Защита посредством назначения прав доступа и атрибутов

Защита через права обеспечивает разграничение доступа к каталогам и файлам. Здесь необходимо следить за опекунскими назначениями, масками прав и назначениями эквивалентности по защите. Особого внимания заслуживает каталог SYS:SYSTEM, который содержит ключевые элементы защиты.

Файл AUTOEXEC.NCF может содержать пароль удаленной консоли в команде LOAD REMOTE, дающий доступ к консоли сервера с рабочей станции.

В NetWare 4.x используйте шифрование пароля удаленной консоли (см. вопрос в главе 1)

Этот же каталог является единственным хранителем .NLM-файлов после выполнения команды SECURE CONSOLE, и гарантированное отсутствие в нем пиратских модулей усиливает защиту системы.

На сервере NetWare 3.x файлы Bindery, хранящие имена, пароли и привилегии всех пользователей, при наличии права записи в SYS:SYSTEM, можно подменить, записав свои файлы NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD и выполнив утилиту BINDREST.

Для усиления защиты в особо ответственных случаях стоит удалить INSTALL.NLM из каталога SYS:SYSTEM, чтобы исключить возможность переименования томов с консоли сервера, в результате которого при некотором знании системы можно получить новую Bindery с двумя пользователями GUEST и SUPERVISOR, не требующими пароля, но обладающими своими штатными правами. В "мирных целях" при наличии копий старой Bindery эти манипуляции можно использовать для переустановки потерянного пароля супервизора с сохранением всех пользователей и групп.

Рядовые пользователи не должны иметь никаких прав в каталоге SYS:SYSTEM. В каталогах SYS:PUBLIC и SYS:LOGIN они должны иметь права сканирования и чтения [R F] для нормального использования утилит, в каталоге SYS:MAIL - права создания и записи [W C] для использования электронной почты.

Право контроля доступа [A] в корневом каталоге означает возможность присвоения любого права доступа во всем томе.

Защита файлов и каталогов с помощью атрибутов подразумевает взвешенное назначение права модификации, позволяющего снимать сдерживающие атрибуты.

Проверка надежности системы безопасности осуществляется утилитой SECURITY.EXE, хранящейся в SYS:SYSTEM. Она выявляет пользователей, для которых не требуется пароля или имеющих ненадежный пароль (совпадающий с именем, короче 5 символов или со сроком использования более 60 дней, а также без требования уникальности), имеющих эквивалентность по защите SUPERVISOR, или имеющих права в корневых каталогах, или имеющих чрезмерные права в каталогах SYS:SYSTEM, SYS:LOGIN, SYS:PUBLIC, SYS:MAIL.

Для обычной работы в сети администраторам системы и рабочих групп следует создавать отдельные имена регистрации - бюджеты без чрезвычайных привилегий, чтобы их станцией, случайно оставленной в зарегистрированном состоянии, не смог воспользоваться нарушитель с целью завладения дополнительными правами (при выполнении задач администрирования можно и повысить бдительность).

Чтобы не попасть в ловушку при утере пароля, SUPERVISOR может назначить пользователю, которому он абсолютно доверяет, эквивалентность себе по защите, или, что безопаснее, назначить его менеджером своего бюджета.

Также рекомендуется иметь на дискете копию Bindery, в которой SUPERVISOR не имеет пароля, и при необходимости восстановить ее с помощью BINDREST.EXE (правда, для этого нужно получить доступ в SYS:SYSTEM по записи, но это можно и обойти).

Содержание раздела