Отчет по лабораторным работам по дисциплине “Программно-аппаратные средства защиты информации” Лабораторная работа №1. Установка, настройка и организация комплекса средств защиты ОС на базе GNU/Linux. Упражнения 1-2. Установка операционной системы. Доустановка программных пакетов в систему. Была установлена виртуальная машина Linux Ubuntu. Также были подгружены необходимые утилиты (редактор mc). Упражнение 3. Управление учетными записями пользователей и создание групп. Были изучены команды adduser, userdel, usermod, passwd, groupadd, groupdel, groupmod. Далее были выполнены следующие инструкции: 1. С помощью изученных команд создали пользователя 1 с идентификатором пользователя uid = 1030357. 2. С помощью изученных команд создали пользователя 2 с пустым паролем. 3. С помощью изученных команд создали пользователя 3. 4. С помощью изученных команд создали новую группу и включили в неё пользователей 2 и 3. Ключ `-a` в команде `usermod` указывает на добавление пользователя в группу, а ключ `-G` указывает на список групп, к которым пользователь должен принадлежать: Упражнение 4. Настройка подсистемы идентификации и аутентификации пользователей. После изучения механизма функционирования Pluggable Authentication Modules (PAM - подключаемые модули аутентификации) и login.defs посредством редактирования необходимых файлов реализовали требования к составу и длине пароля, изложенные в РД Гостехкомиссии «Автоматизированные системы….» для класса 1Г Автоматизированных Систем: должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов. Пароль условно постоянного действия (conditional password) - это особый тип пароля, который может быть установлен в системе Linux. Этот тип пароля обычно используется в ситуациях, когда пользователю требуется временный пароль или пароль с ограниченным сроком действия. Этот тип пароля может быть полезен в различных сценариях, таких как временное предоставление доступа к системе для гостей, временный доступ для подрядчиков или ограничение доступа для определенных пользователей на определенное время. Про PAM: при входе в систему пользователи были вынуждены работать с программой login. Она спрашивала имя, затем пароль шифровала известным алгоритмом и сравнивала это с записью в файле /etc/passwd. Если все совпадало, то разрешалось войти, иначе предлагалось начать все с начала. Через некоторое время наученные горьким опытом системы перестали хранить зашифрованные пароли в файле /etc/passwd открытом на всеобщее обозрение и переместили эту информацию в файл /etc/shadow, читать который дозволено было только обладателям правами суперпользователя. Программа login была переписана заново: теперь она умела и читать из нового файла и шифровать по более серьезному алгоритму. Далее появилась идея отделить программы от механизма аутентификации. Эта система получила название PAM (Pluggable Authentication Modules), что означает Подгружаемые Модули Аутентификации (ПМА). Теперь если программа (в частности login) желает произвести аутентификацию пользователя, она больше не занимается этим, а обращается к PAM'у с соответствующим запросом. Последний выполняет все проверки и докладывает вызвавшему его о результатах. Выборе алгоритма и особенности аутентификации теперь лежат на PAM'е. Формально PAM выполнен в виде разделяемых библиотек-модулей, расположившихся в каталоге /lib/security/: • /etc/pam.d/common-password on Debian-base systems • /etc/security/pwquality.conf on RedHat Результат: Упражнение 5. Установка прав разграничения доступа к файлам. Были изучены функции chmod, chown: chmod - делает файл исполняемым, наделяет пользователей/группы/остальных правами доступа; chown - позволяет поменять владельца/группу файла. Опции, доступные для команд chmod и chown: - Для команды chmod, вы можете использовать опции, такие как u (владелец файла), g (группа файла), o (остальные пользователи), + (добавить права), - (убрать права), = (установить определенные права), а также комбинировать различные права, такие как r (чтение), w (запись), x (выполнение). - Для команды chown, вы можете использовать опции, такие как u (владелец файла), g (группа файла), а также указать имя пользователя или группы для изменения владельца файла. ls -l /tmp/first_file - проверка прав доступа chgrp new_group /tmp/first_file - для смены группы chmod usergrouprest name_file – наделение правами доступа При этом доступ ко всем трём файлам со стороны остальных пользователей системы, исключая пользователя root, заблокирован. Упражнение 6. Настройка подсистемы регистрации и учёта событий. Сообщения о всех событиях в системе должны помещаться в файл /tmp/messages и сообщения о событиях безопасности должны помещаться в файл /var/log/security1. Первая строка *.* /tmp/messages указывает rsyslogd записывать все сообщения всех уровней в файл /tmp/messages. Вторая строка auth,authpriv.* /var/log/security1 указывает rsyslogd записывать только сообщения о безопасности (уровни auth и authpriv) в файл /var/log/security1. Для проверки: в настройках попытаться поменять пароль другому пользователю.