CC BY
63
УДК 681.3
В.Е. ВОЛКОВ
в. г. шлхов
Омский государственный университет путей сообщения
ОСОБЕННОСТИ НАСТРОЙКИ СИСТЕМЫ АУТЕНТИФИКАЦИИ В ОС LINUX_
В статье рассматриваются основные возможности системы аутентификации ОС Linux, приведены рекомендации по ее настройке для увеличения защищенности системы.
Информационные технологии проникли во все сферы человеческой деятельности, от домашнего использования до применения на промышленных объектах и в финансовых учреждениях. В зависимости от области, в которой применяется та или иная информационная система, к ней предъявляются соответствующие требования защищенности. При этом механизмы реализации этих требований могут также существенно отличаться, однако в современных гетерогенных сетевых средах при использовании систем разграничения доступа целесообразно использование унифицированных механизмов для различных ОС. Поскольку разграничительная политика доступа к ресурсам информационной системы формируется посредством задания прав доступа для пользователей, то одной из основных частей обеспечения безопасности в любой операционной системе является система аутентификации. Аутентификация представляет собой процесс проверки регистрационной информации, т. е. является ли пользователь тем, за кого он себя выдают. В статье рассматривается механизм аутентификации ОС Linux, поскольку эта ОС является одной из наиболее быстро развивающихся и с каждым годом используется на все большем числе компьютеров.
В операционной системе Linux задачи аутентификации берет на себя так называемая система РАМ (Pluggable Authentication Modules - Подгружаемые модули аутентификации). До некоторого времени, в UNIX-подобных ОС, хэши паролей вместе с другой общедоступной информацией хранились в файле passwd, доступном для чтения всем пользователям. Хэшем называется результат преобразования массива данных произвольного размера в блок данных фиксированного размера, служащий заменителем исходного массива в некоторых контекстах. С увеличением вычислительных мощностей возникла опасность определения пароля по его хэшу методом последовательного перебора за актуальный промежуток времени. По этой причине хэши паролей и другая служебная информация были перенесены в файл shadow, доступный для чтения только пользователю root, что потребовало модификации и перекомпиляции всех программ, использующих аутентификацию. Для избежания подобных ситуаций в будущем, компания SUN предложила использование нового механизма под названием РАМ. Хорошо зарекомендовавший себя в ОС Solaris со временем он был адаптирован и под Linux. РАМ представляет собой прослойку, находящуюся между программами (службами в терминологии РАМ),
запрашивающими аутентификацию и собственно механизмами аутентификации и состоит из набора модулей и библиотек. Такое разделение позволяет любому приложению, компилированному с использованием этих библиотек, не подстраиваться под тип аутентификации, используемый в системе в данный момент, а возложить эти функции на систему-посредника. Помимо универсальности такой подход имеет некоторые недостатки. В частности, правильность аутентификации и безопасность системы в целом, во многом будут зависеть от человека, который будет осуществлять настройку РАМ. Целью данной статьи является выработка некоторых рекомендаций по настройке системы РАМ, способствующих повышению защищенности всей ОС.
Схема работы системы РАМ изображена на рисунке 1.
Основная идея РАМ состоит в том, что всегда можно написать новый модуль безопасности, который бы обращался к файлу, устройству или иному хранилищу персональных данных за информацией и возвращал результат выполнения процедуры авторизации: УСПЕХ (SUCCESS), НЕУДАЧА (FAILURE), или ИГНОРИРОВАТЬ (IGNORE). А РАМ, в свою очередь, возвратит УСПЕХ (SUCCESS) или НЕУДАЧА (FAILURE) вызвавшей ее службе. Таким образом, в ОС LINUX изначально встроена возможность сравнительно нетрудоемкой настройки на любой тип аутентификации, будь то обычный ввод пароля, аутентификация на основе сканирования отпечатка пальца или использование смарт-карт. Вся настройка РАМ осуществляется редактированием файлов, находящихся в директории /etc/ pam.d/. Каждая служба, требующая аутентификации, имеет свой конфигурационный файл, находящийся в этой папке, что позволяет для разных служб использовать разные виды аутентификации. Например, доступ на FTP сервер может предоставляться на основе вводимого пользователем пароля, а локальный доступ к консоли на основе данных смарт-карты. В файле конфигурации каждая строка состоит из 4-х столбцов: тип записи, флаг, имя вызываемого модуля, аргументы вызова, и отвечает за вызов одного модуля аутентификации. Всего существует 4 типа записей, каждый из которых выполняет свои функции:
• auth — используется для выяснения, является ли пользователь тем за кого он себя выдает;
• account — проверяет, дозволено ли использовать службу данному пользователю, на каких условиях (например, проверка устаревания пароля или наличие имени пользователя в списке запрещенных);
Служба
- запрос-
успех, _ неудача
-запрос
Конфигурация службы1
Конфигурация службыЫ
* Модуль1 г: МодульЫ
Рис. I. Схема работы сппемы РАМ
• password — используется для обновление маркеров авторизации;
• session — выполняет определенные действия при входе/выходе пользователя из системы (например, монтирование и демонтирование каталогов, регистрация в журналах).
Второй столбец (поле флага) определяет уровень значимости результата выполнения модуля. От значения в этом поле зависит реакция всей системы аутентификации, и в частности будут ли обработаны остальные строки конфигурационного файла. Поле флага может принимать значения: requisite (обязательный), required (необходимый), sufficient (достаточный), optional (необязательный). Третий и четвертый столбцы определяют имя вызываемого модуля и его аргументы. Система позволяет вводить несколько строк имеющих одинаковый тип записи. Такая комбинация называется накоплением (stacking) и задает комплексную систему проверок, при которой необходимо пройти несколько процедур аутентификации разного типа или может быть достаточно какой-то одной проверки. Например, аутентификация по отпечатку пальца и паролю. Графическая схема алгоритма обработки записей конфигурационного файла приведена на рисунке 2.
Основой РАМ являются модули, каждый из которых совершает определенные действия или проверки. Вот функции некоторых из них: pam_access.so — определяет доступ на основании файла /etc/security/access.conf, pam_cracklib.so — проверяет новый пароль на сложность по словарю, pam_lastlog.so заносит сведения в файл lastlog, pam_time.so — разрешает доступ в определенное время и т.д. В разных дистрибутивах ОС Linux, настройки аутентификации по умолчанию довольно «мягкие» и используют лишь малую часть возможностей системы РАМ. Например, для службы login это, как правило, только модули: pam_unix, pam_env, pam_lastlog, проверяющие правильность пароля и регистрирующие вход в журналах. При создании записей в конфигурациях следует избегать использования флага requisite (обязательный), ввиду того, что если модуль с этим флагом вернет значение НЕУДАЧА, то обработка всех последующих строк, в том числе и отвечающих за протоколирование, производиться не будет. Вместо него следует применять флаг required (необходимый). Если для аутентификации иользователей используются пароли, то РАМ может контролировать создаваемые пользователями новые пароли на сложность. Для этого нужно использовать модуль pam_pwcheck, со
следующими параметрами: use_cracklib — выполняется проверка наличия нового пароля и специальном файле, содержащем слабые пароли, ге-member = 8 - хранит последние 0 паролей пользователя и не дает использовать любой из них в качестве нового, md5 — осуществляет шифрование паролей более стойким алгоритмом MD5. Для зашиты от некоторых DOS-атак, а также от действий пользователей, которые могут существенно загружать
сервер, следует использовать модуль pam_limits. Ом
позволяет ограничивать программные и аппаратные ресурсы сервера для пользователей Такими ресурсами могут быть: процессорное время, максимальное время работы одного процесса, максимальное число входов в систему для одного пользователя, максимальное количество процессов и т.д. Также необходимо использовать модуль pam_access, который обращается к файлу /etc/security/ access.conf и проводит проверку имени пользователя и места, откуда этот пользователь пытается зайти в систему. В качестве места могут указываться терминалы, имена узлов и ip-адреса. В файле access.conf необходимо выделить 1 терминал (например, ttyl) через который будет подключаться только пользователь root. Это позволит всегда иметь свободный терминал для управления системой. Кроме того, необходимо особо критичным пользователям разрешить вход только с одного ip-адреса. Так же рекомендуется использовать модуль pam_time, настройки которого хранятся в файле / etc/security/time.conf. Этот модуль позволяет использовать службы только в определенное время. Таким образом, можно большинству пользователей разрешать доступ только в рабочее время. А пользователю root, например, в нерабочее время разрешать только локальный доступ. Помимо отдельного конфигурационного файла для каждой службы, в директории/etc/pam,d/ содержится файл other. Записи из этого файла применяются для всех служб, обращающихся к РАМ, не имеющих своей собственной конфигурации. Для всех четырех типов записей в этом файле необходимо вызывать модуль pam_deny, запрещая тем самым доступ для любых неизвестных служб. Эти рекомендации могут использоваться для большинства систем, однако в каждом отдельном случае требуется индивидуальный подход.
Подводя итоги, можно сказать, что сама технология аутентификации с использованием библиотеки РАМ способна предоставить не только «голый» способ установления подлинности пользователя, а
Рис. 2. Графическая схема алгоритма обработки записей конфигурационного файла
еще и широкий спектр дополнительных возможностей по защите системы и предоставлению доступа к сервисам. Правильная настройка системы позволит эффективно использовать весь комплекс инструментов.
Библиографический список
1. Э. Немеет, Г. Снайдер, С. Сибасс, Т. Хейн. UNIX: руководство системного администратора. Для профессионалов. 3-еизд. СПб.: Питер; К.: издательская rpynnaBHV, 2003. + 925с.:ил.
2. Д. Бэндл. Защита и безопасность в сетях Linux. Для профессионалов. СПб.: Питер, 2002. + 480 е.: ил.
ВОЛКОВ Виктор Евгеньевич, аспирант. ШАХОВ Владимир Григорьевич, к.т.н., профессор кафедры автоматики и систем управления.
Дата поступления статьи в редакцию: 13.02.06 г. ©Волков В.Е., Шлхов В.Г.
В. Г. ШАХОВ
Омский государственный технический университет Омский государственный университет путей сообщения
ВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ ВСТРОЕННЫХ ЗВУКОВЫХ КОДЕКОВ ОПЕРАЦИОННОЙ СИСТЕМЫ (ОС) WINDOWS
В СИСТЕМАХ IP-ТЕЛЕФОНИИ
В статье рассматриваются возможности реализации компрессии/декомпрессии звука с помощью встроенных в ОС Windows звуковых кодеков при разработке систем передачи речи через сеть Intertiet/Ethernef.
По прогнозам западных консалтинговых компаний, например, Frost & Sullivan [8] объем рынка IP-телефонии (Internet Protocol) в среднем будет возрастать на 130-140 % ежегодно. В 2005 году предполагается рост трафика IP-телефонии до 33%, особенно возрастет число звонков на дальние расстояния (около 70% трафика междугородних и международных переговоров). По данным Frost & Sullivan, в 2003 г. совокупный объем мирового трафика VoIP (Voice IP) составил 75 млрд мин, в 2004 году он вырос до 160 млрд мин, а в 2005 г. прогнозируется его увеличение до 265 млрд мин. Если в 2000 г. доходы от услуг Интернет-телефонии в мире составили 74 млн долларов, то по прогнозам к 2006 году они достигнут почти 40 млрд. долл.
Компрессия звука в IP-телефонии является необходимой при передаче речи в реальном времени по каналам связи с ограниченной пропускной способностью и желательной при передаче речи в реальном времени по высокоскоростным каналам связи. В первом случае сжатие обеспечивает устойчивую связь без искажений и потерь полезного речевого сигнала, во втором - существенно сокращает объем передаваемых данных, затраты и, благодаря этому, позволяет снижать цены на услуги
IP-телефонии и привлекать новых пользователей цифровой телефонии.
Современные IBM-совместимые компьютеры, как правило, обладают аппаратной возможностью вводить-выводить звук с помощью стандартной звуковой карты [3]. Во всех версиях ОС Windows (начиная с Windows 95) присутствует специальный интерфейс, предназначенный для преобразования форматов звуковых данных. Он называется (АСМ) Audio Compression Manager (диспетчер сжатия звука) (4). Интерфейс позволяет изменять частоту, разрядность, количество каналов, а также тип сжатия звуковых данных (format tag). При достаточной мощности процессора преобразование может выполняться в реальном времени.
АСМ включает в себя набор кодеков, выполняющих необходимые преобразования. Кодеки, компрессоры/декомпрессоры, представляют собой исполняемые файлы с расширением '.асш. Они находятся в системной папке C:\Windows\system. Как правило, кодек позволяет осуществить не только сжатие, но и распаковку звуковых данных, то есть восстановление исходного сигнала. Пользователь может самостоятельно удалять ненужные ему кодеки и устанавливать новые, что придает системе
