NetWare-Security
NetWare ofera un sistem de protectie extensiv care controleaza acceasul la informatiile stocate pe volumele din retea. Protectia retelei are patru nivele:
protectia asigurata la login;
protectia asigurata de drepturi;
protectia asigurata de atribute;
protectia asigurata de file server.
Protectia NetWare controleaza:
cine acceseaza reteaua;
ce resurse (directoare si fisiere) pot accesa utilizatorii;
ce pot face utilizatorii cu aceste resurse (de exemplu, sa citeasca sau sa modifice un fisier);
cine poate executa taskuri de la consola file serverului.
Scopul acestui laborator este de a explica protectia NetWare, sa ofere informatii pentru implementarea securitatiii si sa informeze despre utilitarele disponibile pentru stabilirea si monitorizarea securitatii.
Protectia la login
Protectia la login controleaza accesul la retea. Ea determina care utilizatori pot lucra pe file server, cind pot lucra, de la care statii de lucru pot lucra, si ce resurse pot folosi. Administratorul retelei (supervisor) stabileste protectia la intrare prin atribuirea de nume de utilizatori, prin necesitatea de a avea parola si prin impunerea de restrictii
Numele de utilizatori ofera primul nivel de protectie. Numai supervizorii retelei si administratorii de grupuri de lucru (workgroup managers) pot crea nume de utilizatori. Pentru a accesa file serverul, utilizatorii trebuie sa cunoasca un nume de cont (si parola corespunzatoare daca este necesara). Numele de utilizatori sunt pastrate in baza de date a file serverului si au atribuite proprietati. Cand se atribuie proprietati utilizatorilor, se acorda acestora suficiente drepturi pentru a-si indeplini sarcinile.
Toti utilizatorii primesc in mod automat proprietatea parola si proprietatea de apartenenta-la-grupul-EVERYONE.
Parolele sunt optionale. Cu toate acestea, daca nu este necesara o parola, orice persoana care cunoaste un nume valid de utilizator poate accesa file serverul. Confidentialitatea parolei este asigurata de NetWare. Cand se tipareste parola la statia de lucru, parola nu este afisata pe monitor. NetWare cripteaza parola la statia de lucru si o stocheaza pe hard disk intr-o forma criptata.
Daca este necesara parola, aceasta se poate atribui si schimba de catre administrator sau se poate atribui o parola initiala si apoi sa se permita utilizatorului sa-si schimbe singur parola.
Daca se permite utilizatorilor sa-si schimbe singuri parola, se poate spori protectia parolei prin impunerea unora din urmatoarele conditii:
O lungime minima a parolei. Implicit, lungimea acesteia este de minim 5 caractere si previne folosirea unor parole care sunt atat de scurte incat pot fi usor ghicite.Lungimea maxima a unei parole poate fi de 20 de caractere.
O schimbare periodica a parolei. Implicit, perioada de schimbare a parolei este de 40 de zile si previne folosirea de catre utilizatori a unei parole pe timp nedefinit.
O parola unica. File serverul mentine o istorie a ultimelor 10 parole care au fost folosite pentru cel putin o zi. Aceasta optiune impiedica utilizatorii de a alterna intre doua parole favorite. Acel minim de o zi ii impiedica sa faca zece schimbari intr-o zi pentru a se reintoarce la parola favorita.
Un numar limitat de loginuri de favoare (grace logins) dupa expirarea parolei. Implicit, aceasta are valoare de sase loginuri si impiedica utilizatorii de a folosi nelimitat o parola expirata.
Restrictiile controleaza cand si de unde se poate conecta un utilizator si protejeaza reteaua de utilizatori nedoriti. Se pot folosi oricare din urmatoarele trei tipuri de restrictii: de statie, de timp si de cont.
Restrictiile de statie limiteaza de unde se poate conecta un utilizator. Se pot specifica statiile de lucru de la cere un utilizator se poate conecta si numarul de statii la care este conectat simultan un utilizator. [MV1]
Restrictiile de timp limiteaza cand se pot conecta utilizatorii. Se pot restringe utilizatorii la anumite zile si ore.
Restrictiile de cont blocheaza contul unui utilizator atunci cand sunt depasite anumite limite. Cand un cont este blocat, nimeni nu se mai poate conecta la file server folosind acel nume de utilizator. Se poate bloca automat un cont cand expira contul, cand suma platita pentru serviciile retelei s-a consumat si cand se depaseste numarul de introduceri de parole gresite.
Toate aceste protectii la login pot fi accesate si modificate prin intermediul utilitarului SYSCON.
Protectia prin drepturi
Protectia prin drepturi controleaza care directoare, subdirectoare si fisiere pot fi accesate de un utilizator si ce anume ii este permis utilizatorului sa faca cu ele. Protectia prin drepturi este controlata de atribuirile de incredere (trustee assignments - TA) si de masca drepturilor mostenite (Inherited Rights Mask - IRM).
TA sunt drepturi acordate la anumiti utilizatori sau grupuri care le dau posibilitatea sa foloseasca un fisier sau un director intr-un anume mod (de exmplu, numai pentru citire). Supervizorul retelei poate selecta drepturile potrivite care sa le atribuie utilizatorilor si grupurilor pentru fiecare director sau fisier.
Un TA acorda automat utilizatorilor dreptul de a vedea radacina unui director. Cu toate acestea, utilizatorii nu pot vedea nici unul din subdirectoare atata timp cat nu li s-au acordat drepturi in subdirectoare.
IRM sunt date pentru fiecare fisier si director cand sunt create. IRM-ul implicit include toate drepturile. Asta nu inseamna ca utilizatorii au toate drepturile; utilizatorii pot folosi numai acele drepturi care le-au fost acordate prin TA.
Daca IRM este modificata pentru un fisier sau subdirector plasat sub TA roiginal, singurele drepturi pe care utilizatorul le poate mosteni pentru fisier sau subdirector sunt drepturile care sunt permise de IRM. De exemplu, daca unui utilizator are acordat dreptul de citire printr-un TA la nivel de director, dreptul de a citi fisiere in subdirector poate fi revocat prin stergerea dreptului de citire din IRM-ul subdirectorului.
Atat TA cat si IRM folosesc aceleasi opt drepturi de incredere pentru a controla accesul la directoare si fisiere. Fiecare drept este reprezentat de initiala sa in limba engleza.
Litera Dreptul
S = Supervisory
C = Create
E = Erase
M = Modify
F = File Scan
A = Access Control
Utilitarele NetWare afiseaza literele initiale ale drepturilor de mai sus intre paranteze drepte ca mai jos:
[ S R W C E M F A ]
Prin conventie, daca unele din drepturi au fost sau revocate sau nu au fost atribuite, absenta acelui drept este indicata printr-un spatiu, ca in urmatorul exemplu: [ R F ]
Cu toate ca aceeasi litera este folosita pentru TA si pentru IRM, intelesul si efectul depind de atribuirea dreptului la un fisier sau director. Fiecare drept este definit de doua ori in cele ce urmeaza, o data la drepturile pentru directoare si o data la drepturile pentru fisiere.
Drepturile pentru directoare controleaza accesul general la directoare, fisierele sale, si subdirectoare. Cand este acordat la nivelul unui director, dreptul se aplica tuturor fisierelor si sbudirectoarelor din acel director cu conditia sa nu fie redefinit la nivelul unui fisier sau subdirector.
Cand sunt atribuite unui director, drepturile au urmatoarele efecte:
Acorda toate drepturile in director, fisierele si subdirectoarele acestuia. Dreptul S are precedenta asupra oricarei restrictii plasate in subdirectoare sau fisiere cu un IRM. Utilizatorii care au acest drept intr-un director pot acorda altor utilizatori dreptul S pentru director, fisierele si subdirectoarele acestuia. O data ce dreptul S a fost acordat, el poate revocat numai de la directorul la care a fost acordat. Nu poate fi revocat intr-un fisier sau subdirector.
Acorda dreptul de a deschide fisiere in director si de a citi continutul acestora sau de a rula programe.
Acorda dreptul de a deschide si modifica fisiere.
Acorda dreptul de a crea fisiere si subdirectoare in director. Daca Create este singurul drept acordat la nivelul directorului si nu este acordat nici un alt drept mai jos, acest drept creaza un director "cutie de aruncat" (drop-box).Intr-un director "drop-box", utilizatorii pot crea un fisier, apoi sa-l deschida si sa scrie in el. Din momentul in care fisierul este inchis, ei nu mai pot vedea sau modifica continutul fisierului. El pot de asemenea copia fisiere si subdirectoare in director. Cand se face copierea, ei sunt proprietari ai fisierelor si directoarelor. Insa orice TA atribuite fisierelor si subdirectoarelor sunt revocate.
Acorda dreptul de a sterge un director, fisierele sale, subdirectoarele sale, si fisierele din subdirectoare.
Acorda dreptul de a schimba atributele directorului si fisierelor. De asemenea, acorda dreptul de a redenumi directorul, fisierele sale, si subdirectoarele sale. Acest drept NU acorda dreptul de a modifica continutul unui fisier.
Acorda dreptul de a vedea fisierele din director.
Acorda dreptul de a modifica TA si IRM pentru director sau un fisier. Utilizatorii pot de asemenea modifica TA si IRM pentru fisiere. Utilizatorii pot acorda orice drept (cu exceptia Supervisory) catre orice alt utilizator, incluzand drepturi pe care ei insasi nu le au.
Pentru a acorda sau modifica TA pentru un director, se folosesc utilitarele FILER; GRANT; REMOVE; REVOKE; SYSCON.
Pentru a modifica IRM pentru un director, se folosesc ALLOW; FILER.
Drepturile pentru fisiere controleaza accesul la anumite fisiere din director. Ele sunt folosite pentru a redefini drepturile pe care utilizatorii le mostenesc din drepturile directoarelor. Urmatoarele drepturi controleaza accesul la nivel de fisier.
Acorda toate drepturile pentru un fisier. Utilizatorii care au acest drept pot acorda orice drept altui utilizator si pot modifica toate drepturile din IRM.
Acorda dreptul de a deschide si citi fisierul.
Acorda dreptul de a salva fisierul dupa ce fisierul a fost sters.
Acorda dreptul de a deschide si scrie in fisier.
Acorda dreptul de a sterge un fisier.
Acorda dreptul de a schimba atributele fisierului, de a-l redenumi, dar nu acorda dreptul de a modifica continutul fisierului.
Acorda dreptul de a vedea fisierul cand se vizualizeaza directorul. Acorda dreptul de a vedea structura directorului, de la fisier pina la radacina directorului.
Acorda dreptul de a modifica TA si IRM pentru fisier. Utilizatorii care au acest drept pot acorda toate drepturile pentru fisier, cu exceptia Supervisory, la alti utilizatori, incluzand drepturi pe care ei insasi nu le au.
Pentru a acorda sau modifica TA pentru un fisier, se folosesc utilitarele FILER; GRANT; REMOVE; REVOKE; SYSCON.
Pentru a modifica IRM pentru un fisier, se folosesc ALLOW; FILER.
Drepturi efective
Litera Atributul pentru directoare
D = Delete Inhibit
H = Hidden
P = Purge
R = Rename Inhibit
Sy= System
Litera Atributul pentru fisiere
C =Copy Inhibit
Di =Delete Inhibit
X =eXecute only
H =Hidden
I =Indexed
P =Purge
Ra =Read audit
Ro/Rw= Read only/Read Write
Ri =Rename Inhibit
S =Shareable
Sy =System
T =Transactional
Wa =Write audit
Literele initiale ale acestor atribute sunt afisate intre paranteze drepte de catre utilitarele NetWare, ca mai jos:
[Ro S A X H Sy I T P Ra Wa C Di Ri]
Prin conventie, atributele care nu au fost asignate sunt indicate prin spatiu sau prin liniute, ca mai jos:
[Ro S - - - -- - - - -- -- - Di Ri]
Fiecare atribut este definit in cele ce urmeaza.
Poate fi atribuit numai fisierelor. NetWare atribuie automat acest atribut oricarui fisier care este modificat dupa ultima salvare (backup). Acest atribut este atributul DOS Archieve.
Poate fi atribuit numai fisierelor. Acest atribut restringe numai drepturile de copiere ale utilizatorilor logati de la statii Macintosh. Chiar daca acestia au acordate drepturile de Read si File Scan la nivelul directorului sau fisierului, ei nu vor putea sa copieze fisierul.
Daca utilizatorii Macintosh au dreptul Modify acordat, atunci acestia pot sterge atributul Copy Inhibit si apoi sa copieze fisierul.
Poate fi atribuit la fisiere sau directoare. Acest atribut impiedica utilizatorii sa stearga directoarele sau fisierele chiar daca ei au dreptul de stergere la nivelul directorului sau fisierului.
Daca utilizatorii au dreptul Modify acordat, ei pot sterge atributul Delete Inhibit si apoi pot sterge fisierul sau directorul.
eXecute only
Poate fi atribuit numai fisierelor. Acest atribut impiedica copierea fisierului care are acest atribut. O data atribuit, acest atribut nu mai poate fi sters. Numai supervizorul poate atribui acest atribut fisierelor, si trebuie atribuit numai in cazul in care exista o versiune salvata a fisierului. Utilitarele de salvare a fisierelor (backup) nu vor salva aceste fisiere, iar unele unele programe nu se vor executa corect daca au acest atribut setat.
Poate fi atribuit la fisiere sau directoare. Acest atribut ascunde fisierul sau directorul la comanda DOS DIR si impiedica fisierul de a fi sters sau copiat. Cu toate acestea, fisierele si directoarele vor aparea la o comanda NetWare NDIR daca utilizatorul are dreptul File Scan.
Poate fi atribuit numai fisierelor. NetWare atribuie automat acest atribut cand fisierul are peste 64 intrari normale FAT. Indexarea creste viteza de acces pentru fisiere foarte mari.
Poate fi atribuit la fisiere sau directoare. Cand este atribuit unui fisier, NetWare elimina fisierul cand acesta este sters. Atribuit unui director, NetWare elimina toate fisierele din director in momentul in care acestea sunt sterse. Aceste fisiere nu mai pot fi restaurate cu utilitarul SALVAGE.
Poate fi atribuit numai la fisiere si nu este folosit in NetWare 3.11.
Poate fi atribuit numai la fisiere. Cand acest atribut este asignat, NetWare automat asigneaza si atributele Delete Inhibit si Rename Inhibit. In consecinta, utilizatorii nu pot scrie, sterge sau redenumi fisierul chiar daca au acordate drepturile de Write si Erase la nivel de director sau fisier.
Daca utilizatorii au dreptul Modify, eu pot sterge atributul Read Only si apoi scrie, redenumi sau sterge fisierul. Stergerea atributului Read Only implica automat si stergerea atributelor Delete Inhibit si Rename Inhibit.
Daca utilizatorii cu drept de Modify sterg atributul Delete Inhibit sau Rename Inhibit fara a sterge si atributul Read Only, ei pot sterge sau redenumi fisierul, fara a avea posibilitatea de a scrie in fisier.
Cand atributul Ro nu este setat, reprezentarea NetWare este Rw
Poate fi atribui la fisiere si directoare si impiedica utilizatorii de a redenumi directoare sau fisiere chiar daca au dreptul Modify. Daca insa au atributul Modify, ei trebuie mai intai sa stearga atributul Rename Inhibit inainte de a putea face redenumirea.
Poate fi atribuit numai la fisiere. Acest atribut permite ca fisierul sa fie folosit de mai mult de un utilizator la un moment dat si este folosit de obicei in conjunctie cu atributul Read Only.
Poate fi atribuit la directoare si fisiere. Acest atribut ascunde fisierul de comanda DOS DIR si impiedica utilizatorii de a sterge sau copia directorul sau fisierul. Cu toate acestea, fisierele si directoarele vor aparea la o comanda NDIR daca utilizatorul are drept de File Scan.
Poate fi atribuit numai fisierelor si indica faptul ca fisierul va fi protejat de TTS (Transactional Tracking System). TTS impiedica distrugerea datelor prin asigurarea ca fie toate modificarile sunt facute, fie nu se face nici o modificare in momentul in care se executa o operatie de modificare asupra fisierului. Toate fisierele de baze de date care trebuie protejate necesita atributul Transactional.
Poate fi atribuit numai la fisiere si nu este folosit in NetWare 3.11.
Atributele pentru fisiere si directoare se folosesc pentru sporirea securitatii in zonele in care mai multi utilizatori au acces la fisiere. De exemplu, utilitarele NetWare au atributele in asa fel incat chiar si supervizorul nu le poate sterge accidental fara a sterge atributele mai intai.
Toate fisierele NetWare din SYS:SYSTEM, SYS:PUBLIC si SYS:LOGIN sunt in mod automat cu atributele Ro, S, Di, Ri.
Fisierele ce formeaza baza de date NetWare (bindery) sunt automat cu atributele Sy, H, T.
Pentru a modifica sau vizualiza atributele fisierelor, se folosesc FILER; FLAG.
Pentru a modifica sau vizualiza atributele directoarelor, se folosesc FILER; FLAGDIR.
|