Данная система позволяет создать условия обнаружения нарушителей. При выполнении этих условий бюджет данного пользователя блокируется. Если данная система активизирована, то ОС фиксирует в бюджете соответствующего клиента и любую попытку регистрации с неверным паролем. Возможно определить количество неуспешных попыток регистрации, по истечению которых бюджет пользователя автоматически блокируется. Так же возможно определить период времени в течение которого бюджет пользователя будет заблокирован (по умолчанию количество неверных регистраций равно семи, а период времени блокирования бюджета пятнадцати минутам). Так же существует период сброса неверных попыток (по умолчанию тридцать минут). Неверная регистрация сохраняется в памяти в течение этого промежутка времени. По истечению которого информация о неверных попытках регистрации удаляется. Так же она удаляется после введения правильного пароля.
Защита через права
Защита через права следит за тем, в какие каталоги и файлы пользователь может иметь доступ, и что он с ними может делать. Защита через права основана на опекунских назначениях и на маске наследуемых прав.
Опекунские назначения – предоставляют конкретным пользователям или группам право использовать каталог или файл строго определенным образом. Администратор может в каждом каталоге или файле назначить пользователю или группе различные права. Любое опекунское назначение автоматически даёт пользователю право просматривать вышележащие каталоги. Однако подкаталоги остаются невидимыми, если в них отсутствуют какие-либо права.
Маска наследуемых прав – присваивается всем файлам и каталогам при их создании. По умолчанию маска наследуемых прав содержит все права, но в действительности пользователь будет обладать лишь теми правами, которые даны ему в опекунских назначениях и, которые пропускает маска наследуемых прав. Маску наследуемых прав можно представить в виде сита, через которое просеиваются лишь строго определённые права.
В опекунских назначениях и в маске наследуемых прав используются одни и те же права.
Во всех приложениях принято правило о том, что все права должны указываться на своих местах. В месте, отсутствующего права оставляется пустое место. Права заключаются в квадратные скобки. S(Supervisory) – администраторское R(Read) - чтение W(Write) - запись C(Create) - создание E(Erase) - удаление M(Modify) - изменение F(File scan) – просмотр файлов A(Access control) – контроль доступа
Права установленные на каталог, регулируют общий доступ к каталогу, его файлам и подкаталогам, а так же распространяются на них.
Право S дает все права в каталоге. Это право перекрывает любые ограничения для файлов и подкаталогов, установленные маской наследуемых прав (исключить это право из маски наследуемых прав невозможно). Право администратора можно отнять только в том каталоге, в котором оно присвоено.
Право W позволяет открывать и изменять содержимое файлов.
Право C позволяет создавать подкаталоги и фалы. Если это право единственное, то каталог превращается в «черный ящик», пользователи могут создать в нем файл, записать в нем какую-либо информацию, но закрыв его они не смогут увидеть файл и просмотреть его содержимое, хотя этот пользователь становится хозяином этого файла.
Право E позволяет удалять файлы и подкаталоги.
Право M позволяет изменять атрибуты файлов и каталогов, а так же их имена. Данное право не позволяет изменять содержимое файлов.
Право F позволяет просматривать имена файлов и каталогов.
Право A позволяет изменять опекунские назначения каталога или файла, а так же их маску наследуемых прав. Пользователи обладающие этим правом могут назначать другим пользователям любые права в этом каталоге, кроме S, даже если сами их не имеют.
Права, установленные на файл контролируют доступ конкретно к этому файлу. При помощи этих прав можно переопределить права, которые были даны на каталог. S – дает все права в файл R – позволяет открыть и читать файл C – позволяет восстановить файл после его удаления
Действительные права
Действительными называются права, которыми пользователи обладают в данном каталоге или файле. Для выявления действительных прав необходимо знать: Какие права получил пользователь в его опекунских назначениях; Какие права даны группам, в которые входит этот пользователь; Какие права отменяются маской наследуемых прав.
(4 часа)
ЗАЩИТА чЕРЕЗ АТРИБУТЫ
Она заключается в присвоении особых свойств (атрибутов) отдельным каталогам и файлам. Эти свойства перекрывают права, данные в опекунских назначениях. И как следствие могут препятствовать выполнению действий, которые разрешены правами. Например, удаление файла или каталога, копирование, запись в файл. Для сокращенного обозначения атрибутов и для их установки в утилитах командной строки используются заглавные латинские буквы.
Часть атрибутов невозможно установить на файлы или каталоги если там используется короткое именное пространство, а также некоторые атрибуты не используются в NetWare 3.11.
Атрибуты, устанавливаемые на каталог
Delete inhibit – удалять нельзя
Hidden – скрытый
Purge – очищаемый
Rename inhibit – переименовывать нельзя
System – системный
Атрибуты, устанавливаемые на файлы
Archive Needed – нужно архивировать
(Copy inhibit) – копировать нельзя
Delete inhibit – удалить нельзя
Execute Only – только исполнимый
Indexed – индексный
(Reed Audit) – ревизия чтения
Read Only/Read Write – только чтение/чтение и запись
Rename inhibit – переименовать нельзя
Sharable – общий
Transactional – транзакционный
(Write Audit) – проверка записи
Атрибуты в скобках не используются в коротком временном пространстве и NetWare 3.11.
[RoSAXHSyITPRaWaCDR] на первом месте всегда присутствует либо право Ro, либо Rw.
A – присваивается только файлам. ОС автоматически присваивает его любому файлу, который претерпел какие-либо изменения с момента его последней архивации (дублирования).
C – присваивается файлам и ограничивает право копирования.
D – присваивается файлам и каталогам. Не позволяет их удалять.
X – присваивается только файлам, имеющим расширения exe и com. Данный атрибут может установить только администратор. Файлы с этим атрибутом невозможно скопировать. Также невозможно снять этот атрибут. Некоторые программы, после установки этого атрибута, могут работать некорректно. Поэтому перед установкой, данного атрибута, необходимо убедиться в наличии резервной копии программы.
H – устанавливается на фалы и каталоги. Делает их невидимыми для команды Dir ОС DOS.
I – присваивается автоматически и только на файлы, в том случае если они занимают более 64 элементов FAT (элемент FAT в DOS кластер, а в NetWare сектор). В NetWare один сектор может принимать размер от 4 до 64 Кб и задается в ручную при создании тома. Индексирование ускоряет доступ к очень большим файлам.
P – устанавливается как на файлы, так и на каталоги. Файл с этим атрибутом после удаления невозможно восстановить. Если этот атрибут установлен на каталог, то все файлы, удаляемые из этого каталога восстановить невозможно.
Ro – устанавливается только на файлы. При установке этого атрибута NetWare автоматически присоединяет к нему атрибуты D и R. Следовательно, становится невозможным удалить, переименовать или изменить содержимое файла. Снятие атрибута Ro автоматически снимает атрибуты D и R.
R – устанавливается на файлы и каталоги и не позволяет их переименовать.
S – присваивается только файлам и позволяет нескольким пользователям работать с ними одновременно. Обычно используется в сочетании с Ro.
Sy – присваивается файлам и каталогам. Действия схожи с H.
T – присваивается только файлам и означает, что данный файл будет оберегаться системой трассировки транзакций (TTS). TTS – следит за тем, чтобы в процессе модификации фала либо все произведенные с ним действия были успешно записаны, либо не записывались вообще. Таким образом предотвращается искажение данных.
Защита файлсервера
ФС является ключевым звеном ЛВС. На нем хранится вся информация, используемая в ЛВС, и в связи с этим ФС нуждается в особых условиях эксплуатации. Так как ФС поддерживает работу сети необходимо постоянно поддерживать его работоспособность. Идеальным вариантом является постоянная работа ФС. Если имеется возможность, то для ФС лучше выделить отдельное помещение, для ограничения физического доступа к нему. При отсутствии такой возможности консоль ФС можно заблокировать, используя утилиту MONITOR. ФС так же нуждается в защите от сбоев со стороны питающей сети. Для этой защиты существует ряд устройств (фильтры, источники бесперебойного питания, автономные генераторы) и программное обеспечение, сопрягаемое с устройствами защиты питания, контролирующее их и автоматически отключающее ФС.
Утилиты
WHOAMI [ФС] [опция] – используется для просмотра: вашего имени на каждом сервере; имен ФС к которым вы подключены; даты и времени регистрации на каждом сервере; групп к которым вы принадлежите на каждом сервере; ваших эквивалентов защиты на каждом сервере.
Опции:
Security – защита. Позволяет просматривать ваши эквиваленты защиты;
Groups – позволяет просмотреть группы, членами которых являетесь;
Rights - позволяет просмотреть ваши действующие права;
Object – используется для просмотра информации об объектах администратора, таких как клиенты и группы которые находятся в подчинении;
Workgroup – используется для просмотра информации о менеджерах рабочих групп;
System – используется для просмотра основной информации о системе;
All – позволяет просмотреть всю возможную информацию;
Continuous – используется для непрерывного вывода информации на экран (во всех утилитах). USERLIST [ФС][имя][/AI/O[/C] – используется для просмотра: списка клиентов, зарегистрированных на ФС; номера соединения каждого клиента; времени регистрации; сетевого адреса и номера узла; типа объекта, подключенного к ФС.
Address – позволяет просмотреть сетевой адрес и номер узла каждого клиента зарегистрированного на ФС;
Object – позволяет просмотреть тип объекта. NDIR [путь][/опция] Используется для просмотра информации о файлах и каталогах: имена файлов и подкаталогов; размер файла в байтах; дату и время последней модификации фалов; дату последнего доступа к файлу; дату создания подкаталогов; дату последней архивации файлов; файлы, которые необходимо архивировать; дату создания или копирования файлов; атрибуты файлов; хозяина файлов и каталогов; маску наследуемых прав; поиск файла на целом томе.
Опции: разделены на четыре категории
Опции сортировки
[REVerse]/sort Owner – по именам хозяев
[REVerse]/sort Size – по размеру
[REVerse]/sort Update – по дате последней модификации
[REVerse]/sort Create – по дате создания или копирования
[REVerse]/sort Access – по дате последнего доступа
[REVerse]/sort Archive – по дате последней архивации
[REVerse]/sort Unsorted – без сортировки
Опции форматирования
/DATES – выводит даты последней модификации файлов, а так же архивирования, доступа и создания
/RIGHTS – выводит наследуемые и действительные права файлов и каталогов
/MACintosh – выводит фалы и каталоги системы MACINTOSH
/LONG names – выводит длинные имена файлов
/HELP – формат команды и ее опции
Опции атрибутов
[/NOT]/Read Only
[/NOT]/Sharable
[/NOT]/Archive needed
[/NOT]/eXecute Only
[/NOT]/Hidden
[/NOT]/System
[/NOT]/Transactional
[/NOT]/Indexed
[/NOT]/Purge
[/NOT]/Delete inhibit
[/NOT]/Rename inhibit
Показывает файлы с соответствующем атрибутом или наоборот. В командной строке можно использовать только аббревиатуру данных опций.
Опции ограничения
/Owner [NOT]Equal to name – показывает все фалы, созданные одним клиентом или все файлы, созданные им.
/Size [NOT]Create thenIEqual toILess – показывает все файлы с размером более, равным или менее чем указанный размер
/UPdate [NOT]BEForeIEqual to AFTer mm-nn-dd – показывает все файлы с датой последней модификации до или после указанной даты
/Create [NOT]BEForeIEqual to AFTer mm-nn-dd – показывает все файлы созданные до или после указанной даты
/ACcesse [NOT]BEForeIEqual to AFTer mm-nn-dd – показывает все файлы с датой последнего доступа до или после указанной даты
/ARchive [NOT]BEForeIEqual to AFTer mm-nn-dd – показывает все файлы с датой последней архивации до или после указанной даты
/Files Only – показывает только файлы
/Directories Only – показывает только каталоги
/SUBdirectories – показывает каталоги и подкаталоги.
В командной строке допускается комбинирование нескольких опций ограничения. CHKDIR [путь] – используется для просмотра информации о каталоге или томе. Команда отображает информацию об: ограничении размера тома или каталога; максимальный размер тома или каталога, на который наложены ограничения; размер используемого пространства на томе и в определенном каталоге; размер свободного пространства на томе и в определенном каталоге. CHKVOL [путь] – используется для просмотра информации о томе. Утилита выводит информацию: имя файлсервера на котором расположен том; имя тома; общий размер тома; размер пространства, занимаемого файлами; размер пространства, занимаемого удаленными файлами; доступный размер пространства, занимаемого удаленными файлами; размер свободного пространства на томе; размер пространства доступного клиентам (размер памяти выводится в килобайтах). CASTOFF [ALL] – используется для блокирования сообщений от сетевых станций. Опция ALL запрещает прием сообщений от всех сетевых станций и ФС. CASTON – разрешает прием сообщений от других станций сети. NCOPY [путь]
Страницы: 1, 2
