КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Серверные операционные системы LinuxСистемы Linux — даже те, которые не используют SELinux-расширения — теоретически позволяют распределять привилегии учетной записи суперпользователя по возможностям в соответствии со стандартом POSIX. Кроме того, спецификации характеристик можно назначить исполняемым программам, а затем программы при выполнении будут запрашивать заданные характеристики. По сути, это — форма выполнения setuid-команд с нижним уровнем риска. Подключаемые модули аутентификации (Pluggable Authentication Modules — РАМ) образуют технологию аутентификации, а не технологию управления доступом. Другими словами, технология РАМ призвана искать ответ не на вопрос: Имеет ли право пользователь X выполнить операцию Y?, а на вопрос: Как узнать, что это действительно пользователь X? Технология РАМ — это важное звено в цепи управления доступом в большинстве систем. Раньше пароли пользователей проверялись с помощью содержимого файла /etc/ shadow (или его сетевого эквивалента) в момент регистрации, чтобы можно было установить соответствующий UID-идентификатор для командной оболочки пользователя или оконной системы. В этом случае программы, выполняемые пользователем, вынуждены были принимать указанный UID на веру. В современном мире сетей, криптографии и устройств биометрической идентификации нужна более гибкая и открытая система. Поэтому и появилась технология РАМ. Технология РАМ — это набор разделяемых библиотек, которые позволяют интегрировать различные низкоуровневые методы аутентификации. Администраторы указывают те методы аутентификации, которые (с их точки зрения) должна использовать система в соответствующих контекстах. Программы, которые собираются аутентифицировать пользователя, просто вызывают систему РАМ, а не реализуют собственные формы аутентификации. Система РАМ, в свою очередь, вызывает специальную библиотеку аутентификации, заданную системным администратором. Несмотря на наличие описанных выше превосходных возможностей операционных систем, в большинстве узлов для задач системного администрирования по-прежнему используется учетная запись суперпользователя. Многие жалобы на традиционную систему имеют реальную почву, но и альтернативным вариантам присущи серьезные проблемы. Поэтому особое значение приобретают такие дополнительные программные инструменты, как sudo (подробнее чуть ниже), которые в некоторой степени позволяют преодолеть разрыв между критериями простоты использования и безопасности. Часто для принятия решений в особых обстоятельствах используются возможности POSIX или средства управления доступом на основе ролей (например, когда необходимо разрешить переустановку принтера или демона каждому, кто работает в конкретном отделе), в то время как при решении каждодневных задач ваша административная команда продолжает полагаться на утилиту sudo и учетную запись суперпользователя. В некоторых случаях (например, если это оговорено в контракте) для узлов необходимо использовать такие мощные и “ударопрочные” системы, как SELinux. Поскольку доступ с правами суперпользователя является обязательным условием системного администрирования и центральной точкой для безопасности систем, очень важно правильно пользоваться правами и обязанностями учетной записи root. Менеджер устройств udev опирается на набор правил, определяющих возможности управления устройствами и присваивания им имен. Стандартные правила хранятся в каталоге /lib/udev/rules.d, а локальные — в каталоге /etc/udev/rules.d. Вам не нужно редактировать или удалять стандартные правила — их можно игнорировать или переопределить путем создания нового файла стандартных правил с прежним именем в пользовательском каталоге правил. Главным файлом конфигурации для менеджера udev является файл /etc/udev /udev.conf. Файлы udev.conf в наших примерах дистрибутивов содержат только комментарии, за исключением одной строки, которая позволяет выполнять регистрацию ошибок. Жаль, но из-за политических разногласий между дистрибьюторами и разработчиками совместная деятельность дистрибьюторов на ниве создания правил оставляет желать лучшего. Многие имена файлов в каталоге стандартных правил не меняются при переходе от дистрибутива к дистрибутиву, в то время как содержимое этих файлов претерпевает существенные изменения. Файлы правил именуются в соответствии с шаблоном nn-описание.rules, где nn — обычно двузначное число. Файлы обрабатываются в лексическом порядке, поэтому меньшие числа обрабатываются первыми. Файлы из двух каталогов правил объединяются до того, как демон менеджера udev, udevd, проанализирует их. Суффикс .rules обязателен — без него файлы игнорируются. Правила задаются в таком формате. условие, [условие, ...] назначение [,назначение ...] Здесь элемент условие определяет ситуации, в которых должно применяться данное правило. Каждое выражение условия состоит из ключа, знака операции и значения. Например, в качестве потенциального компонента правила может использоваться условие ATTR{size}="1974271", отбирающее все устройства, атрибут size которых в точности равен значению 1974271. В течение последних трех десятилетий широкое распространение получила четвертая версия протокола TCP/IP, известная также под именем IPv4. Она использует четырехбайтовые IP-адреса. Современная версия, IPv6, расширила адресное пространство до 16 байт, а также учла опыт использования версии IPv4. В нее не были включены возможности протокола IPv4, которые оказались не очень нужными. Это позволило ускорить работу протокола и облегчило его реализацию. Кроме того, версия IPv6 объединила системы безопасности и аутентификации в рамках одного базового протокола. Все современные операционные системы и многие сетевые устройства уже поддерживают протокол IPv6. Однако в реальности степень активного использования протокола IPv6 остается практически нулевой.3 Опыт показывает, что администраторам лучше было бы отложить использование протокола IPv6 на как можно более долгий срок. В конце концов все будут вынуждены перейти на протокол IPv6, но на это потребуется еще несколько лет. В то же время этот переход не настолько далек, чтобы не учитывать его при покупке новых сетевых устройств. Приобретая новое оборудование, настаивайте на том, чтобы оно поддерживало протокол IPv6. Разработка протокола IPv6 была в большой степени мотивирована беспокойством о том, что адресное пространство протокола IPv4 практически исчерпано. Это действительно так: прогнозы показывают, что современная система выделения адресов в протоколе IPv4 примерно в 2011 году испытает коллапс. (См. сайт ipv4.potaroo.net, который обновляется ежедневно.) И все же адаптация протокола IPv6 в Интернете в ближайшее время не предвидится. Система TCP/IP располагает средствами поддержки целого ряда физических сетей и транспортных систем, включая технологии Ethernet, Token Ring, MPLS (Multiprotocol Label Switching), беспроводную технологию Ethernet, а также системы с последовательными соединениями. Управление аппаратными устройствами осуществляется на канальном уровне архитектуры TCP/IP, а протоколам более высоких уровней неизвестно, как именно используются аппаратные средства. Данные передаются по сети в виде пакетов, которые имеют максимальный размер, определяемый ограничениями канального уровня. Каждый пакет состоит из заголовка и полезного содержимого. Заголовок содержит сведения о том, откуда прибыл пакет и куда он направляется. В него могут также включаться контрольные суммы, информация, характерная для конкретного протокола, и другие инструкции, касающиеся обработки пакета. Полезное содержимое — это данные, подлежащие пересылке. Название базового блока передачи данных зависит от уровня протокола. На канальном уровне это кадр, или фрейм, в протоколе IP — пакет, а в протоколе TCP — сегмент. Мы будем придерживаться универсального термина “пакет”. Готовящийся к отправке пакет передается вниз по стеку протоколов, и каждый протокол добавляет в него собственный заголовок. Сформированный пакет одного протокола становится полезным содержимым пакета, генерируемого следующим протоколом. Эта операция называется инкапсуляцией. На принимающей стороне инкапсулированные пакеты восстанавливаются в обратном порядке при прохождении вверх по стеку. Например, датаграмма (пакет UDP), передаваемая по сети Ethernet, упакована в трех различных “конвертах”. В среде Ethernet она “вкладывается” в простой физический фрейм, заголовок которого содержит сведения об аппаратных адресах отправителя и ближайшего получателя, длине фрейма и его контрольной сумме (CRC). Полезным содержимым Ethemet-фрейма является IP-пакет. Полезное содержимое IP-пакета — это UDP-пакет, и, наконец, полезное содержимое UDP-пакета состоит из собственно данных, подлежащих передаче. Программное обеспечение для создания плана локальной сети Для создания карты локальной сети я выбрал программу CADE. Рис. 1 Начальное окно программы CADE CADE довольная хорошая CAD-система для создания 2D схем. На официальном сайте авторы пишут, что программа имеет базовую функциональность Visio от Microsoft. С помощью программы можно создавать диаграммы сетей, потоков, схем, карт, UML-диаграмм, блок-схем алгоритмов. Программа имеет множество стандартных элементов: различные линии, дуги, эллипсы, текст, изображения У каждого объекта имеется большое количество свойств, таких как: цвет линий, цвет фона, положение. Для проектирования электрических схем имеется множество стандартных элементов. Для создания планов и чертежей CADE предлагает различные стандартные строения: дома, магазины, стадионы. CADE можно использовать и как обычный графический векторный редактор, и как инструмент для публикации чертежей в Интернете. Уникальной особенностью программы является возможность просматривать и редактировать чертежи в броузере. При публикации обеспечивается возможность совместно работать над документами. Опубликованный чертеж можно просматривать без использования CADE, но для редактирования необходим CADE. Управлять доступными чертежами можно и через web интерфейс, и через windows интерфейс CADE. CADE легко интегрируется как в новое, так и в существующее web или windows приложение. В целом программа CADE производит хорошее впечатление. Она подходит для решения большого круга задач по созданию чертежей и планов. Недостатки также отмечаются, например не самые удобные методы предлагаются для объединения объектов и их манипуляции.
|