ВУЗ:
Составители:
Рубрика:
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 59
Medusa DS9 поддерживает на уровне ядра авторизацию пользовате-
лей на серверах авторизации, поэтому прежде чем выполнять какую-либо
операцию, ядро делает запрос на сервер, который в свою очередь либо
разрешает, либо запрещает ее выполнение. Так же в некоторых случаях
сервер может повлиять и на то, как эта операция должна выполняться,
что в свою очередь позволяет использовать практически любую архитек-
туру безопасности. Если сервер авторизации сконфигурирован правильно,
то при необходимости получения доступа к системным ресурсам выделя-
ется наилучший, из соображений безопасности системы, уровень доступа
и проводится аудит системы.
Пакет Medusa DS9 состоит из двух частей: патч для ядра ОС Linux и
демон безопасности «констебль», который выполняет функции сервера ав-
торизации. Заплатка ядра позволяет установить контроль над системными
вызовами, действиями файловой системы и процессами. Демон безопасно-
сти связывается с ядром, используя символьное устройство /dev/medusa
для манипуляции пакетами. Когда ядру нужно сделать запрос на под-
тверждение, оно записывает информацию в это устройство, при этом сам
процесс переводится в спящий режим. Далее активизируется Констебль,
который читает информацию из символьного устройства /dev/medusa
и, в зависимости от настроек и конфигурации системы Medusa, посылает
ответ ядру и снова засыпает. Получив ответ, ядро активизирует процесс
и получает результат операции. Вообще говоря, в случае необходимости
констебль может сам посылать команды ядру, даже если от ядра не посту-
пало никаких запросов на выполнение. В своей работе демон безопасности
использует специальный коммуникационный протокол, определенный за-
ранее в ядре системы. Поэтому, зная лишь какой протокол он использует
и, будучи уверенным, что ядро его поддерживает, на его основе можно ор-
ганизовать полноценный сервер авторизации, не боясь при этом испортить
что-нибудь в ядре системы. Для передачи информации протокол исполь-
зует специальные пакеты. Пакет Medusa DS9 предоставляет следующие
возможности:
— управление доступом к любому файлу системы посредством VFS;
— возможность перенаправить доступ на выбранный файл;
— управление отсылкой / приемом сигналов;
— непосредственное управление выполнением важных процессов;
— контроль выполнения любых системных вызовов любого выбранного
процесса;
— каждый процесс или файл является частью специализированной вир-
туальной подсистемы, и каждому процессу назначается уровень до-
ступа к этой виртуальной подсистеме, что позволяет скрыть суще-
ствование одних процессов и файлов от других;
— каждый процесс имеет уникальный идентификатор (uid), который
назначается при первом вызове;
— низкоуровневый контроль над любым системным вызовом.
Благодаря тому, что констебль представляет собой интерпретатор со
своими собственным языком описания конфигурационных файлов, напо-
минающим язык С, можно реализовать практически любую модель без-
опасности.
Страницы
- « первая
- ‹ предыдущая
- …
- 57
- 58
- 59
- 60
- 61
- …
- следующая ›
- последняя »
