Защита информации в компьютерных сетях. Кулябов Д.С. - 68 стр.

UptoLike

ВУЗ: 

РУДН | Москва

Составители: 

Рубрика: 

68 Д. С. КУЛЯБОВ
ваются флаги execute_only (для файлов), read_only (для файлов и
каталогов), search_only (для каталогов), secure_delete (для файлов),
no_execute (для файлов) и add_inherited (для файлов и каталогов)).
3.3.1.4. МОДУЛЬ AUTH
ОСНОВЫ. Этот модуль может быть рассмотрен как модуль поддержки
для всех остальных модулей. Он ограничивает смену владельца для про-
цессов (CHANGE_OWNER) на объектах процессов (setuid): запрос раз-
решен, только если процесс имеет установленный флаг auth_may_setuid
или в его наборе привилегий находится целевой ID пользователя. Флаг
auth_may_setuid и набор способностей наследуются при выполнении от
программного файла.
Возможности программных файлов могут быть установлены, если всем
модулям разрешен запрос MODIFY_ATTRIBUTE для A_auth_add_f_cap
или A_auth_remove_f_cap. Возможности процесса могут быть добавле-
ны только другими процессами, которые имеют установленный флаг
auth_may_set_cap, который также унаследован от их исполняемого файла.
Таким образом, возможно осуществление процесса аутентификации,
базирующееся на демоне, также как ограничение системных демонов на-
бором пользовательских ID.
АТРИБУТЫ AUTH. Все процессы имеют два auth-флага: auth_may_setuid
и auth_may_set_cap с вышеупомянутыми значениями. Они унаследованы
всеми процессами потомков.
Файлы и процессы также имеют наборы возможностей с теми же са-
мыми правилами наследования. Добавление даление) к (из) набору(-а)
возможностей ограничено в соответствии с различными схемами контроля
доступа процессов и файлов: заголовки процесса могут быть установлены
любым процессом, который имеет набор auth_may_set_flag, кто бы ни был
владельцем процесса. Флаги файла установлены от имени пользователей
для любой программы.
СПЕЦИАЛЬНЫЕ ЗНАЧЕНИЯ. До версии 1.0.9а, наборы привилегий файлов
могли иметь специальное значение 65533 (UID -3), которое замещалось
владельцем процесса во время копирования набора (время выполнения).
Эти процессы могут вернуться назад к оригинальному ID пользователя
после его изменения. Это значение было изменено на 4294967292 (снова
-3) в 1.0.9b, которое поддерживает 32-битный ID пользователя.
АДМИНИСТРИРОВАНИЕ. AUTH только ограничивает собственное адми-
нистрирование, если это позволено в конфигурации ядра. Администриро-
вание разрешено пользователю с ролью system_role security_officer, и все
задействованные атрибуты защищены.
В дальнейшем каждый модуль может ограничить администрацию
AUTH, если это зависит от надлежащей аутентификации.

Страницы