Ролевое управление доступом (RBAC). Вопросы безопасности

Команды, поддерживающие роли

Следующие команды проверяют права (authorizations) пользователя, который пытается их выполнить, и поддерживают систему RBAC. Это значит, что выполнить эти команды может не только root, но и другие пользователи, которые начали играть определенную роль, "переключившись" в нее.

Следующие программы проверяют наборы прав (полномочия), которыми обладает пользователь, пытающийся запустить их:

• все программы, запускаемые внутри Solaris Management Console;
• программы запланированного запуска at, atq, batch, crontab ;
• команды, связанные с работой физических устройств – allocate, deallocate, list_devices, cdrw.

Команды управления ролями

Управление ролями производится путем редактирования файлов в каталоге /etc/security или посредством программ roleadd, rolemod и roledel. Кроме того, управлять ролями и назначением прав в RBAC можно с помощью Solaris Management Console.

Можно, например, добавить роль printmgr с назначением прав по умолчанию:

roleadd printmgr

а с помощью команды

roleadd –D

эти самые права по умолчанию можно увидеть воочию:

roleadd –D
group=other,1 project=default,3 basedir=/home
skel=/etc/skel shell=/bin/pfsh inactive=0
expire= auths= profiles=All

Для выполнения команд, предполагающих использование ролей, следует воспользоваться специальными командными процессорами, в которых реализована работа с ролями. Имеется набор таких командных процессоров, функционально эквивалентных своим "безролевым" аналогам: /bin/pfsh, /bin/pfcsh, or /bin/pfksh. Эти командные процессоры следует назначать в качестве login shell для ролей.

Управление ролями в Solaris Management Console

В Solaris Management Console возможно управление ролями (пункт Administrative Roles) в графическом интерфейсе. Для управления потребуется ввести имя и пароль роли, которая имеет право на такое администрирование (часто это пользователь root ).

Рис. 9.2 иллюстрирует сказанное: в главном меню Solaris Management Console следует выбрать Users, а для администрирования ролей в открывшемся окне справа – Administrative Roles.

Рис. 9.2. Управдение ролями в Solaris Management Console

Дополнительные средства обеспечения безопасности

Аудит файлов (BART)

Одним из самых простых и эффективных средств наблюдения за системой является инструмент bart (Basic Audit and Reporting Tool). С помощью этой программы вы сможете создавать информационную базу контрольных сумм важных файлов. Ежедневное сравнение контрольных сумм файлов поможет обнаружить неожиданную модификацию настроек злоумышленником или ошибочно работающим приложением. Определите периодичность проверок сами, лавируя между чрезмерными накладными расходами на безопасность и приемлемым временем реакции на вторжение в систему – можно запускать проверку даже ежеминутно.

Программа bart проверяет целостность файлов по нескольким параметрам:

• uid, gid, права доступа, содержимое;
• время модификации, размер, тип;
• проводит сравнение файлов созданных в разное время.

Предположим, файл rules в текущем каталоге содержит инструкции программе bart, какие каталоги следует проверять при запуске:

cat ./rules
/etc
CHECK all

Запустим bart первый раз – для создания начальной информационной базы, которую будем хранить в файле oldManifest (логично выполнить эту команду после установки и начальной настройки системы, а затем повторять после внесения изменений в настройки – т.е. в файлы, которые находятся в /etc ):

find /etc | bart create -I > oldManifest

Теперь, по прошествии некоторого времени, запустим создание новой информационной базы и сравнение – и тут нам пригодится файл rules с инструкциями, который мы заранее создали:

find /etc | bart create -I > newManifest
bart compare -r ./rules ./oldManifest ./newManifest

Оказывается, за это время что-то изменилось:

/etc/user_attr:
size control:28268 test:23520
acl control:user::rw-,group::rw-,mask:r-x,other:r—
test:user::rw-,group::rw-,mask:r-x,other:rwcontents
control:28dd3a3af2fcc103f422993de5b162f3
test:28893a3af2fcc103f422993de5b162f3

Теперь нам остается выяснить, было ли это изменение санкционированным, или оно произошло по чьей-то злой воле.

Более подробно об автоматизации проверки целостности файлов с помощью bart можно прочесть в документе по адресу http://www.sun. com/blueprints/0305/819-2259.pdf.

Изучение файлов протоколов

Solaris приспособлен сообщать системному администратору обо всех проблемах, которые возникают при работе системы. Основной источник информации – это файлы протоколов. Во всех версиях Solaris следует наблюдать за сообщениями в файле /var/adm/messages (это аналог /var/log/messages в Linux и FreeBSD) и в файле /var/log/syslog. Кроме этого, в файле /etc/syslog.conf можно определить и другие файлы для протоколирования событий в системе и приложениях.

При подозрениии на неработоспособность какой-либо службы следует дать команду svcs -xv, эта команда выведет список служб, которые должны работать, но по какой-то причине не могут этого делать. Информация о каждой службе будет включать в себя имя ее индивидуального файла протокола.

Вручную

Изучение файлов протоколов можно выполнять вручную (т.е. с помощью вывода этих файлов на экран – для этого пригодны команды more, less, pg или любой текстовый редактор).

Скриптом

Для анализа файлов протоколов можно приспособить скрипт на том языке, на котором вам комфортнее обрабатывать тексты. Я предпочитаю использовать perl (поставляется в дистрибутиве Solaris 10), но можно использовать также awk, php или любой другой.

Инструменты графического режима

В графической среде GNOME для просмотра файлов протоколов можно использовать инструмент gnome-system-log, легко вызываемый из меню All Applications->System Tools (рис. 9.3).

увеличить изображение
Рис. 9.3. Программа просмотра файлов протоколов в GNOME

Объявления об уязвимостях

Хорошим стилем администрирования является не только своевременное обновление системы и установка требуемых заплаток, но и отслеживание новостей, связанных с безопасностью. Уже многие годы в этом помогают рассылки и новости, на которые можно подписаться на специализированных веб-сайтах, например, http://www.cert.org и http://sans.org.