ot N. Antonov(3-12-2004)

reiting (23)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

Modulut RC

Obichate li teatur? Ako e taka, to razbiraneto na nachina na rabota na roleviia mehanizum niama da vi se stori trudna zadacha.

Tuk vuvezhdame terminite zaiavki i tseli.

Subektite (tuk veche protsesi) praviata zaiavki za dostup do tselite. Zaiavkite mogat da budat nai-raznoobrazni i da suvpadat s pravata v ACL.

TSelite mogat da budat:

  • FILE - Fail.
  • DIR - Direktoriia.
  • DEV - Ustroistvo.
  • IPC - IPC obekt: semafori, pamet za zadeliane i t.n.
  • SCD - Sistemni danni kato ime na mashina, data, sistemen dnevnik. Vsichki te po pravilo sa samo za chetene.
  • USER - Potrebiteli.
  • PROCESS - Protsesi.
  • NONE - Prazen obekt.
  • FD - Failov deskriptor.

Pri tova vseki vid tsel mozhe da si ima svoi podvid. Naprimer, failut mozhe da bude obiknoven, sekreten ili sistemen.

Roliata opredelia daden klas ot subekti, na koito se zadava kakvi pravata shte imat po otnoshenie na opredelen podvid tseli i drugi klasove. Da razgledame tezi parametri podrobno.

  • Name - Naimenovanie na roliata.
  • Role Comp - Suvmestimi roli. Roli, ot koito mozhe da se preminava v drugi bez smiana na potrebitelia.
  • Admin Roles - Roli, chiito potrebiteli mogat da administrirat.
  • Assign Roles - Roli, chiito potrebiteli mogat da zadavat rolia na potrebitel ili protses.
  • Type comp FD - Tuk se posochva kakvi ACL prava ima dadena rolia pri obrushtane kum edin ili drug podvid FD.
  • Type comp DEV - Analogichno za tipa DEV.
  • Type comp Process - Analogichno za tipa Process.
  • Type comp IPC - Analogichno za tipa IPC.
  • Type comp SCD - Analogichno za tipa SCD.
  • Admin Type - Ostarial parametur, posochvasht tip na rolia: Sistemen administrator, Rolevi administrator (Otgovornik po sigurnostta) ili Obiknoven potrebitel. Vmesto nego mozhe da se polzvat purvite chetiri parametura. Vuperki tova toi e napulno rabotosposoben i mozhe spokoino da se izpolzva.
  • Default FD Create Type - Pri suzdavane na obekt ot tipa FD shte bude izpolzvan suotveten pottip. Naprimer, mozhe da bude suzdadena rolia samo za sekretnite failove i direktorii.
  • Default Process CreateType - Analogichno za klonirashtite se protsesi.
  • Default Process Chown Type - Podtip na protsesa sled smiana na potrebitelia (setuid).
  • Default Process Execute Type - Podtip na protsesa sled startirane.
  • Default IPC Create Type - Podtip na novite IPC obekti, semafori t.d.

Takova kolichestvo nastroiki pozvoliava ne samo da si uslozhnite zhivota, no i da nastroite taka sigurnostta na sistemata, che da postignete fantastichni rezultati.

Za da dam primer, shte vi razkazha kak da nastroite sistemata taka, che administratorut da dobavia potrebiteli, da smenia paroli, da gi iztriva i vupreki tova da ne mozhe ruchno da redaktira /etc/passwd ili /etc/shadow. Takuv fokus mozhe da bude polezen za organizatsiiata na uebsait. Naprimer nikoi drug osven Apache da ne mozhe da raboti s failovete ot opredelena direktoriia. Suotvetno, dazhe i da ima probiv, slostornikut ne mozhe da podmeni purvata stranitsa na saita.

I taka, zadavame nov podtip za tsel FD - Passwd FD. Tova stava s pomoshtta na programata rsbac_menu i podmenyuto "RC Types". SHTe budete popitani kakuv podtip da e tselta. Izberete FD i davai te napred.

Sledvashtiiat etap se sustoi v suzdavaneto na nova rolia Admin Passwd. Za tselta otivame v menyuto "RC Roles". Izbirame gotova rolia 'System Administrator" (ot ''Rolelist: Choose role from list"), kopirame sudurzhanieto i v nova rolia ("Copy Role (New Role)") i ia narichame "Admin Passwd".

Taka sega, poiaviavat se suotvetnite ACL prava za vsichki roli, koito sa po podrazbirane prazni. Pri tova polozhenie vsichki potrebiteli ot vsichki stari roli niama da mogat da chetat failove ot podtip Passwd FD. Nastroivame novata rolia taka, che tia da mozhe da pravi vsichko s failovete ot tozi podtip. Vklyuchvame vsichki ACL prava. Otlichno. Formalnata podgotovka e priklyuchena, sega ostava samo da zadadem suotvetnite atributi na failovete i programite, koito sa ni nuzhni.

Vlezte v sistemata na ednata konzola kato root i na druga katosecoff. Otivame v nastroikata na osnovnite parametri na faila /etc/passwd i namirame parametura:

  • RC Type FD - podtip na tozi deskriptor suglasno RC.

Promeniame znachenieto po podrazbirane na Passwd FD. Sega root niama da mozhe veche da otvaria tozi fail. Zatova vliazohme predvaritelno kato root, zashtoto inache sled tazi promiana programata login niama da ima prava da go prochete i da pusne kogoto i da bilo v sistemata.

Sledvashtata stupka e da zadadem rolia na programata /bin/login:

  • RC Force Role - Rolia, koiato failut shte prieme pri startirane nezavisimo ot roliata na tozi, koito go startira. Neshto kato suid pri standartnite UNIX prava.

Promeniame znachenieto ot starndartnoto na "Admin Passwd". Sled tazi operatsiia login shte raboti normalno. Analogichnata protsedura triabva povtorim i vurhu vsichki programi, koito rabotiat s faila /etc/passwd. Tova e vsichko. Novata zashtitna bariera e gotova.

Zaklyuchenie

V tova rukovodstvo dalech ne razgledahme vsichki moduli. Tova se obiasniava purvo s nezhelanieto da se zatormoziava mozukut na chitatelite s izlishna informatsiia. Ako e neobhodimo, shte se poiavi nova poreditsa ot rukovodstva. Vupreki tova nakratko shte se sprem na niakolko interesni momenta, predpolagashti izuchavane zanapred.

  • Okazva se, che mozhem da dobaviame v dvizhenie sobstveni moduli. Te se izpulniavat pod formata na draiveri za iadroto sus spetsialen interfeis. Triabva da se vklyuchi modulut REG pri konfigurirane na iadroto.
  • Modulite mogat v dvizhenie da se vklyuchvat i izklyuchvat (vzh. podmenyuto "Switch Modules"). Ne zabraviaite da vklyuchite suotvetnata tochka pri konfiguriraneto na iadroto predi tova.
  • Mozhete da se opitate da mestite direktoriiata s bazata danni i da ia preimenuvate, kato promeniate imeto i vuv faila /usr/src/linux/include/rsbac/aci_data_structures.h. Ne zabraviaite sled tova da prekompilirate iadroto. Osven tova, izpolzaviki razlichni naimenovaniia, mozhete da startirate razlichni konfiguratsii na RSBAC.
  • Mozhete da suzadedete i sobstven modul za zashtita.

Probvite, razrabotvaite, razkazvaite na sveta za svoite rezultati.

TSialata poreditsa ot statii mozhete da izteglite ot adres http://web.logos-bg.net/linuxbg/RSBAC.pdf (N.A.).



<< Instalirane na draiver za NVIDIA TNT 2 vuv Fedora Core 3 | Vuvedenie v RSBAC, chast III >>