Средства для оценки рисков
Средства разработки и внедрения политик безопасности
Средства мониторинга действий пользователей: Программы, предназначенные для контроля работы пользователей и администраторов за своими компьютерами и в сети Интернет. Они сообщают по сети информацию, которая интересует шефа, ему лично или уполномоченному им лицу.
Средства аудита и восстановления паролей
Шифровальщики файлов: Эти программы обеспечивают недорогое, надежное и быстрое шифрование файлов и дисков с использованием популярных алгоритмов (AES, 3DES, Blowfish, ...)

See the entire folder …

Средства контроля доступа ОС Solaris 7 на уровне системы

Защита входа в систему, специальные системные пользовательские бюджеты, получение информации о статусе пользователя

Средства контроля доступа на уровне системы ОС Solaris выполняют следующие функции:

просмотр информации о статусе пользователей
просмотр пользователей не имеющих пароля
временное блокирование пользовательских бюджетов
регистрация неудачных попыток входа в систему
создание паролей для удаленного входа в систему
временное блокирование удаленного входа в систему
ограничение устройств, с которых суперпользователь может осуществлять регистрацию в системе, системной консолью
мониторинг событий связанных с использованием команды su
вывод на системную консоль сообщений о попытках регистрации в системе в качестве суперпользователя

Защита входа в систему

При регистрации пользователя в системе, программа login осуществляет проверку регистрационных данных пользователя на основении информации, содержащейся в регистрационной записи пользователя. Местонахождения регистрационных записей пользователей определяется в файле /etc/nsswitch.conf. Записи этого файла могут содержать следующие ключевые слова:

files (указывает на /etc файлы)
nis (указывает на базу данных NIS)
nisplus (указывает на базу данных NIS+)

Программа login проверяет введенные пользователем имя и пароль. Если введенное пользователем имя отсутствует в файле паролей или если введенный пароль не соответствует имени, то вход в систему запрещается. Если введенное пользователем имя присутствует в файле паролей и введенный пользователем пароль соответствует имени, то пользователю предоставляется доступ к системе.

Специальные системные пользовательские бюджеты

Существует два основных способы входа в систему: используя бюджет обычного пользователя и используя бюджет суперпользователя. Кроме того, существуют специальные системные пользовательские бюджеты, позволяющие выполнять различные задачи по сопровождению и администрированию системы, не используя бюджет суперпользователя. Пароли специальных системных бюджетов назначаются администратором. Следующая таблица содержит список специальных системных пользовательских бюджетов и их назначение. Системные бюджеты предназначены для выполнения специальных системных задач и каждому из них сопоставлен соответствующий идентификатор группы (GID). Каждому из этих бюджетов назначается свой собственный пароль, который может предоставляться пользователям по мере необходимости.

Таблица 13 Специальные системные пользовательские бюджеты

Систеный бюджет	GID	Назначение
root	0	Суперпользователь обладает практически неограниченными полномочиями по доступу ко всем системным ресурсам и на него не распространяются установленные в системе правила разграничения доступа. Пароль суперпользователя должен быть защищен особенно тщательно.
daemon	1	Управляет выполнением задач в фоновом режиме. Файлы, которые должны принадлежать ОС, а не конкретному пользователю, часто назначаются этому пользователю, чтобы уменьшить угрозу безопасности.
bin	2	Является владельцем большинства системных команд, а также большинства выполняемых файлов.
sys	3	Является владельцем многих системных файлов.
adm	4	Является владельцем некоторых конфигурационных файлов, используемых при администрировании.
lp	71	Является владельцем системных файлов, используемых для выполнения заданий печати.
uucp	5	Является владельцем системных файлов, используемых программой UUCP.
nuucp	9	Используется удаленными системами для установки соединения и передачи файлов.

Получение информации о статусе пользователя

Для того, чтобы получить информацию о статусе пользователя необходимо выполнить следующие действия:

1. Получить права доступа администратора системы

2. Получить сведения о статусе пользователя при помощи команды logins.

# logins -x -l username

здесь:

-x : Отображение расширенного набора сведений о статусе пользователя.

-l username : Отображение сведений о данном пользователе. username представляет собой идентификатор пользователя. Если используется несколько идентификаторов, то они должны быть разделены запятыми.

Отображаемую информацию команда logins считывает из файла /etc/passwd и баз данных паролей NIS или NIS+.

Далее приведен пример, отображающий информацию о статусе пользователя rimmer.

# logins -x -l rimmer
rimmer 500 staff 10 Arnold J. Rimmer
             /export/home/rimmer
             /bin/sh
             PS 010170 10 7 –1

Параметры команды logins приведены в таблице 14

Таблица 14 Описание используемых параметров команды logins

Rimmer	Имя пользователя
500	Идентификатор пользователя
Staff	Основная группа пользователя
10	Идентификатор группы пользователя
Arnold J. Rimmer	Комментарии
/export/home/rimmer	Home - каталог пользователя
/bin/sh	Определение login shell
PS 010170 10 7 -1	Временные пределы использования пароля: • Дата последнего изменения пароля • Требуемый промежуток времени между изменениями пароля (в днях) • Максимально допустимый промежуток времени между изменениями пароля (в днях) • Период, предшествующий обязательной смене пароля, в течение которого будет выдаваться предупреждение.

В обязанности администратора системы входит осуществление контроля за тем, чтобы все пользователи имели надежный пароль. Для определения пользователей, не имеющих пароля служит команда logins -p. Правом на ее использование обладает только администратор системы.