Суперпользователь
Категория: Сила привилегий | Автор: admin | 30-09-2009, 03:51

Определяющей характеристикой учетной записи суперпользователя является значение UID, равное 0. UNIX не запрещает менять имя этой учетной записи или создавать другую запись с нулевым идентификатором, но такие действия ни к чему хорошему не приведут. Их следствием будет возникновение новых брешей в системе защиты, а также растерянность других пользователей, которым придется разбираться с особенностями конфигурирования такой системы.

UNIX позволяет привилегированному пользователю (т.е. всякому процессу, у которого эффективный идентификатор пользователя равен 0) выполнять над файлом или процессом любую допустимую операцию. Кроме того, некоторые системные вызовы (обращения к ядру) может осуществлять только суперпользователь. Вот примеры операций, доступных лишь суперпользова­телю:

  • изменение корневого каталога процесса с помощью команды chroot;

  • создание файлов устройств;

  • установка системных часов;

  • увеличение лимитов использования ресурсов и повышение приоритетов процессов;

  • задание сетевого имени системы;

  • конфигурирование сетевых интерфейсов;

  • останов системы.

Процессы суперпользователя обладают способностью изменять свои идентификаторы. Один из таких процессов — это программа login, которая выдает приглашение ввести пароль при входе в систему. Если введенные пароль и имя пользователя правильны, то программа заменяет свои идентификаторы соответствующими идентификаторами указанного пользователя и запускает интерпретатор команд. После того как процесс суперпользователя, изменив свою принадлежность, станет обычным пользовательским процессом, восстановить свое предыдущее привилегированное состояние он не сможет.


Просмотров: 3326 | Подробнее... | Комментариев: 0
  Пароль суперпользователя
Категория: Сила привилегий | Автор: admin | 30-09-2009, 03:56

Пароль пользователя root должен состоять как минимум из восьми символов; семисимвольные пароли взламываются достаточно легко. В некоторых системах задавать более длинный пароль не имеет смысла, потому что обрабатываются только первые восемь символов.

Пароль суперпользователя следует выбирать так, чтобы его нельзя было определить методом перебора. Теоретически наиболее безопасный пароль состоит из случайной последовательности букв, знаков препинания и цифр. Такой пароль, однако, тяжело запомнить и, как правило, трудно вводить. Поэтому, если системный администратор записывает пароль или вводит его слишком медленно, об оптимальном уровне безопасности системы говорить не приходится.


Просмотров: 3518 | Подробнее... | Комментариев: 0
  Как стать суперпользователем
Категория: Сила привилегий | Автор: admin | 30-09-2009, 04:02

Поскольку пользователь root является таким же членом системы, как и другие пользователи, можно войти в систему непосредственно под этим именем. Однако оказывается, что это достаточно неудачное решение. Во-первых, не будет сделано никаких записей о том, какие действия выполнял суперпользователь. Согласитесь, не слишком-то приятно выяснить, что вчера ночью в 3:00 вы сделали что-то не так, но никак не можете вспомнить, что именно. Еще хуже, если такой доступ был неавторизованным и необходимо понять, какой ущерб системе нанес нарушитель. Во-вторых, сценарий регистрации суперпользователя не предполагает сбора никакой другой идентифицирующей информации. Когда под именем root в систему могут входить несколько пользователей, не существует способа определить, кто из них и когда это сделал.

По этим причинам в большинстве систем регистрация под именем root запрещена на терминалах и по сети, т.е. везде, кроме системной консоли. Мы рекомендуем придерживаться данного правила (см параграф 21.6, в котором рассказывается, какие системные файлы потребуется для этого отредактировать).


Просмотров: 6662 | Подробнее... | Комментариев: 0
  Другие псевдопользователи
Категория: Сила привилегий | Автор: admin | 30-09-2009, 04:05

Пользователь с именем root — единственный, кто имеет для ядра UNIX особый статус. Есть, однако, еще несколько неперсонифицируемых регистрационных имен, которые используются для системных целей. Пароли этих псевдопользователей в файле /etc/passwd обычно заменяют звездочкой, чтобы нельзя было войти в систему под их именем.


Просмотров: 4285 | Подробнее... | Комментариев: 0
  Компоненты процесса
Категория: Управление процессами | Автор: admin | 30-09-2009, 04:09

Процесс состоит из адресного пространства и набора структур данных, содержащихся внутри ядра. Адресное пространство представляет собой совокупность страниц памяти, которые ядро выделило для выполнения процесса. В него загружается код процесса и используемые им библиотеки функций, переменные, стек и различная вспомогательная информация, необходимая ядру во время работы процесса. Поскольку в UNIX поддерживается концепция виртуальной памяти, страницы адресного пространства процесса в конкретный момент времени могут либо находиться в физической памяти целиком или частично, либо вообще отсутствовать там.

В структурах данных ядра хранится различная информация о каждом процессе. К наиболее важным сведениям относятся:


Просмотров: 3779 | Подробнее... | Комментариев: 0


 
Логин
Пароль
 

 
Locations of visitors to this page