Средства для оценки рисков
Средства разработки и внедрения политик безопасности
Средства мониторинга действий пользователей: Программы, предназначенные для контроля работы пользователей и администраторов за своими компьютерами и в сети Интернет. Они сообщают по сети информацию, которая интересует шефа, ему лично или уполномоченному им лицу.
Средства аудита и восстановления паролей
Шифровальщики файлов: Эти программы обеспечивают недорогое, надежное и быстрое шифрование файлов и дисков с использованием популярных алгоритмов (AES, 3DES, Blowfish, ...)

See the entire folder …

Управление паролями в ОС Solaris 7

Файл паролей системы NIS+

В случае использования для централизованного управления паролями в сети системы NIS+, профили пользователей храняться в базе данных NIS+. Права доступа пользователей к этой базе данных определяются сетевым администратором. Для изменения паролей пользователей в базе данных NIS+ можно использовать команду passwd или программу Solstice Security Manager.

Файл паролей системы NIS

В случае использования для централизованного управления паролями в сети системы NIS, пароли пользователей храняться в таблице паролей NIS. Права доступа пользователей к этой таблице определяются сетевым администратором. В отличие от системы NIS+, система NIS не поддерживает старение паролей. Для изменения паролей пользователей в базе данных NIS можно использовать команду passwd или программу Solstice Security Manager.

Файлы паролей каталога /etc

Если для управления паролями в локальной системе используются файлы из каталога /etc, то парольная информация находится в файлах /etc/passwd и /etc/shadow. При этом профили пользователей, включая их имена, идентификаторы, домашние каталоги и т. п., храняться в файле /etc/passwd, а пользовательские пароли храняться отдельно в зашифрованном виде в файле /etc/shadow, закрытом по чтению для всех пользователей, кроме пользователя root. Благодаря этому, обычные пользователи не имеют доступа к зашифрованным паролям, что повышает защищенность системы. Для изменения пользовательских паролей в локальной системе можно использовать программы Solstice AdminSuite's User Manager, Admintool, или команду passwd.

Структура файла /etc/passwd

Файл /etc/passwd содержит регистрационные записи пользователей. Каждая запись соответствует одному пользователю и состоит из следующих полей, разделенных символом ‘;’:

username:password:uid:gid:comment:home-directory:login-shell

Пример регистрационной записи пользователя kryten:

kryten:x:101:100:Kryten Series 4000:/export/home/kryten:/bin/csh

Значение полей регистрационной записи приводится в следующей таблице.

Таблица 15 Значения полей регистрационной записи пользователя

Имя поля	Описание
username	Содержит системное имя пользователя. Имена пользователей должны быть уникальными и состоять из 1-8 букв (A-Z, a-z) и цифр (0-9). Имя должно начинаться с буквы, и содержать по крайней мере одну незаглавную букву. Имена пользователей не могут содержать пробелов или знаков подчеркивания.
password	Содержит букву x, вместо зашифрованного пароля. Сам зашифрованный пароль находится в файле shadow.
uid	Содержит идектификатор пользователя (UID) в системе. Пользовательские идентификаторы должны лежать в интервале от 100 до 60000. Все идентификаторы должны быть уникальными.
gid	Содержит идентификатор первичной группы пользователя (GID). GID – это целое число в интервале от 0 до 60002 (номера 60001 и 60002 по-умолчанию назначаются группам nobody и noaccess, соответственно).
comment	Обычно содержит полное имя пользователя. (Это поле является чисто информационным). Это поле иногда называют GECOS-полем.
home-directory	Содержит путь к домашнему каталогу пользователя.
login-shell	Содержит имя командного интерпретатора пользователя. Это может быть /bin/sh, /bin/csh или /bin/ksh.

Структура файла /etc/shadow

Регистационные записи файла /etc/shadow состоят из следующих полей:

username:password:lastchg:min:max:warn:inactive:expire

Пример регистрационной записи пользователя rimmer:

rimmer:86Kg/MNT/dGu.:8882:0::5:20:8978

Значения полей регистрационной записи файла shadow приводяться в следующей таблице.

Таблица 16 Значения полей регистрационной записи файла shadow

Имя поля	Описание
username	Содержит системное имя пользователя.
password	Может содержать следующие записи: 13-символьный зашифрованный пользовательский пароль; строку LK, обозначающую заблокированный бюджет; или строку NP, обозначающую отсутствие пароля пользователя.
lastchg	Содержит число дней между 1 января 1970 года и датой последнего изменения пароля.
min	Содержит минимально допустимое количество дней между сменой пароля.
max	Содержит максимальное количество дней до выдачи предупреждения пользователю о необходимости смены пароля.
inactive	Содержит количество дней неактивности пользователя, прежде чем его бюджет будет заблокирован.
expire	Содержит дату истечения действия пользовательского бюджета. После наступления этой даты, пользователь не сможет войти в систему.

Стуктура файла /etc/group

Записи файла group состоят из следующих полей, разделенных символом двоеточия:

group-name:group-password:gid:user-list

Пример записи для группы bin:

bin::2:root,bin,daemon

В следующей таблице приводяться значения полей записи файла group.

Таблица 17 Значения полей записи файла group

Имя поля	Описание
Group-name	Содержит имя группы. Имя группы может состоять максимум из девяти символов.
Group-password	Обычно содержит символ ‘’ или оставляется пустым. Это поле осталось от старых версий UNIX. Если для группы определен пароль, то команда newgrp* выводит приглашение для ввода пароля. Однако, не существует утилиты, позволяющей установить пароль для группы.
gid	Содержит идентификатор группы (GID). Этот номер должен быть уникальным в локальной системе и во всей организации. Каждый GID – это целое число в диапазоне от 0 до 60002. Номера меньше 100 зарезервированы для стандартных системных групп. Идентификаторы групп, определяемых пользователем должны лежать в диапазоне от 100 до 60000. (номера 60001 и 60002 зарезервированы для групп nobody и noaccess, соответственно.)
user-list	Содержит список пользователей, входящих в состав группы, определяющий вторичное членство пользователей в группе. В качестве разделителя в списке используется символ ‘:’. Каждый пользователь может принадлежать максимум к 16 вторичным группам.

Поддержка механизмов старения паролей и срока истечения действия паролей

В случае использования для управления пользователями и группа службы имен NIS+ или файлов каталога /etc, системный администратор может воспользоваться механизмом старения паролей для того, чтобы ограничить срок их действия, вынудить польователей осуществлять периодическую смену своих паролей, а также запретить пользователям изменять свои пароли чаще установленного интервала времени. Имеется возможность также установить дату истечения срока действия паролей, при наступлении которой соответствующий пользовательский бюджет будет заблокирован.