Изменение базы данных пользователей

Для добавления и удаления пользователей и групп существует набор специальных утилит: useradd, userdel, groupadd, groupdel. Эти команды доступны только суперпользователю и имеют единственный обязательный параметр: имя пользователя или группы.

С помощью команд usermod и groupmod можно изменять информацию в базах данных пользователей и групп. Эти команды также может выполнять только администратор системы.

Команда passwd позволяет простым пользователям изменять свой системный пароль, а суперпользователю — изменять пароль любого из пользователей системы.

Изменение прав доступа

Для изменения владельца файла или группы владельцев используются команды chown и chgrp. Из соображений безопасности эти утилиты доступны только суперпользователю.

Владелец файла может изменять права доступа к своему файлу с помощью утилиты chmod.

Ограничения сеанса пользователя

Презентация 5-11: ограничения сеанса пользователя

В UNIX существует ряд динамических ограничений, накладываемых на процесс аутентификации пользователя и запущенные им программы. Ограничения можно разделить на следующие группы:

ограничения входа в систему

Вход пользователя в систему может быть ограничен видом терминала, удалённым адресом (в случае сетевого входа в систему), временем работы. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/login.access

ограничения запускаемых процессов

Процессы пользователей могут быть ограничены по одному из следующих параметров: объём используемой памяти, число одновременно открытых файлов, число запускаемых процессов и т. п. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/limits.

ограничения использования диска

Дисковые квоты позволяют ограничить объём используемого пространства жёсткого диска для каждого из пользователей системы. Для настройки данного ограничения необходима утилита quota, а также поддержка квот в выбранной файловой системе. При каждой записи на диск ядро операционной системы производит проверку квот на объём и число файлов для данного субъекта.

Ограничения действуют на протяжении всего сеанса работы пользователя.

Резюме

Презентация 5-12: резюме

Основой информационной безопасности любого предприятия является политика безопасности, которая включает в себя технические, организационные и правовые аспекты.

Основными элементами политики безопасности являются субъект, объект и отношения между ними. Выделяют ряд моделей доступа, среди которых мандатный доступ, списки доступа (субъект-объектная модель) и произвольное управление доступом (субъект-субъектная модель).

В операционной системе UNIX номинальным субъектом является учётная запись пользователя, действительным субъектом — процесс пользователя, а объектом — файл. Три основных вида прав доступа: чтение, запись и исполнение, а также дополнительные права (подмены субъекта и разделяемости каталога). Права доступа указываются для трех групп: владельца объекта, группы-владельца и всех остальных.

Аутентификация пользователя (сопоставление ему номинального субъекта) при входе в систему состоит в проверке пароля, соответствующего входному имени пользователя.

Информация о пользователях системы хранится в специальном файле /etc/passwd. Существует набор системных утилит для управления базой данных пользователей и групп.

В UNIX можно устанавливать динамические ограничения на сеанс пользователя.