Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Зміна кореневого каталогу застосування⇐ ПредыдущаяСтр 46 из 46
Одним із ефективних способів запобігання або ослаблення дії різних атак в UNIX-системах є обмеження видимості файлової системи для застосувань. У такому разі кореневим каталогом ("/") для процесу стає не справжній кореневий каталог файлової системи, а один із його підкаталогів. Поза даним каталогом файлова система для цього процесу буде недоступною. Таку зміну відображення файлової системи здійснюють за допомогою системного виклику chroot(), у даному випадку кажуть про застосування зі зміненим кореневим каталогом або chroot-застосування. Застосування зі зміненим кореневим каталогом не має доступу до більшості каталогів системи, тому заподіяна шкода від зловмисника, який отримав контроль над системою за допомогою такого застосування (наприклад, за допомогою атаки переповненням буфера), буде значно обмежена. Виклик chroot() може бути виконаний тільки процесом із правами суперко-ристувача. Наведемо приклад його використання для того щоб зробити кореневим каталогом поточного процесу /home/user/newroot:
#include <unistd.h> chroot ("/home/user7newroot");
Зміну кореневого каталогу часто використовують у різних серверах. Так, деякі сучасні версії стандартних мережних серверів (сервер імен bind, поштовий сервер sendmail) як один із режимів підтримують роботу за умов зміненого кореневого каталогу. Розглянемо послідовність завантаження сервера у разі використання chroot(). 1. Здійснюють підготовку до обслуговування клієнтів (завантажують необхідні динамічні бібліотеки і конфігураційні файли, відкривають файли журналу). 2. Виконують виклик chroot(). 3. Сервер починає очікування з'єднань від клієнтів та їхнє обслуговування. При цьому рекомендовано перейти в режим виконання із правами звичайного користувача за допомогою системного виклику setuid().
Висновки ♦ Основними завданнями забезпечення безпеки комп'ютерних систем є аутентифікація, керування доступом, аудит, забезпечення конфіденційності, доступності та цілісності даних. ♦ Сучасні засоби підтримки безпеки ґрунтуються на таких криптографічних технологіях, як алгоритми із секретним і відкритим ключами, гібридні крип-тосистеми, цифрові підписи і сертифікати. ♦ Аутентифікація дає змогу впевнитися, що користувач є тим, за кого себе видає, і може бути допущений у систему. Для підтвердження особи користувача звичайно використовують пароль. Сучасні технології аутентифікації дають змогу уникнути передавання пароля каналом зв'язку у незашифрованому вигляді.
♦ Керування доступом (авторизація) дає змогу визначити дії, які авторизований користувач може виконувати із різними об'єктами у системі. Авторизація реалізована на основі визначення списків контролю доступу, пов'язаних із об'єктами у системі, а також списків можливостей, пов'язаних із окремими користувачами. ♦ Організація аудиту дає змогу зберігати інформацію про різні події у системі для подальшого аналізу. Інформацію зберігають у спеціальному журналі аудиту (системному журналі, журналі подій), вибір подій для реєстрації в цьому журналі визначає політика аудиту. ♦ Для забезпечення конфіденційності даних у рамках локальної системи використовують шифрувальні файлові системи або криптографічні АРІ. Мережна безпека даних забезпечена їхнім шифруванням на різних рівнях мережної архітектури. Найчастіше таке шифрування виконують на мережному рівні або між транспортним і прикладним рівнями.
Контрольні запитання та завдання І.Як можна реалізувати підтримку цілісності повідомлень і конфіденційності передачі даних у системі електронної пошти? 2. Наведено описи трьох систем керування доступом ОС: а) кожен файл містить список коректних паролів; користувач зобов'язаний пред'явити один із цих паролів, щоб відкрити файл; б) кожному файлу присвоюють ім'я з 256 випадкових символів, єдиний спосіб одержати доступ до файла — це задати його ім'я;
|
|||||
Последнее изменение этой страницы: 2017-02-06; просмотров: 133; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.143.4.181 (0.005 с.) |