брандмауэр
фильтрация пакетов и разделение сетей
Создание резервных копий. Технологии: Backup, mirroring.
Необходимость создания резервных копий становится очевидной после первого слета системы, как, например, когда вы теряете практически все данные и на их восстановление уходит несколько суток, стоит задуматься об избежании таких ситуаций.
Две основные технологии резервного копирования – простой бэкап и мирроринг. Простой бекап – это когда вы копируете всю существенную информацию сайта на какой-либо носитель, винчестер, стример, магнитооптику, PCMCI-диски и т.п. При этом рекомендуется делать так же копию всех установленных позже программ и бинарных файлов. Если позволяют размеры носителя – оптимально сделать полный бекап всей системы, в таком случае при слете сервера время восстановления определяется скоростью чтения из устройства.
Мирроринг. Технология может быть реализована двумя методами. Первый – резервный винчестер, который может быть реализован в одном корпусе на основе технологии SCSI настройкой адаптера или с использованием технологий RAID. Второй – создание резервного сервера-зеркала, для которого информация синхронизирована с основным. Это достаточно дорогой способ, так как требует дополнительных расходов.
Система безопасности HP-UX
Политика и планирование системы безопасности
Не имеется несколько методов для разработки политики защиты. Вот более общий подход.
. Идентифицировать то, что Вы должны защитить. Это может быть активы типа даные пользователей, доступ до аппаратных средств, данные, документация и т.д.
. Идентифицировать потенциальные угрозы вашим ресурсам.. Они включают угрозы от природных явлений (наводнения, землетрясения), невежество и недостаток обучения пользователей и намеренных нарушений защиты.
. Оценить вероятность этих угроз, повреждающих ваши ресурсы.
. Прокласифицировать риски уровнем серьезности, и определить стоимость для сокращения того риска (это также известно как оценка риска).
. Осуществляют меры, которые защитят ресурсы.
Общие действия защиты включают следующее:
. Ограничить вход в систему доступ к программному обеспечению.
. Пользователи должны выходить или используют команду блокировки при не использовании их терминалов.
. Сохранить резервные ленты (диски) в отдаленных местах
. Стереть устаревшие данные.
Подержка системы защиты включает:
. (identification) Идентификация пользователей. Все пользователи должны иметь уникальный идентефикатор(ID) входа в систему, состоящим из названия и пароля.
. (authentication) Установление подлинности пользователей. Когда пользователь войдет, система подтверждает подлинность его пароля, проверяя существование в файле пароля.
. (authorization) Разрешение пользователей. На системном уровне, HP-UX обеспечивает два вида компьютерного использования – обычный и суперпользователь. Индивидуальным пользователям можно предоставлять или ограниченный доступ к системным файлам через традиционные разрешения файла, списки контроля доступа, и запретить SAM
. (audit) Ревизия gользователей. HP-UX дает возможность ревизовать компьютерное использование пользователями и события.
Установка Trusted Системы
HP-UX предлагает дополнительный инструментарий для безопасности системы. Для конвертации в trusted систему можно использовать SAM в разделе Auditing and Security. Также можна сделать это вручною редактируя скрипт /etc/rc.config.d/auditing. После «конвертации» стелаються следующие действия a. Создает новый, защищенная база данных пароля в /tcb/files/auth/. b. Зашифровка паролей с /etc/passwd файла до защищенной базы данных пароля и заменяют поле пароля в /etc/passwd со звездочкой (*). Вы должны копировать /etc/passwd файл, чтобы записать на ленту перед преобразованием. c. Вынуждает всех пользователей использовать пароли d. Создает audit ID для каждого пользователя.я. e. Устанавливает audit флажок на для всех существующих пользователей f. Конвертирует at,batch и crontab файлы, чтобы использовать установлные audit ID
Для аудитинга используют следующие команды: audsys(1M) установка/отмена фудитинга и показывает ревезионные файли audusr(1M) выбор ползователя для аудита audevent(1M) просмотр и изменения событий и системеных вызовов audomon(1M) устанавливает аудит файл и размер для мониторинга audisp(1M) показывает аудит установки (записи)
Также все это можно сделать визуально в SAM разделе Auditing and Security
Управление паролями и системным доступом
Пароль - наиболее важный индивидуальный код (символы) идентификации пользователя. Этим, система подтверждает подлинность пользователя, чтобы позволить доступ к системе. Администратор и обычный пользователь в системе долженй совместно использовать ответственность за защиту пароля. Администратор исполняет следующие задачи защиты: . Генерирует ID и для системы новым пользователям. Чтобы поддерживать секретность пароля, SAM генерирует Номер Разрешения для каждого нового пользователя. Этот номер должен использоваться для первого входа в систему. Как только этот номер был проверен, новому пользователю будет дано установить свой новый пароль . устанавливает надлежащий доступ на /etc/passwd и зашифрованом пароле, в
/tcb/files/auth/user_initial/user_name файлы. . Устанавливает старение пароляоля. . Удаление(стирание) паролей у каких вышел срок действия Каждый пользователь должен выполнять следующие правила: . Помнить пароль и держать его в секрете . Изменять переодически пароли . Следить за изменеием своих данных . Для каждой машине иметь разные пароли
Управлением доступом к файлам и каталогам
ВHP-UX системе, Вы используете ls -l команду, чтобы видеть полную распечатку разрешений файла и ls -ld, чтобы перечислить разрешения каталога. Chmod (1) команда позволяет Вам изменять разрешения каталогов и файлов.
Вы можете дополнительно использовать списки контроля доступа (ACLs), чтобы расширитьтрадиционный механизм разрешения, давая пользователям большeую степень управления доступом. Разрешения доступа и ограничения могут быть определены к степени детализации определенных пользователей и групп. chacl (1) создает и изменяет ACLs и lsacl (1) показывает списки ACLs файлов.
Команда chacl - подмножество команды chmod. Любые определенные разрешения, которые Вы назначаете с командой chacl, добавлены к большему количеству общих разрешений, назначенных с командой chmod. Например, предположите, что Вы используете команду chmod, чтобы позволить только непосредственно разрешение записи myfile. Вы можете использовать команду chacl, чтобы делать исключение и позволять ваше разрешение записи администратора myfile также.
Используйте chmod с -A опцией при работе с файлами, которые имеют дополнительные назначенные разрешения. Дополнительные разрешения будут удалены.
Вот пример использования команды $ chacl 'user.group operator mode' file_name где user и group указывает название в систему пользователя и группу; знак процента (%) означает всех пользователей или группы. Оператор указывает добавление (+) или отрицание (-) разрешения и знаки "=" (=) средства " это разрешение точно. " Режим указывает позволенные разрешения: чтение (r), запись (w), и выполнение /поиск (x). Оператор немедленно предшествует режиму (например, + rw добавляет разрешения записи и чтение; -rw запрещает чтение и разрешения записи) Вот еще примеры:
$ chacl 'carolyn.users=rw' myfile
$ ll myfile
-rw-r-----+ 1 nora users 236 Mar 8 14:23 myfile
$ lsacl myfile
(carolyn.users,rw-) (nora.%,rwx) (%.users,r--)(%.%,---) myfile
Для установки разрешения по умалчанию переменую окружения umask. В нем передаються параметры защиты. Напримар umask=022 (2 –w, 1 –x, 4 –r) означает что во всех открытых фыйлах по умолчаню не будет прав зяписи для групы и всех остальных пользователей.
Администратор должен установить . начальные права для каталога пользователя и дальше пользователь должен следить за защитой своей информации. . «правыльные» права на утсройства. (/dev)
Ниже привиден список команд для системы контроля доступа файловой системы
chacl(1) - change ACLs of files. getaccess(1) - list access rights to files. lsacl(1) - list access control lists of files. getaccess(2) - get a user's effective access rights to a file. getacl, fgetacl(2) - get access control list information. setacl, fsetacl(2) - set access control list information. acltostr(3C) - convert ACL structure to string form. chownacl(3C) - change owner/group represented in a file's ACL. cpacl(3C), fcpacl(3C) - copy ACL and mode bits from one file to another. setaclentry(3C), fsetaclentry(3C) - add/modify/delete a file's ACL entry. strtoacl(3C) - parse and convert ACL structure to string form. strtoaclpatt(3C) - parse and convert ACL pattern strings to arrays.
Контроль безопасности сети (networks)
Сетевые системы более узяввымие в палне защищености чем без нее (standalone). Сеть увеличивает системны доступ а так же добавляет большой риск в безопасности системы. Если вы не можете управлять всей защитой сети то вам необходимо защищать каждую станцию отдельно. Ниже приведены основые механизмы контроля доступом по сети
1. Перечинь экспортиртируемыз файловых систем /etc/exports.
/etc/exports содержит входы, которые состоят из имени пути файловой системы, сопровождаемой списком компьютеров или групп компьютеров, позволенных доступ к файловой системе. Любой вход, состоящий из только имя пути без того, чтобы следоваться компьютерным названием- файловая система, доступная каждому компьютеру на сети. /etc/exports входы могли бы содержать названия групп компьютеров. Вы можете выяснять то, какие индивидуальные машины включены в группу, проверяя
/etc/netgroup.
2. Перечислить узлов, которые имеют эквивалентные базы паролей в /etc/hosts. equiv. 3. Проверить, что каждый узел в административном домене не расширяет привилегии на любых невключенных узлов.
Вы должны повторить шаги 1 и 2 для каждого узла в домене(области).
4. Конролируйте root и локальную защиту на каждом узле в вашем административном домене Пользователь с привилегиями суперпользователя на любой машине в домене может приобретать те привилегии на каждой машине в домене. !!!
5. Поддержать последовательность названий пользователей, uid, и gid среди файлов пароля в вашем административном домене.
6.Поддержать последовательность файлов группы на всех узлах в вашем административном домене.
Режимы, владельцы, и группы на всех системных файлах должы быть установлены тщательно. Все отклонения от этих значений должны быть отмечены и исправлены.
Обратите внимание на файлы которые находяться в /etc. Ниже приведен список наиболее употребляемых файлов
networks название сетей и их адреса hosts название станций а также их адреса hosts.equiv название и адреса станций в которые эквивалентны даной станции services база данных сервисов exports список экспорта файловых систем, экспортируемых в NFS клиенту protocols база данныз протоколов inetd.conf файл конфигурации Internet netgroup Список сетевых групп.
Использують indetd.sec для контроля внешнего доступа. Файл находиться в /var/adm/inetd.sec По следующему формату :
Мониторинг системы
Имееться набор команд для мониторинга системы. Ниже приведены краткие возможности и характеристики наиболее часто используемых:
SAR – показывает активные ресурсы сиситемы (system activity reporter)
Запуск команды возможен в 2х вариантах: sar [-ubdycwaqvmAMS] [-o file] t [n] и sar [-ubdycwaqvmAMS] [-s time] [-e time] [-i sec] [-f file]
Первая форма показывает октивность комапьютера n раз с периодом t секунд. Если указана опция –o то информацию скидывает в файл. По умолчанию n = 1. Другая форма без осуществления выборки указанного интервала, sar извлекает данные от предварительно зарегистрированного файла, или тот, указанный -f опцией или, по умолчанию, стандартные действия операционной системы ежедневный файл данных /var/adm/sa/sadd в течение текущего дня dd. Начальные и конечные времена сообщения могут быть ограничены через -s и -e параметры времени формы hh [:mm [:ss]]. -i опция выбирает отчеты в секундных интервалах. Иначе, все интервалы, найденные в файле данных сообщены.
Расмотрим опции: -u использование CPU.(значение по умолчанию); часть времени, выполняющегося в одном из нескольких режимов. На многопроцессорной системе, если -M опция используется вместе с -u опцией, для каждого
-CPU использование также как среднее использование CPU всех процессоров. Если -M опция не используется,тогда показывает среднее использование CPU всех процессоров: cpu номер CPU(только на многопроцессорной системе с -M опцией);
%usr использование пользователем (непgjrfривигильованый режим);
%sys системный режим;
%wio простой с некоторым процессом, ожидающим Ввод - вывод
(только блочных I/O, необработанный ввод /вывод, или VM обозначенные загрузки/выгрузки свопа);
%idle “простой» проссора. -b показывает использования буфера bread/s- количество физический чтений на секунду с буф. на диск.(или устройсва)
-bwrit/s количество физический записей на секунду с буф. на диск.(или устройсва) lread/s - lwrit/s количество байт чтения записи на устройства.
%rcache отношения буфера- bread/lread
%wcache bwrit/lwrit pread/s Количество чтений не с блочного устройства pwrit/s Количество записей не с блочного устройства -d показывает информацию о каждом block устройстве, к которому процесор имел отношение за определенный интервал времени -y ------- для non-block устройств --- -с системные вызовы -w свопинг и переключения системы -a использование файлов -q показывает среднюю длину сообщения и процент от занятого времени -v более детальная информация об использовании файлов,inode, процессов. -m информация о семафорах
-A показывает всю информацию -M информация для индивидуального CPU в много-процесорных машинах
VMSTAT- показывает статистику виртуальной памяти Параметры запуска комманды: vmstat [-dnS] [interval [count]] vmstat -f | -s | -z -d сообщает количество обменов между диском -n выводин информацию в 80 колоночном представлени. -S количество прцессов которые свопяттся interval период отображения count количество повторов -f количество fork ( деления процесса) -s количество paging сообщений -z очищает все sum структуры ядра.
IOSTAT мониторинг I|O устройств Параметры запуска: iostat [-t] [interval [count]] interval период отображения count количество повторов -t отображает статистику для терминалов. Для каждого диска статистика предоставляеться форматом: device имя устройства bps количество передаваемых байт за секунду sps количество seekов за секунду msps в мс. средний seek
TOP отображает состояние “горячих” процесов. Параметры запуска: top [-s time] [-d count] [-q] [-u] [-n number] -s timе время между обновлениями -d count отображает количество и после этого выходит -n number количество «верхних» процесов -q запускает с самым большим приоритетом (nice –20) -u мвесто username показывает userID (для экономии проц. времени)
LSOF –отображает открытые файлы и процесы кто их открыл. Очень полезно для контроля доступа к устройствам.
NETSTAT показывает состояние сети. Параметры запуска: netstat [-aAn] [-f address-family] [system [core]] netstat [-mMnrsv] [-f address-family] [-p protocol] [system [core]] netstat [-gin] [-I interface] [interval] [system [core]] netstat отображает статистику для сетевых интерфейсов и протоколов, также как содержания различных связанных сетью структур данных. Выходной формат изменяется согласно отобранным параметрам. Некоторые параметры игнорируются когда используется в комбинации с другими параметрами.
Команда netstat берет одну из трех форм, показанных выше:
. Первая форма команды отображает список активных сокетов для каждого протокола. . Вторая форма отображает содержание одной из других сетевых структур данных согласно отобранной опции. . Третья форма отображает информацию конфигурации для каждого сетевого интерфейса. Это также отображает сетевые данные трафика относительно конфигурированных сетевых интерфейсов, произвольно модифицированных в каждом интервале, измеренном мгновенно. Опции: -a Показывает состояние всех сокетов. -A Адресный блок и протокол -f address-family Показывает сокеты с определеного семейства: inet,unix (AF_INET,AF_UNIX) -g Показывает информацию о широковещательных интерфейсах -i Состояние интерфейсов -I interface Состояние определленого интерфейса -m Колсичество памяти и общая информация о сокетах -M Multicast таблица маршрутизации -n Показывать адрес сетки как номер -p protocol Показывать всю статистику определьоного протокола -r Таблица маршрутизации -s Показать статистику по всех протоколах -v Дополнительная информация
Существует множество прормам мониторинга системы. Некоторые можно мониторить с помощю команды SAM. Также можно найти дополнительную информацию на сайте: http://hpux.cae.qiax.edu
----------------------- Пользовательские программы
Ядро системы
Аппаратные ресурсы
Системные вызовы
Исходный код
Всмогогатель-ные коды
КОМПИЛЯТОР
a.out
Дополнительные кода
Компилятор
Обьектный файл (.о)
Линкеровщик (ld)
Процес компиляции
Boot ROM program
HP-UX файловая система
LIF раздел
LAN интерфейс
Диск
Minor number (24 bits)
Major number
(8bits)
Где находится устройство ? В каком режиме с ним работать ? (например плотность записи на ленту …)
С каким драйвером работать ?
1 2 . . 12
Третий уровень ссылок
Второй уровень ссылок
Первый уровень ссылок
Данные файла
Блоки адресуемые 1 напрямую 2
.
12
Временные метки
Размер файла в байтах
Владелец / группа
Ссылки на файл
Тип файла и атрибуты
20К
………
8
24
43
0
………..
[pic]
[pic] [pic]
/dev/dsk/c0t7d0
/dev/dsk/c0t6d0
/dev/dsk/c0t5d0
/dev/vg01
./dev/vg01/lvol1
/dev/vg01/lvol2
/dev/vg01/.lvol3
Место под служебную информацию файловой системы (overhead) ~5%
Место резервируемое файловой системой (minfree) ~10%
Данные хранимые файловой системой
Место требуемое под файловую систему на logical volume
Брандмауэр
INTERNET
Скриплеты
Апплеты
Сервелеты
Динамические
Статические
Веб-приложения
Гипертекст
(веб-страницы)
Веб-контент
DSOn
DSO2
DSO1
Apache core
Веб-сервер
Фильтр пакетов
(мршрутизатор)
Внешняя сеть
Бастионный хост
Промежуточная сеть
Внутренняя машина
Внутренняя сеть
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25
