Современные информационные технологии/ 4.Информационная безопастность
Студент Лимар І.Д.,
доцент кафедри КСЗІ Пархоменко І.І.
Національний Авіаційний
Університет. Україна.
Безпека ядра операційної системи Linux
Оскільки ОС Linux в загальному вигляді це є ядро, до
якого додають утиліти, програми, графічний інтерфейс і упаковують в архів для
запису на диск і дають йому назву, то основним завданням безпеки є захист
самого ядра системи. В системі Unix декілька паралельних процесів обслуговують
різні завдання. Кожен процес запрошувати системні ресурси, будь то енергія,
пам'ять, мережеве підключення, або якісь інші ресурси. Ядро - це великий шматок
виконуваного коду, що відповідає за обробку всіх подібних запитів. Хоча межі
між різними завданнями ядра не завжди ясно визначені, роль ядра може бути
розділена на такі частини Мал. 1
Мал.1
Ядро в ОС Linux
підтримує
модульність, через яку відбувається завантаження драйверів зовнішніх та
внутрішніх пристроїв комп’ютера. За рахунок цієї модульності зловмисник може
отримати доступ до системи користувача. Методів проникнення є декілька, перший
це підміна існуючого коду драйверів котрі отримали вже доступ до ядра, та
другий метод це створення нового драйвера. Протидією цим методам проникнення
займаються заплатки ядра. Однією з таких програм є LiDS.
LIDS ( Linux Intrusion
Detection / Defence System ) - система виявлення і захисту від вторгнення. Ця
система являє собою доповнення до ядра операційної системи Linux , що додає
додаткові можливості для збільшення безпеки операційної системи. LIDS дозволяє
заборонити або обмежити доступ до файлів , пам'яті , пристроїв , мережевим
інтерфейсам і запущених застосунків привілейованому користувачу , що дає
можливість надійно захистити навіть зламану операційну систему від подальшого
втручання.
На відміну від інших
засобів захисту операційної системи Linux , цю систему неможливо відключити ,
не знаючи пароля адміністратора LIDS , який в зашифрованому вигляді
зберігається в спеціальному файлі , видимому лише програмою адміністрування
LIDS . Таким же чином захищені і конфігураційні файли LIDS . Крім цього система
має одну дуже суттєву перевагу : знаючи пароль адміністратора LIDS , систему
можна відключити тільки з локальної консолі комп'ютера.
Для того , щоб встановити
LIDS , необхідно включити підтримку цієї системи в ядрі , що вимагає накладення
заплаток на вихідні файли ядра і включення можливостей LIDS при конфігуруванні
ядра до його складання. Після включення в ядрі підтримки LIDS стане доступним
список параметрів LIDS . Також пакет LIDS включає програми для налаштування
цієї системи.
Після установки LIDS в каталозі / etc
з'явиться каталог lids , що містить наступні конфігураційні файли :
lids.cap - цей файл призначений для
зберігання поточних значень установок здібностей .
lids.net - файл призначений для
налаштування відправлення електронних повідомлень системою LIDS .
lids.pw - в цьому файлі записаний в
зашифрованому вигляді пароль адміністратора. Змінювати цей файл можна тільки за
допомогою програми lidsadm пакета LIDS .
lids.conf - цей файл містить поточні
установки правил доступу . Змінювати цей файл може тільки програма lidsadm .
При установці різних обмежень LIDS
використовує так звані здібності.
Здатність - це можливість програм
здійснювати які-небудь дії .
Всі здібності встановлюються у файлі /
etc / lids / lids.cap . Цей файл має наступний формат :
[+ | -] <Номер > : < здатність
>
" +" Включає відповідну
здатність , а "-" вимикає її .
номер - порядковий номер здібності.
здатність - найменування здібності.
Редагування файлу / etc
/ lids / lids.cap можна проводити за допомогою будь-якого текстового редактора.
Включення здібностей впливає на всі програми без винятку , а вимикання впливає
на всі програми , крім тих , яким безпосередньо вказана дана здатність за
допомогою правил доступу lidsadm .
Для вступу в дію
здібностей , необхідно відразу після завантаження системи і запуску всіх
сервісів виконати команду
lidsadm –I
Ця команда зазвичай записується в один з файлів сценаріїв,
виконуваних при завантаженні системи.
Крім здібностей система LIDS
дозволяє задавати правила доступу до дискових ресурсів.
Все управління LIDS здійснюється за допомогою програми lidsadm. Ця програма
здатна працювати в двох режимах:
режимі настройки правил доступу та режим введення
команд адміністрування. Всі
установки правил доступу знаходяться у файлі / etc
/ lids / lids.conf. Для їх перегляду необхідно запустити програму lidsadm з параметром-L.
[root@app /]# lidsadm –L
LIST
Subject ACCESS TYPE Object
-------------------------------------------------------------
Any File READ /sbin
Any File READ /bin
Any File READ /boot
Any File READ /lib
Any File READ /usr
Any File DENY /etc/shadow
/bin/login READ /etc/shadow
/bin/su READ /etc/shadow
Any File APPEND /var/log
Any File WRITE /var/log/wtmp
Правила доступу складаються з трьох елементів: суб'єкта , об'єкта і мети .
Об'єктом є будь-який файл або каталог , на який повинні діяти правила доступу і
захист LIDS . Якщо як об'єкта зазначений каталог , то всі файли в ньому і
вкладені підкаталоги з їх файлами автоматично стають об'єктами .
Суб'єктом є будь-яка захищена програма , якій дають доступ до захищається .
Тому , перш ніж використовувати програму в якості суб'єкта , її саму треба
захистити засобами LIDS , застосувавши до неї правила доступу як до об'єкта .
Якщо суб'єкт не вказаний, суб'єктом є будь-яка програма .
Метою є тип доступу суб'єкта до об'єкта . Існують наступні типи доступу:
• READ - доступ
на читання ;
• WRITE - доступ
на запис ;
• DENY - заборона
на будь доступ взагалі ;
• APPEND -
відкриття тільки для запису в кінець файлу;
• IGNORE -
ігнорування захисту .
Література
1. Linux.
Алексей Стахнов, видавництво «БХВ-Петербург», Санкт-Петербург, 2002.
2. Техническая
электронная документация по операционной системе Linux.
3. Linux.
Полное руководство. Михаєль Кофлер, видавництво Пітер, 2011.
4. Операционная
система Linux. Курячий Г.В., Маслинский К.А., ИНТУИТ, 2005