Ограничения сеанса пользователя

Презентация 5-11: ограничения сеанса пользователя

В UNIX существует ряд динамических ограничений, накладываемых на процесс аутентификации пользователя и запущенные им программы. Ограничения можно разделить на следующие группы:

ограничения входа в систему

Вход пользователя в систему может быть ограничен видом терминала, удалённым адресом (в случае сетевого входа в систему), временем работы. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/login.access

ограничения запускаемых процессов

Процессы пользователей могут быть ограничены по одному из следующих параметров: объём используемой памяти, число одновременно открытых файлов, число запускаемых процессов и т. п. Для задания этих ограничений в некоторых UNIX-системах используется файл /etc/limits.

ограничения использования диска

Дисковые квоты позволяют ограничить объём используемого пространства жёсткого диска для каждого из пользователей системы. Для настройки данного ограничения необходима утилита quota, а также поддержка квот в выбранной файловой системе. При каждой записи на диск ядро операционной системы производит проверку квот на объём и число файлов для данного субъекта.

Ограничения действуют на протяжении всего сеанса работы пользователя.

Резюме

Презентация 5-12: резюме

Основой информационной безопасности любого предприятия является политика безопасности, которая включает в себя технические, организационные и правовые аспекты.

Основными элементами политики безопасности являются субъект, объект и отношения между ними. Выделяют ряд моделей доступа, среди которых мандатный доступ, списки доступа (субъект-объектная модель) и произвольное управление доступом (субъект-субъектная модель).

В операционной системе UNIX номинальным субъектом является учётная запись пользователя, действительным субъектом — процесс пользователя, а объектом — файл. Три основных вида прав доступа: чтение, запись и исполнение, а также дополнительные права (подмены субъекта и разделяемости каталога). Права доступа указываются для трех групп: владельца объекта, группы-владельца и всех остальных.

Аутентификация пользователя (сопоставление ему номинального субъекта) при входе в систему состоит в проверке пароля, соответствующего входному имени пользователя.

Информация о пользователях системы хранится в специальном файле /etc/passwd. Существует набор системных утилит для управления базой данных пользователей и групп.

В UNIX можно устанавливать динамические ограничения на сеанс пользователя.

Ключевые термины: информационная безопасность, политика безопасности, объект, доступ, действительный субъект, номинальный субъект, модель доступа, мандатная модель, модель списков доступа, произвольное управление доступом, авторизация, аутентификация, пользователь, группа, права доступа в UNIX, исполнительный идентификатор пользователя, sticky-бит, подмена идентификатора, SUID-бит, суперпользователь, сеанс работы, база данных пользователей, основная группа, дисковые квоты