Защита информации в ОС UNIX. Парольная защита и шифрование.

Поскольку ОС UNIX с самого своего зарождения задумывалась как многопользовательская операционная система, в ней всегда была актуальна проблема авторизации доступа различных пользователей к файлам файловой системы. Существуют четыре типа стратегий защиты информации:1. Защитные «заборы» (барьеры).2. Перемещение информации в другие места хранения (мобильность данных и приложений).3. Маскировка4. Уничтожение нападающего.В системах UNIXреализованы четыре типа защиты информации:1. Парольная защита.2. Защита файлов через права доступа.3. С использованием команды изменения контекста.4. Шифрование.Парольная защита обеспечивает аутентификацию (авторизацию) пользователя при входе в систему.Под авторизацией доступапонимается действия системы, которые допускают или не допускают доступ данного пользователя к данному файлу в зависимости от прав доступа пользователя и ограничений доступа, установленных для файла. Аутентификация (авторизация) пользователя предполагает наличие идентификации и протокола идентификации.Идентификатор пользователя UID (UserID) имеет символическое или числовое значение и однозначно определяет пользователя системы.Кроме того, каждый пользователь принадлежит к некоторой группе и имеет GID (GroupID).Аутентификация пользователя выполняется с помощью программы Login, которая запускается при обнаружении нового терминала в системе getty-login. Программа Login запрашивает идентификатор пользователя и пароль. Введенный пароль подвергается преобразованию однонаправленной функцией. Затем в файле  /etc/passwd ищется строка с идентификатором пользователя, и сравниваются свертки паролей.В современных системах UNIX программа Login не выполняет самостоятельное сравнение паролей, а использует специальную программу Shadow. Данная программа работает со своим собственным файлом сверток паролей. Пользователь может менять собственный пароль. В файл /etc/passwd запрещена запись всем, кроме суперпользователя (суперпользователь может писать в любой файл).Подбор пароля через систему блокируется введением временных задержек. Например, после трех неверных попыток ввода пароля, следующая возможность дается только через несколько минут.Однако, следует отметить, что парольная защита работает только, если пароль составлен правильно. Существуют программы и средства обеспечения криптографической стойкости пароля.Пароль должен меняться периодически. Пароли действительны в течение ограниченных периодов времени (определяемых системным администратором), после чего их необходимо изменить. Поэтому необходимо хранить информацию о периоде активности для каждого пароля. Когда приближается дата истечения срока действия пароля, его владельцу предлагается выбрать новый пароль в течение определенного количества ближайших дней.Любая система UNIX имеет утилиты для шифрования данных, с помощью которых можно зашифровать данные, находящиеся в любом файле.Наиболее распространенные – это программа cr (crypt).Данные утилиты обеспечиваю прозрачное шифрование данных. Для прозрачного шифрования выделяется специальное устройство, монтируемое на заданный пользователем каталог.Данные утилиты выбирают данные для шифрования из входного потока и выдают результат в стандартный вывод. Это позволяет в командной строке включать данные утилиты шифрования в конвейер обработки. Фунцияcrypt– это функция шифрования основанная на стандартном алгоритме шифрования данный. По этой команде файлу присваивается ключ (пароль) шифрования. Тот же самый ключ используется для дешифровки данных.

Защита информации в ОС UNIX. Защита файлов.

Как принято в многопользовательской операционной системе, в UNIX поддерживается единообразный механизм контроля доступа к файлам файловой системы. Любой процесс может получить доступ к некоторому файлу в том и только в том случае, если права доступа, описанные при файле, соответствуют возможностям данного процесса.В UNIX системах используется дискреционный метод доступа, который основан на сравнении масок доступа. Все множество пользователей делится на группы и атрибуту защиты связанные с владельцем файла, группой и всеми остальными пользователями. Все команды выполняются от имени определенного пользователя, принадлежащего в момент выполнения к определенной группе.

Маска доступа содержит 9 бит. Из них 9 бит разбиты на тройки по 3 бита, показывающие какими правами по отношению к данному файлу обладает конкретный процесс.Кроме маски доступа, с каждым файлом связан идентификатор владельца UID и GID группы.

suid,sgid owner                       group                       other

r – чтение. (0- запрещено, 1 – разрешено)w- записьx - запуск (выполнение)Каждый процесс работает в своем собственном контексте и имеет UIDи GID. При попытке доступа к объекту процесс выдает запрос (системный вызов open)на открытие (т.е. сделать его доступным для обработки). ОС выполняет сравнение UIDиGID процесса с UID иGID и на основе этого определяет принадлежность процесса к владельцу файла или группе владельца. В зависимости от этого выбирается одна из трех групп прав и в дескриптор открытого файла заносится набор разрешенных операций. Если в выбранной тройке все права равны 0, то возвращается ошибка – «Файл закрыт» и выполнение любых операций с ним запрещено. !!! Если разрешено выполнение, но запрещены чтение/запись, то команду Open может выполнить только ядро ОС в момент построения процесса, причем программный запрос должен быть только на запуск exec().С использованием битов U и Gвозможно создание так называемых доверенных объектов. Владелец файла, а также пользователь root может изменять владельца и группу-владельца файла. Для изменения владельца (и группы-владельца) файла используется команда chownсо следующим синтаксисом:chown [-h][-R] владелец[:группа] файл.Опция -h требует изменять владельца файла, на который указывает символическая связь, а не самой связи, как происходит по умолчанию. Опция -R требует рекурсивно изменить владельца во всех подкаталогах.Для изменения только группы, владеющей файлом, используется команда chgrp:chgrp [-h][-R] группа файл ...Ее опции аналогичны команде chown.!!!Учтите, что после передачи файла другому владельцу, первоначальный владелец перестает им обладать, и будет иметь права доступа, установленные новым владельцем.