Защита информации при разработке и эксплуатации корпоративных информационных систем ЛАБОРАТОРНАЯ РАБОТА №2 ОРГАНИЗАЦИЯ КОМПЛЕКСА СРЕДСТВ ЗАЩИТЫ ОС LINUX Соцкова Вероника Евгеньевна, группа 11-802 СОДЕРЖАНИЕ 1 Упражнение №1. Управление учётными записями пользователей 1.1 4 1.1.1 Цель упражнения 4 1.1.2 Используемые средства 4 1.2 2 Постановка задачи Выполнение задания 4 1.2.1 Алгоритм выполнения задания и пояснения к его шагам 4 1.2.2 Возникшие проблемы и методы их решения 5 1.2.3 Достигнутые результаты и выводы 6 Упражнение №2. Настройка подсистемы идентификации и аутентификации 2.1 Постановка задачи 7 Цель упражнения 7 2.1.2 Используемые средства 7 Выполнение задания 7 2.2.1 Алгоритм выполнения задания и пояснения к его шагам 7 2.2.2 Возникшие проблемы и методы их решения 8 2.2.3 Достигнутые результаты и выводы 8 3 Упражнение №3. Изучение настроек подсистемы разграничения доступа ОС Linux на примере доступа к файлам 3.1 Постановка задачи 9 9 3.1.1 Цель упражнения 9 3.1.2 Используемые средства 9 3.2 Выполнение задания 9 3.2.1 Алгоритм выполнения задания и пояснения к его шагам 3.2.2 Возникшие проблемы и методы их решения 10 3.2.3 Достигнутые результаты и выводы 10 Упражнение №4. Настройка подсистемы регистрации и учёта событий в OC Linux 4.1 Постановка задачи 9 12 12 4.1.1 Цель упражнения 12 4.1.2 Используемые средства 12 4.2 5 7 2.1.1 2.2 4 4 Выполнение задания 12 4.2.1 Алгоритм выполнения задания и пояснения к его шагам 12 4.2.2 Возникшие проблемы и методы их решения 14 4.2.3 Достигнутые результаты и выводы 14 Упражнение №5. Контроль целостности файловой системы OC Linux 5.1 Постановка задачи 5.1.1 16 16 Цель упражнения 16 2 5.1.2 5.2 6 Используемые средства 16 Выполнение задания 16 5.2.1 Алгоритм выполнения задания и пояснения к его шагам 16 5.2.2 Возникшие проблемы и методы их решения 17 5.2.3 Достигнутые результаты и выводы 18 Упражнение №6. Контрольные вопросы и задания. 19 3 1 Упражнение №1. Управление учётными записями пользователей 1.1 Постановка задачи 1.1.1 Цель упражнения Постижение понятия пользователя и группы. пользователей и группы на Astra Linux Common Edition. Научиться создавать 1.1.2 Используемые средства Oracle VM VirtualBox, Astra Linux Common Edition 2.12.40 1.2 Выполнение задания 1.2.1 Алгоритм выполнения задания и пояснения к его шагам 1. Создадим пользователя 1 с помощью команды adduser, далее укажем имя пользователя, с помощью опции --uid зададим id пользователю 2. Создадим пользователя 2 с помощью команды adduser, далее укажем имя пользователя, с помощью опции --disabled-password зададим пустой пароль 4 3. Также создадим пользователя 3 4. С помощью команды groupadd создадим группу с именем newgroup, далее командой adduser добавим пользователей в эту группу. 1.2.2 Возникшие проблемы и методы их решения Проблем не возникло. 5 1.2.3 Достигнутые результаты и выводы После выполнения вышеперечисленных пунктов, в системе должны присутствовать созданные пользователи, а также группы. 6 2 Упражнение №2. Настройка подсистемы идентификации и аутентификации 2.1 Постановка задачи 2.1.1 Цель упражнения Изучить настройку подсистем идентификации и аутентификации. Научиться настраивать политику безопасности. Исследование парольных подсистем аутентификации пользователей. 2.1.2 Используемые средства Oracle VM VirtualBox, Astra Linux Common Edition 2.12.40 2.2 Выполнение задания 2.2.1 Алгоритм выполнения задания и пояснения к его шагам 1. Отредактируем файл конфигурации /etc/pam.d/common-password 2. В строке password requisite pam cracklib.so установим значение minlen=6 (минимальная длина пароля), dcredit=-1 (минимальное требуемое число цифр), lcredit=-1 (минимальное требуемое число символов нижнего регистра) 3. И сохраним файл 7 2.2.2 Возникшие проблемы и методы их решения Проблем не возникло. 2.2.3 Достигнутые результаты и выводы При изменении пароля на новый, который не соответствует требованиям, будет выдаваться ошибка. В ходе выполнения данного упражнения были изучены настройки процессов идентификации и аутентификации в ОС Linux. 8 3 Упражнение №3. Изучение настроек подсистемы разграничения доступа ОС Linux на примере доступа к файлам 3.1 Постановка задачи 3.1.1 Цель упражнения Изучение механизмов управления доступа к ресурсам, прав доступа. Приобретение практических навыков управления пользователями. Приобретение навыков работы с правами пользователей и правами на файлы. 3.1.2 Используемые средства Oracle VM VirtualBox, Astra Linux Common Edition 2.12.40 3.2 Выполнение задания 3.2.1 Алгоритм выполнения задания и пояснения к его шагам 1. Создадим текстовый файл от имени user1 2. Аналогично создадим файлы для остальных пользователей 3. С помощью команды chmod зададим права для файла user1.txt на чтение и запись для владельца(user1), а для других пользователей никаких прав, с помощью setfacl добавим правило в список контроля доступа для user1.txt, опция -m означает, что мы добавляем правило u:user2:r – для пользователя user2 есть доступ только на чтение. То же самое для user3. 9 4. Изменим права для файла user2.txt 000, заметим, что для групп осталось разрешение на запись. Аналогично предыдущему пункту изменим права. Попробуем прочитать от пользователя user2 файл user2.txt: Permission denied. 5. Повторим те же операции для файла user3.txt, изменив сами права доступа. 3.2.2 Возникшие проблемы и методы их решения Проблем не возникло. 3.2.3 Достигнутые результаты и выводы В ходе выполнения всех пунктов, у нас должны были измениться права на текстовые файлы: файл user1.txt Пользователь 2 и Пользователь 3 могут только читать, Пользователь 1 и группа Администраторы имеет полный доступ к файлу user1.txt, остальные пользователи не имею доступа к этому файлу. К файлу user2.txt Пользователь 1 и Пользователь 3 имеют доступ только на запись, Пользователь 2 не имеет никаких прав, а группа Администраторы имеет полный доступ к файлу user2.txt. К файлу user3.txt Пользователь 1, Пользователь 2, Администраторы имеют полный доступ. 10 Пользователь 3 и группа Пользователь 1: Пользователь 2: Пользователь 3: В ходе выполнения данного упражнения были изучены механизмы управления правами доступа, способы изменения прав к файлам и папкам. 11 4 Упражнение №4. Настройка подсистемы регистрации и учёта событий в OC Linux 4.1 Постановка задачи 4.1.1 Цель упражнения Получение навыков по самостоятельному конфигурированию подсистемы регистрации и учета событий в операционной системе Astra Linux. 4.1.2 Используемые средства Oracle VM VirtualBox, Astra Linux Common Edition 2.12.40, rsyslog 4.2 Выполнение задания 4.2.1 Алгоритм выполнения задания и пояснения к его шагам 1. Настроим сетевой мост между двумя виртуальными машинами. 2. На обеих машинах поставим тип подключения: Сетевой мост. 3. Проверим видимость машин: 12 4. На отправляющей машине изменим файл rsyslog.conf: добавим строку auth.info @192.168.2.5:514 5. На принимающей машине раскомментируем строки: 6. Также добавим строку, которая отфильтровывает логи с определенной машины из общего потока и записывает их в файл. 7. Перезагрузим на обеих машинах утилиту командой: /etc/init.d/rsyslog restart 13 8. Обеспечим вывод сообщений на экран пользователя user1, добавив строку *.* user1 в файл rsyslog.conf: 9. Отредактируем rsyslog.conf: *.* -/tmp/messages - сообщения о всех событиях в системе помещаются в файл /tmp/messages auth -/var/log/security1.log - все сообщения о событиях безопасности помещаются в файл /var/log/security1.log 4.2.2 Возникшие проблемы и методы их решения Проблем не возникло. 4.2.3 Достигнутые результаты и выводы В результате выполнения упражнения мы настроили передачу регистрационной информации на удалённое рабочее место. На первой машине войдем как user1 с неправильным паролем, на второй машине проверим файл desktop1.log. В него записались логи неудачного входа: 14 Зайдем в систему как user1, в его терминал выводятся все сообщения о системе: Проверим, чтобы сообщения о всех событиях в системе помещались в файл /tmp/messages: Дополнительно проверим, что все сообщения о событиях безопасности помещаются в файл /var/log/security1.log: 15 5 Упражнение №5. Контроль целостности файловой системы OC Linux 5.1 Постановка задачи 5.1.1 Цель упражнения Задание выполняется с целью изучить контроль целостности файловой системы OC Linux и научиться настраивать его. 5.1.2 Используемые средства Oracle VM VirtualBox, Astra Linux Common Edition 2.12.40, aide 5.2 Выполнение задания 5.2.1 Алгоритм выполнения задания и пояснения к его шагам 1. Для установки aide добавим сначала Debian репозитории в файл etc/apt/sources.list: 2. Далее обновим пакеты с помощью apt-get update и установим aide командой apt-get install aide 3. Сохраним файл /etc/aide/aide.conf , как /etc/aide/aidesave.conf, так: cp aide.conf /aidesave.conf: 4. Отредактируем файл aide.conf , добавив туда строку /bin, чтобы указать какие директории/файлы будут в бд 16 5. Инициализируем базу данных 6. Будет создан файл aide.db.new, его необходимо скопировать в aide.db 7. Создадим текстовый файл в папке /bin 8. Запустим программу aide –check, чтобы увидеть изменения в файловой системе 9. Получим вывод: 5.2.2 Возникшие проблемы и методы их решения При инициализации бд появлялась ошибка, решена путем явного указания файла с конфигурацией 17 5.2.3 Достигнутые результаты и выводы В процессе выполнения упражнения были изучены установка и настройка AIDE. 18 6 Упражнение №6. Контрольные вопросы и задания. 6.1 Могут ли обычные пользователи изменять пароль другого пользователя? Нет. 6.2 Нужно ли удалять домашний каталог пользователя после использования команды userdel? С помощью опции -r, --remove можно указать, что надо удалить домашнюю директорию пользователя и его файлы в системе 6.3 Какими способами можно ввести пользователя в систему? С помощью команды useradd; используя графический интерфейс 6.4 Что означает “x”, который стоит на месте зашифрованного пароля, в файле /etc/passwd? х: место для информации о паролях; пароль можно найти в файле «/etc/shadow». 6.5 Что означают символы «!!» в файле /etc/passwd? Два восклицательных знака подряд !! говорят о том, что пароль никогда не был установлен. 6.6 Как изменить пароль пользователя, суперпользователя? Для смены пароля можно использовать команду passwd, если надо поменять пароль другого пользователя, то надо воспользоваться правами суперпользователя. Чтобы поменять пароль суперпользователя надо воспользоваться правами суперпользователя. 19 6.7 Что такое MD5 passwords? Каким образом можно внедрить использование MD5 passwords в системе? MD5 passwords – пароль, захешированный алгоритмом MD5. Надо отредактировать файл /etc/pam.d/system-auth. Надо изменить строку, добавив md5: 6.8 Что такое Shadow passwords? Каким образом можно внедрить использование Shadow passwords в системе? Shadow passwords означают сокрытие секретной информации о шифрованных паролях от обыкновенных пользователей. По умолчанию пароли уже хранятся в /etc/shadow. /usr/sbin/pwconv - для конвертации в формат shadow /usr/sbin/pwunconv - для конвертации назад в нормальный формат 6.9 Зачем нужны файлы /etc/passwd-, /etc/group-? /etc/passwd - хранит информацию о пользователях, доступен для просмотра всем пользователям. /etc/group - хранит информацию о группах, доступен для просмотра всем пользователям. 6.10 Что такое ПАМ? Для чего он нужен? ПАМ – это набор общедоступных библиотек, которые дают возможность локальному системному администратору выбрать, как прикладные программы будут подтверждать подлинность пользователей. 6.11 Что представляет собой отдельный модуль? Назовите типы существующих модулей. Модуль PAM представляет собой самодостаточный кусок программного кода, который реализует примитивы одной или большего количества подсистем одного конкретного механизма. Четыре типа модулей: Account (управление учетными записями), Auth (аутентификация), Password (изменение данных аутентификации, чаще всего пароля), Session (выполнение задач во время начала и окончания пользовательской сессии). 6.12 В каких файлах находятся сценарии аутентификаций и сами модули? Сценарии аутентификации находятся в папке /etc/pam.d, сами модули находятся в папке /etc/pam.d/name, name – название модуля. 6.13 Объясните механизм работы ПАМ. Библиотека PAM обрабатывает файл pam.d и загружает соответствующие модули 20 6.14 Какие команды используются для установки прав доступа в ОС Linux? Для изменения прав на файл или папку используется утилита chmod. Для смены владельца файла или папки используется утилита chown. Также еще используется команда setfacl. 6.15 Можно ли обеспечить доступ к файлу, если для данного пользователя отсутствуют права доступа в данную директорию? Можно, если в другой директории создать hardlink на этот файл. 21