog. Данная система позволяет
администратору вести полный контроль за сообщениями как самой системы и
системных процессов, так и прикладных процессов. Она обладает очень большой
гибкостью и позволяет сортировать сообщения как по источникам, так и по степени
важности и направлять их в различные пункты назначения: в журнальные файлы, на
терминалы пользователей и даже на другие машины в сети. Таким образом,
администратор может организовать централизованную процедуру регистрации
системных сообщений во всей сети.
Система Syslog состоит из трех компонентов:
- демона syslogd, который осуществляет регистрацию событий;
124
- библиотечных функций openlog(),syslog(),closelog(), которые передают
сообщения демону syslogd;
- команды logger, которая принимает сообщения от интерпретатора команд.
Демон syslogd запускается во время начальной загрузки системы и работает
непрерывно. Процессы и демоны взаимодействуют с этим демоном через
библиотечные функции syslog, openlog, closelog, которые описаны в /usr/include/sys/
syslog.h. Файл /etc/syslog.conf является конфигурационным файлом демона syslogd.
Для того что бы демон перечитал файл конфигурации, ему необходимо послать
сигнал HUP.
125
Сам файл конфигурации состоит из строк вида
селектор <Tab> действие
Пустые строки и строки, начинающиеся с символа ‘#’, игнорируются.
Допускается наличие нескольких символов табуляции между селектором и
действием, однако использование пробелов в качестве разделителей не допускается.
Это может приводить к скрытым ошибкам при использовании различных
редакторов, поэтому администратор должен быть очень внимательным при
редактировании данного файла.
Формат селектора следующий:
средство.уровень
где средство указывает источник сообщений, а уровень определяет уровень
серьезности сообщения. И имена средств, и уровни имеют стандартный набор
значений, администратор не может использовать произвольные значения для них.
Допускается также использование символов ‘*’ и none в качестве значений средства
и уровня. Эти символы обозначают «все» и «ничего» соответственно. Допускается
указание нескольких селекторов, разделенных символом ';' или ',' в одной строке.
Например
средство1.уровень1;средство2.*;*.уровень3 <Tab> действие
В этом случае селекторы объединяются по схеме «ИЛИ», т.е. действие будет
выполнено для сообщения, соответствующего любому из селекторов. Базовый набор
средств и уровней приведен в таблицах 6.1 и 6.2 соответственно [13].
Таблица 6.1
Средства системы syslog.
Средство Программы и сообщения, которые его используют
Kern Ядро системы
User Пользовательские процессы (по умолчанию, если не указано иное )
Mail Система sendmail и другие почтовые программы
Daemon Системные демоны
Auth Команды, связанные с безопасностью и авторизацией
Lpr Система буферизации печати
News Система телеконференций usenet
Cron Демон cron
Mark Метки времени, генерируемые через определенные промежутки
126
времени
Таблица 6.2
Уровни серьезности системы syslog
Уровень Значение
Emerg Экстренные ситуации
Alert Срочные ситуации
Crit Критические состояния
Err Ошибочные состояния
Warning Предупреждающие сообщения
Notice Необычные события, заслуживающие внимания
Info Информационные сообщения
Debug Отладочные сообщения
Уровень сообщения определяет его важность. В таблице 6.2 уровни приведены
в порядке убывания важности. По умолчанию в файле syslog.conf указывается
минимальная важность, которую должно иметь сообщение, чтобы быть
зарегистрированным. Другими словами, если указано
mail.warning <tab> действие1
то «действие1» будет выполнено для всех сообщений от почтовой подсистемы
с уровнями warning, а также с уровнями err,crit,alert и emerg. В BSD системах
допускается также дополнительные возможности указания уровня. Например,
mail.>=warning – аналогично использованию mail.warning; mail.=warning – для
регистрации сообщений только уровня warning; mail.<=warning - для регистрации
сообщений уровня warning и ниже; mail.<warning - для регистрации сообщений
ниже уровня warning; mail.>warning - для регистрации сообщений выше уровня
warning.
Действие определяет, что нужно делать с сообщением. Возможны следующие
варианты: имя_файла – записать сообщение в указанный файл (необходимо
использовать абсолютный путь к файлу); @имя_машины – переслать сообщение
демону syslogd на машину с указанным именем; @ip_адрес – переслать сообщение
демону syslogd на машину с указанным IP адресом; пользователь1, пользователь2
– вывести сообщение на терминалы указанных пользователей; * - вывести
сообщение на терминалы всех пользователей.
127
По умолчанию демон syslogd работает на 514 UDP порту, можно использовать
флаг ss при запуске демона, для запрета работы по сети. Кроме того, в BSD системах
допускается регистрация сообщений от прикладных процессов, которые не
соответствуют ни одному стандартному средству. Для этого используется
следующий синтаксис.
!myprog
*.error /var/log/myprog_error.log
*.* /var/log/myprog.log
В этом случае после строчки !myprog в качестве средства подразумевается
процесс myprog, вплоть до следующей строчки со знаком ‘!’.
Следует также особо отметить, что демон syslogd не создает файлы, указанные
в поле «действие», и для его корректной работы файлы должны уже существовать.
Для создания файлов можно использовать команду touch или использовать
специальную утилиту newsyslog, которая будет рассмотрена далее. Администратор
должен быть особенно осторожным при задании прав доступа для журнальных
файлов, поскольку в этих файлах может оказаться некоторая важная информация и
даже в некоторых случаях пароли пользователей.
В процессе работы системы объем журнальных файлов может значительно
увеличиться. Работать с большими файлами не очень удобно, кроме того, если не
предпринимать никаких действий, эти файлы могут заполнить все свободное
пространство на жестком диске. Кроме того, администратору вряд ли будет полезна
информация с очень большим сроком давности. Поэтому периодически необходимо
архивировать старые журнальные файлы. В большинстве систем для этого
применяется утилита newsyslog. Данная утилита использует принцип ротации
журнальных файлов. Это означает, что хранится несколько заархивированных
версий файлов, и при необходимости текущий журнальный файл архивируется, все
версии переименовываются, а самая старая версия удаляется. По умолчанию
утилита newsyslog запускается демоном cron каждый час и проверяет
необходимость архивации тех или иных файлов. Файл /etc/newsyslog.conf является
файлом конфигурации этой утилиты. Использование утилиты newsyslog позволяет
128
администратору очень гибко и эффективно настроить процедуру архивации
журнальных файлов. Кроме того, утилита newsyslog после архивации файла создает
пустой файл с указанными правами доступа, что облегчает использование системы
syslog.
Файл newsyslog.conf состоит из текстовых строк, содержащих следующие поля:
logfilename – имя журнального файла, owner.group – имя пользователя и группа,
которые будут использованы в качестве владельцев для нового журнального файла;
mode – режим доступа для нового журнального файла; count – количество архивных
копий файла, которые необходимо хранить; size – выполнять архивацию и ротацию
журнального файла, заданного в поле logfilename, если его размер превысил
указанное количество килобайт; time - выполнять архивацию и ротацию
журнального файла, если с момента последней архивации прошло указанное
количество часов; ZB – поле флагов, если присутствует флаг Z, то файлы должны
архивироваться при ротации, если присутствует флаг B, то файл считается
двоичным и newsyslog не будет добавлять в этот файл никакой своей информации
(по умолчанию newsyslog добавляет в новый созданный файл текстовую строку); в
последних двух полях задается файл, в котором хранится идентификатор процесса и
номер сигнала. Если эти поля не пустые, то после создания нового файла указанный
сигнал будет послан указанному процессу. Таким образом процесс будет
проинформирован о замене журнального файла. Обычно заполняется либо поле size,
либо поле time, символ '*’ в этих полях обозначают любое значение. Если
заполнены оба поля, то архивация будет произведена при выполнении хотя бы
одного из двух условий.
Таким образом, можно сделать вывод, что в операционных системах семейства
Unix система аудита реализована очень эффективно и позволяет администратору
организовать централизованную политику учета сообщений для всей сети с
возможностью своевременного архивирования журнальных файлов.
6.3. Вывод
129