Читайте также:
|
Системі Unix вже більше 30 років. За цей час вона пройшла великий шлях розвитку і підвищення ступеню безпеки. Однак і по цей день система має певні притаманні їй недоліки, які досить часто виявляються причиною знайдених вразливостей системи. Розглянемо тільки ті потенційні вразливості, які не пов'язані з роботою в мережі.
Одним з принципових недоліків системи Unix є наявність в ній суперкористувача, тобто користувача, для якого ігноруються правила розмежування доступу. Фактично, суперкористувач має доступ по любому методу до всіх файлів в системі. В деяких сучасних Unix'ах забороняється безпосередній вхід суперкористувача в систему, і підтримується розподіл ролей адміністраторів системи.
Небезпечною є наявність в системі багатьох конфігураційних файлів, вміст яких є критичним для безпеки системи. Захист цих файлів здійснюється штатними засобами розмежування доступу, що не завжди достатньо. Великим кроком по підвищенню безпеки Unix'у стало впровадження "невидимого" файлу /etc/shadow (або /etc/master.passwd).
Дуже серйозну загрозу безпеці становлять програми з встановленими флагами SUID або SGID. Саме через помилки в таких програмах, або в функціях ядра системи, які роблять виклики таких програм, і з'являється переважна більшість вразливостей системи, що дозволяють звичайному користувачеві отримати повноваження суперкористувача. На жаль, повністю відмовитись від таких програм неможливо, оскільки під час роботи звичайний користувач час від часу має звертатись до системних файлів або таблиць, довільний доступ до яких йому заборонено. Хрестоматійним прикладом є зміна власного паролю, що вимагає доступу на запис до файлу /etc/master.passwd.
Базова система розмежування доступу на основі 12-бітного вектору вважається на теперішній час недостатньо гнучкою. Крім того, кількість методів доступу, що розрізняються підсистемою розмежування доступу Unix (читання, запис, виконання) теж не є достатньою. Наприклад, запис в файл зі зміною даних, що містяться в ньому, і додавання інформації в кінець файлу без права на модифікацію даних, що були записані раніше, — це фактично різні види доступу. При цьому сама система Unix на рівні системних викликів при відкриванні файлу розрізняє ці види доступу, а підсистема розмежування доступу — ні. В деяких сучасних системах з сімейства Unix на додаток до базової системи розмежування доступу додається система зі списками прав доступу, подібна до реалізованої в системі Windows NT. Також в ряді випадків добудовують систему нормативного (mandatory) керування доступом, підвищуючи клас захищеності системи за "Оранжевою книгою" до групи В.
Ряд недоліків має система реєстрації. Найголовнішим з них є те, що журнали аудиту є звичайними файлами, що захищені від модифікації стандартними засобами розмежування доступу. Якщо в результаті успішної атаки зловмисник отримав права суперкористувача, він має можливість знищити або модифікувати в журналі аудиту всі записи, що стосуються його атаки.
До загальних недоліків комплексу засобів захисту системи Unix відносять також погану структурованість, розпорошення окремих засобів, що мають суттєве значення для безпеки системи, в різних її частинах (зокрема, розкиданість конфігураційних файлів по файловій системі), відсутність чітко обмеженого ядра безпеки.
Однак взагалі позитивні риси Unix'у мають перевагу над її недоліками. Незважаючи на безпрецедентно довгий вік, операційна система Unix продовжує розвиватись, задовольняючи все жорсткіші вимоги безпеки для систем загального призначення. Дороблені системи Unix атестовані на класи В1 (Trusted Irix, Trusted Solaris) та В2 (Trusted Xenix) за "Оранжевою книгою".
Дата добавления: 2014-12-19; просмотров: 115 | Поможем написать вашу работу | Нарушение авторских прав |
|