Исследование механизмов безопасности в Linux подобных ОС

Размещено на http://www.allbest.ru

СОДЕРЖАНИЕ

ВСТУПЛЕНИЕ

1.МЕХАНИЗМЫ ШИФРОВАНИЯ ДАННЫХ В ОС LINUX MINT

1.1 Полное шифрование диска в Linux Mint

1.2 Шифрование домашнего каталога в Linux Mint

1.3 Шифрование в GNOME - Seahorse

1.4 TrueCrypt

1.5 CryptKeeper

2.ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ В ОС LINUX MINT

2.1 Группы и пользователи в Linux Mint

2.2 Пользователь Root

2.3 Права доступа

2.4 Файловая система

2.5 Резервное копирование данных

2.6 mintUpdate

3.СЕТЕВАЯ БЕЗОПАСНОСТЬ В ОС LINUX MINT

3.1 Межсетевой экран в Linux Mint

3.2 Удаленное управление в Linux Mint

3.3 Netcat

3.4 Программное средство контроля.

3.5 Аудит сети при помощи Zenmap

4. ОТЛИЧИЯ MINT ОТ UBUNTU

ВЫВОДЫ

СПИСОК ИСТОЧНИКОВ



ВВЕДЕНИЕ

шифрование данные linux утилита

Linux - это потомок операционных систем семейства UNIX, спроектированных продуманно и лаконично. UNIX и потом Linux всегда разрабатывали не в одной компании, а в разных лабораториях и университетах, обмениваясь исходными текстами программ и идеями. Очень многое тут значил Интернет, который позволил включиться разработку любому пользователю сети, не обязательно в университетах. Поэтому Linux - не монолитная система, а компонентная. Он приспособлен к тому, что разные его компоненты написаны независимо разными людьми. Это сильно отличается от типичных коммерческих систем, по архитектуре более всего напоминающих Титаник.

Отсюда его устойчивость: неполадки в одной программе не сделают неработоспособной всю систему. Не случится конфликт и нестабильность из-за того, что разные сторонние приложения принесли с собой в систему один и тот же компонент разных версий.

Отсюда его эффективность: разные программы используют одни и те же стандартные системные средства для стандартных операций, а не реализуют их сами. Это же - выгода при разработке программ для Linux.

Отсюда его безопасность: поскольку в самой архитектуре системы предусмотрено ограничение доступа. Слово «вирус» в Linux - иностранное. Здесь не нужно тратить ресурсы на дополнительные антивирусные программы, как денежные, так и системные и человеческие (на администрирование самого антивируса).

Linux - это операционная система, которая позволяет использовать компьютерное устройство на полную мощность. Ее пользователям доступен большой выбор бесплатных программ, удобный интерфейс, автоматическое обновление, высокая производительность и прочее - и все это совершенно бесплатно и на законном основании.

При этом многие крупные фирмы и предприятия, которые предлагают купить хостинг, создать интернет магазин или построить дом, специализация не имеет значения, получают возможность абсолютно легально использовать бесплатное, но при этом полноценное программное обеспечение, что, конечно, очень выгодно и перспективно.



1.МЕХАНИЗМЫ ШИФРОВАНИЯ ДАННЫХ В ОС LINUX MINT

В криптографии шифрование представляет собой процесс кодирования информации таким способом, при котором только авторизованные пользователи могут прочесть данные. В схеме шифрования информацию или «простой текст» защищают с помощью алгоритма шифрования, превращая ее в нечитабельный «шифрованный текст». Это обычно делается за счет применения ключа шифрования, который определяет, как должны быть закодированы данные.

Неавторизованные пользователи могут увидеть шифрованный текст, но не смогут прочесть исходные данные. Авторизованные пользователи могут декодировать шифрованный текст, используя алгоритм дешифрования, который обычно требует секретного ключа расшифровки, доступ к которому есть только у них. Схема шифрования, как правило, нуждается в алгоритме генерации ключей, чтобы создавать ключи произвольного вида.

1.1 Полное шифрование диска

Полное шифрование диска Full Disk Encryption (FDE) является одним из наиболее эффективных способов защиты данных, хранимых на ноутбуках, от кражи или утери вместе с устройством. Что бы ни произошло с устройством, механизм FDE позволяет гарантировать, что вся хранящаяся на нем информация недоступна тому, в чьи руки попало данное устройство.

FDE используется до загрузки системы. Это означает, что применяемая технология начинает свою работу сразу же после нажатия кнопки питания на устройстве. При включении компьютера операционная система начинает загружаться в зашифрованной окружающей среде. Шифрование незначительно замедляет производительность системы, что характерно для всех реализаций программного обеспечения шифрования от любых поставщиков. Все операции шифрования (дешифрования) происходят незаметно для пользователя, независимо от используемого им программного обеспечения. При этом зашифровывается весь жесткий диск (файл подкачки, файл гибернации, временные файлы, тоже часто содержащие важные данные). А в случае, если пользователь потеряет пароль к шифрованному жесткому диску, информация может быть расшифрована с помощью секретного ключа, известного только администратору продукта.

Начиная с 14-ой версти Linux Mint использует FDE, и как результат шифрует не только /home, но полностью все разделы диска. В этом смысле он не отличается от соответствующего режима TrueCrypt. Поставив галочку и установив надёжный пароль, пользователь получает высокий уровень защиты. Поскольку Mint является самым популярным в мире дистрибутивом Linux, полное шифрование диска скоро будут использовать большинство пользователей.

На скриншотах показано, как выглядит реализация FDE в интерфейсе инсталлятора Linux Mint.

Рисунок 1.1 - Реализация FDE в интерфейсе инсталлятора Linux Mint

Конечный пользователь не имеет возможности перенастроить механизм шифрования. FDE предотвращает несанкционированный доступ к данным с помощью механизма аутентификации (имя/пароль). При вводе правильного сочетания имя/пароль система извлекает ключ, необходимый для расшифровки файлов на жестком диске. Фактически это добавляет дополнительный уровень безопасности, поскольку зашифрованные данные будут бесполезны для злоумышленника после уничтожения криптографического ключа.

Рисунок 1.2 - Принцип работы FDE

1.2 Шифрование домашнего каталога в Linux Mint

Шифрование домашнего каталога обеспечивает надежную защиту данных, хранящихся на жёстком диске или ином носителе. Шифрование особенно актуально на переносных ПК, на компьютерах с множественным доступом, а также в любых других условиях. Шифрование домашнего каталога предлагается при установке Linux Mint.

Основная загвоздка при полном шифровании домашнего каталога состоит в том, что необходимо «вынести» каталог с зашифрованными данными за пределы точки монтирования.

Производительность снижается незначительно, по крайней мере пока не пользуется SWAP. SWAP - это специальный раздел на диске или файл в который операционная система перемещает отдельные блоки оперативной памяти в случае когда оперативной памяти не хватает для работы приложений. SWAP тоже шифруется, если в инсталляторе выбрать шифрование домашнего каталога, и при этом перестает работать спящий режим.

Не шифровать SWAP при шифрованном домашнем каталоге - потенциально опасно, так как там могут оказаться данные из шифрованных файлов в открытом виде - весь смысл шифрования теряется.

Начиная с 14-ой версти Linux Mint, при установке есть возможность выбрать вариант шифрования всего диска. Этот вариант наиболее подходит для сохранения персональных данных на переносных устройствах (у которых, как правило, только один пользователь).

1.3 Шифрование в GNOME - Seahorse

В Linux Mint есть встроенная утилита «Пароли и ключи» или же Seahorse. Используя её возможности пользователь может оперировать всеми ключами, паролями, а также сертификатами которые имеются в данной ОС.

По сути Seahorse - это приложение для GNOME (GNOME - свободная среда рабочего стола для Unix-подобных операционных систем), являющееся фронтэндом к GnuPG (свободная программа для шифрования информации и создания электронных цифровых подписей) и предназначенное для управления ключами шифрования и паролями. Пришел на замену GNOME Keyring, которого полностью заменил в GNOME 2.22, хотя был анонсирован еще в GNOME 2.18. Позволяет производить все операции которые ранее необходимо делать в командной строке и объединяя их под едиными интерфесом:

управлять безопасностью своей рабочей среды и ключами OpenPGP и SSH;

шифровать, расшировывать и проверять файлы и текст;

добавлять и проверять цифровые подписи к документам;

синхронизировать ключи с ключевыми серверами;

создавать и публиковать ключи;

резервировать ключевую информацию;

добавлять к изображениями в любом поддерживаемом GDK как OpenGPG photo ID;



1.4 TrueCrypt

TrueCrypt обладает достаточно удобным графическим интерфейсом, но, к сожалению, разработчики жестко зашили в код интеграцию с файловым менеджером Nautilus.

Для шифрования данных можно использовать разные методы.

Для начала нужно создать так называемый контейнер, в котором будут содержаться файлопапки, предназначенные для шифрования. Контейнером может служить файл с произвольным названием или даже целый раздел диска. Для доступа к контейнеру необходимо указать пароль, а также можно сделать файл ключа (необязательная опция), с помощью которого будет шифроваться информация. Размер контейнера ограниченный.

Создание зашифрованных разделов/файлов

Создание файл ключа:

truecrypt -create-keyfile /home/user/test/file ,где file - название файла-ключа.

Создание контейнера, в данном случае раздела:

sudo truecrypt -k /home/user/test/file -c /dev/sda9

Вместо раздела /dev/sda9 вполне можно указать и файл, например /home/user/test/cryptofile, но в этом случае необходимо будет указать его размер, это делается параметром -size=5G до параметра -c. В указанном примере создастся файл cryptofile размером 5 Гбайт.

Иногда TrueCrypt принимает размер только в байтах, для 5 Гбайт можно или высчитать значение заранее и указать -size=5368709120, или же записать следующим образом: -size=`echo 1024^3*5 | bc`.

Для шифрования будет использоваться сделанный уже файл-ключ.

При создании будет предложен выбор типа контейнера (нормальный / скрытый), файловой системы (FAT, ext2/3/4 или без ФС), в данном примере был выбран режим без использования ФС. Также будет предложен выбор алгоритма шифрования (например, AES), а так же hash-алгоритм (например, SHA-1) для шифрования потоков данных.

TrueCrypt используется для шифрования данных налету, то есть можно, подмонтировав контейнер, работать с находящимися в нём файлами как обычно (открывать/редактировать/закрывать/создавать/удалять), что очень удобно.

Шифрованный раздел/файл был создан. Теперь, если необходимо его внутреннюю файловую систему (далее ФС) отформатировать под нужную, следует сделать следующее.

Выбрать необходимый раздел используя Truecrypt:

truecrypt -k /home/user/test/file /dev/sda9

По умолчанию будет задействован созданный Truecrypt девайс /dev/mapper/truecrypt0. По обращению к этому девайсу, можно менять, например ФС в шифрованном контейнере. В данном случае это нужно сделать.

sudo mkfs.ext4 -v /dev/mapper/truecrypt0

Этим самым была сделана ФС ext4 внутри данного шифрованного контейнера.

Далее, так как данный контейнер уже «прикреплён» к девайсу /dev/mapper/truecrypt0, то осталось его просто примонтировать к какой-нибудь директории. Эта директория для монтирования должна уже существовать в системе.

sudo mount /dev/mapper/truecrypt0 /mnt/crypto , где /mnt/crypto - директория, к которой примонтирован шифрованный контейнер.

Далее, чтобы что-то зашифровать, нужно поместить информацию в папку /mnt/crypto. А чтобы скрыть шифрованную информацию от чужих глаз, выполняем команду размонтирования, но с помощью Truecrypt:

truecrypt -d

Теперь без знания файла-ключа и пароля никто не сможет прочесть спрятанную информацию.

1.5 CryptKeeper

Одно из главных достоинств утилиты CryptKeeper - установка в одну строчку через терминал. Естественно из основного репозитория ubuntu/mint.

Это важно, потому что легкая установка, обычно предполагает аналогичное удаление. Следовательно, дополнительные ключи не засорят систему.

Далее после запуска приложение сворачивается в трей, оставляя рабочее пространство свободным. С учетом специфики старта логично предположить, что настройки, в которых следует задать временной интервал отключения будущей секретной папки, становятся доступными по клику правой кнопки мыши, а сам процесс, начинающийся с создания новой зашифрованной папки - по клику левой кнопки, конечно, на значке приложения в трее.

Следующие шаги ничем не отличаются от стандартного механизма создания директории: выбирается месторасположение, задается имя, и устанавливается пароль. После его подтверждения секретный контейнер создается практически мгновенно.

Рисунок 1.3 - Работа с CryptKeeper

Для вступления изменений в силу, нужно сначала отсоединить папку затем снова присоединить к файловому менеджеру, подтвердив права доступа вводом пароля. После этого можно спокойно копировать в хранилище все данные, которые сочтете конфиденциальными.

В итоге, как и было отмечено ранее, на стороне пользователя оказывается простота и скорость исходного процесса. Кроме того возможность указания времени доступа к хранилищу дает программе некоторое преимущество перед стандартным методом установки пароля на папки пользователя.



2.ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ В ОС LINUX MINT

Локальная безопасность - это правила, меры и усилия, направленные на защиту системы изнутри, от локальных пользователей. Получение доступа как локальный пользователь - это один из первых шагов, которые попытается сделать взломщик на пути к получению счета администратора. Локальные пользователи также могут причинить достаточно вреда в системе.

ОС Linux является полноценной многопользовательской системой с простой и распределенной архитектурой. Архитектура ОС Linux приведена на рисунке 2.1.

Рисунок 2.1 - Архитектура ОС Linux

Linux является многопользовательской системой, и тот факт, что в систему могут иметь одновременный доступ огромное число людей, как доверенных, так и нет, представляется более чем очевидным.



2.1 Группы и пользователи

В Linux Mint существует как минимум 2 способа создания новой учетной записи:

При помощи графического интерфейса.

Для создания новой учетной записи в меню запускается утилита «Пользователи и группы». Здесь отображаются все учетные записи пользователей, которые присутствуют в системе. Для добавления, необходимо нажать на «Добавить». Необходимо выбрать тип учётной записи.

Существует 3 вида учетной записи:

Администратор (root) - пользователь может администрировать систему

Пользователь - пользователь может работать в системе, но не может администрировать её (использовать команду sudo, устанавливать программы, управлять пользователями и т.д., т.п.)

Прочие - эта учетная запись с особыми параметрами доступа, которые устанавливаются вручную. Для этого нужно воспользоваться вкладкой «Дополнительные параметры». На вкладке «Привилегии пользователя» можно задать, какие операции может выполнять пользователь, а какие - нет.

Далее необходимо ввести полное имя и имя пользователя, которое будет служить как логин.

В следующем окне необходимо ввести пароль и подтвердить его. Выполнив все выше описанные действия будет создана новая учетная запись. Для добавления её в разные группы, необходимо просто нажать на те группы в которых данный пользователь состоит и в представленном перечне выбрать необходимые группы. Если пользователь не входит в группу admin, то он не сможет, к примеру запустить утилиту «Пользователи и группы», если не входит в группу sudo, то не сможет использовать команду sudo в терминале, если не входит в группу cdrom, то не сможет использовать пользоваться записью дисков. Linux Mint содержит более 40 подобных групп.



Рисунок 2.2 - Перечень групп

Чтобы все предыдущие действия вступили в силу необходимо перезагрузить компьютер. На входе в систему будет предложено, под какой учётной записью войти в систему.

Через терминал.

Для создания новой учетной записи необходимо запустить терминал и ввести следующую команду:

sudo adduser student

Рисунок 2.3 - Создание учётной записи через терминал

Если необходимо добавить пользователя в разные группы, то необходимо записать команду:

sudo gpasswd -a student admin

В данном случае, пользователю student был добавлен в группу admin.

Иногда, для удобства работы, пользователей объединяют в группы. По умолчанию один пользователь не имеет доступа к домашнему каталогу другого пользователя. Но если нескольких пользователей объединить в одну группу, то у каждого из них будет доступ не только к своему домашнему каталогу, но и к домашним каталогам других пользователей. Полезность таких объединений очевидна. Создаётся новая группа таким же образом что и учётные записи.

2.2 Пользователь Root

Как su, так и sudo используются для запуска команд с привилегиями root. Пользователь root в целом эквивалентен администратору в Windows - он имеет наибольшие права и может делать с системой практически все. Обычные пользователи в Linux Mint имеют намного меньшие возможности - например, они не могут устанавливать программы или записывать в системные директории.

Если нужно сделать что-то, требующее таких прав, то можно получить их с поомощью su или sudo.

При выполнении команды su без дополнительных опций она переключает использовавшего её в сеанс суперпользователя. Для этого необходимо знать пароль root. Но это не все, что может делать команда su, на самом деле она может использоваться для переключения в любой пользовательский аккаунт. После ввода команды su Arty, будет предложено ввести пароль пользователя Arty, и оболочка переключится в его аккаунт.

Sudo запускает с правами root только одну команду. При выполнении команды sudo система будет запрашивать текущий пользовательский пароль, а затем запустит команду на выполнение от имени root.

Это ключевое различие между su и sudo. Su переключает вас в аккаунт root и требует пароля root. Sudo запускает с привилегиями root одну команду - она не переключает вас в аккаунт суперпользователя и не требует отдельного пароля root.

Linux Mint также поддерживает графические версии Su и Sudo, которые запрашивают у пользователя пароль в графическом окружении. Например, с помощью приведенной ниже команды можно получить графический запрос пароля и запустить файловый менеджер Nautilus с привилегиями root. Для этого необходимо нажать Alt-F2, чтобы запустить команду в графическом диалоговом окне без терминала.

Рисунок 2.4 - Использование Su и Sudo через графический интерфейс

Команда gksu также имеет несколько тузов в рукаве. Она запоминает текущие настройки рабочего стола, поэтому графические программы при их запуске от имени другого пользователя не будут выглядеть неожиданно. Такие программы, как gksu являются предпочтительным способом запуска графических программ с привилегиями root. Gksu использует su или sudo, в зависимости от дистрибутива.

2.3 Права доступа

Файлы в Linux Mint, как, впрочем, и процессы, созданные пользователем, имеют двух владельцев: пользователя и группу-пользователя. Кроме этого определяются права для прочих, то есть тех, которые не вошли в первые два списка.

Каждый пользователь может быть членом сразу нескольких групп, одна из которых называется первичной, а все остальные - дополнительными. Наличие групп дает определенную гибкость в организации доступа к конкретному файлу. Например, чтобы разрешить запись дисков в Linux Mint, достаточно добавить пользователя в группу cdrom. Аналогично можно организовать совместное использование некоторого ресурса: достаточно создать новую группу и включить в нее всех, кому это действительно необходимо. Обычно владельцем файла является пользователь, который его создал, а владелец-группа устанавливается равной первичной группе пользователя, создавшего файл.

Просмотреть текущие права можно при помощи команды ls -l:

ls -l sound.mрЗ

Чтобы изменить владельцев файла, используется команда chown, принимающая в качестве параметров имя нового владельца или группу и список файлов. Формат такой:

sudo chown new_owner file1 file2 ...

На месте названия файла может быть и имя каталога, но при этом владелец файлов внутри каталога не изменится, а чтобы это произошло, добавляем флаг -R. При использовании любой команды оболочки можно пользоваться регулярными выражениями, если есть необходимость отобрать файлы, удовлетворяющие определенному критерию:

sudo chown -R Artem *

В примере владельцем всех файлов в текущем каталоге и подкаталогах будет пользователь Artem. Команда chown позволяет установить и группу-владельца. Для этого нужно сразу за именем владельца без пробелов и других знаков поставить двоеточие и написать название необходимой группы:

sudo chown - R artem:video *

Допускается и такой вариант записи:

sudochown -- R :video *.

Кроме chown для изменения владельца группы можно использовать команду chgrp, синтаксис использования данной команды аналогичен предыдущей:

chgrp audio /home/Artem /*

Владение файлом определяет те операции, которые тот или иной пользователь может совершить над файлом. Самые очевидные из них - это изменение владельца и группы для некоторого файла. Данные операции может проделать суперпользователь и владелец файла (для некоторых - только суперпользователь).

Все эти ограничения введены по нескольким причинам. Во-первых, для того чтобы никто не мог подсунуть какой-нибудь зловредный файл или скрипт, а во-вторых, чтобы, если на компьютере установлен лимит дискового пространства для конкретного пользователя, нельзя было превысить его, просто переопределив владельца.

Кроме владения файлом права доступа определяют базовые операции, которые можно совершить над файлом. Их три:

* Read -- доступ на чтение;

* Write -- доступ на запись;

* eXecute -- доступ на выполнение.

Для установки соответствующих прав используется команда chmod. Применяется она в двух формах: абсолютной, когда игнорируются старые права и устанавливаются новые, и относительной, когда к имеющимся правам добавляются новые (или убираются старые). Абсолютная форма предполагает задание прав доступа в восьмеричной форме. Чтобы получить полный код необходимого режима файла, нужно просто сложить значения кодов, приведенных в таблице 2.1.

Таблица 2.1 - Режимы файлов

Таким образом, команда

chmod 755 file

устанавливает следующие права доступа: если это исполняемый файл, то запустить его на выполнение и прочитать содержимое имеют право все (то есть владелец, группа и остальные), а владелец дополнительно имеет право на изменение содержимого - запись.

Относительная форма команды требует конкретного указания классов доступа (и - владелец, g - группа, о - остальные, а - все вместе), соответствующие права доступа (r - чтение, w - запись, х - выполнение) и операцию, которую необходимо произвести для списка файлов (+ -добавить, - - удалить, = - присвоить) для соответствующего списка файлов. Например, команда

sudo chmod u+w, ug+r, a+x file

Добавляет к имеющимся право запустить файл на выполнение, группа и владелец смогут прочесть содержимое, а владелец, кроме того, и изменить содержание. Применение = относится, скорее, к абсолютному заданию прав доступа, так как устанавливает соответствующие права вместо имеющихся.

К слову, вызвав свойства файла или каталога и перейдя на вкладку Права, можно изменить группу и параметры доступа к файлу для тех объектов, владельцем которых является данный пользователь.



Рисунок 2.5 - Графический интерфейс прав доступа

Для каталогов права доступа имеют немного другой смысл. Каталог - это файл, содержащий имена всех файлов, которые имеются в данном каталоге. Право на чтение каталога позволяет всего лишь получить имена файлов, находящихся в данном каталоге. А вот для того, чтобы получить другую дополнительную информацию, нужно право на исполнение. Чтобы перейти внутрь каталога, необходимо иметь право на выполнение. Кстати, из-за наличия этих особенностей можно добиться так называемого эффекта dark directory, когда создаем в каталоге файлы, которые доступны, только если пользователь знает точно имя соответствующего файла. Право на запись для каталога позволяет изменять его содержимое, то есть удалять и записывать файлы, при этом права доступа к конкретному файлу игнорируются.

Права на доступ проверяются в следующей последовательности: суперпользователь, владелец, группа-владелец и прочие. Система при запросе нужного ресурса проверит, кем он запрашивается в приведенной выше последовательности, и допустит только к разрешенным операциям, дальнейшая проверка прав просто не будет проводиться.

Группу, в которую входит пользователь, можно изменить, отредактировав файл /etc/group. Внутри файл состоит из ряда строк вида

cdrom : х : 24 : oem

то есть в данной строке описана группа cdrom, в которую входит пользователь oem. Чтобы добавить в эту группу пользователя Artem, просто дописываем его логин через запятую:

cdrom : х : 24 : oem, Artem

Цифра 24 означает GID (group id) - цифровое значение группы. Новая группа создается командой addgroup, учетная запись - adduser.

Кроме этого Linux Mint предлагает графический инструмент управления группами и учетными записями, который можно вызвать из меню «Администрирование» > «Пользователи и группы».

С его помощью можно очень просто добавить новую учетную запись или группу и установить членство в группах.

Данные об учетной записи хранятся в файле /etc/passwd. Формат такой:

User name : пароль : uid : gid : uid коментарий:домашний каталог:shell

Например:

Artem: х : 1000 : 1000 : Artem , , , : / home / Artem: / bin / bash

Все обычные учетные записи имеют UID начиная с 1000.

Зачем это нужно? Например, необходимо рассмотреть данные устройства, выводящего звук:

ls -l /dev/dsp

После чего в терминале отобразится следующее:

crw-rw----+ 1 root audio 14, 3 2010-06-10 11:59 /dev/dsp

То есть считать данные может только пользователь root и все, кто входит в группу audio. Следовательно, если у пользователя не проигрывается звук и система выдает, что не может получить доступ, необходимо просто проверить права. Справедливости ради нужно отметить, что права доступа имеет не пользователь, а процесс, запущенный им. Каждый пользователь, зарегистрировавшись в системе, получает свою копию текущего процесса shell, который имеет установленные идентификаторы RID и RGID - реальные идентификаторы пользователя и первичной группы пользователя. А все процессы, запущенные пользователем (дочерние), наследуют все переменные, в том числе RID и RGID.

Остались нерассмотренными три режима файла: бит сохранения задачи (stisky bit), а также флаги SUID и SGID. Со stisky bit все просто, этот бит указывает на необходимость сохранения копии выполняющейся программы в памяти после завершения выполнения. Данный режим позволяет сэкономить время на запуске программы при частом использовании, но в современных системах применение этого режима встречается редко.

Флаги SUID и SGID позволяют изменить (расширить) права пользователя (группы), запустившего программу, на время ее выполнения. Как уже говорилось, запущенное приложение имеет такие же права доступа к системным ресурсам, как и пользователь, запустивший программу. А установки этих флагов позволяют назначить права доступа исходя из прав доступа владельца файла. Следовательно, если владельцем запущенного приложения является root, то любой, независимо от того, кто запустил данное приложение, будет иметь права суперпользователя. Вместе с тем при установке флага SUID наследуются права владельца файла, a SGID - группы-владельца.

Буква s в выводе команды ls -l означает, что установлен флаг SUID, а владельцем файла является - root, и теперь, кто бы ни запустил утилиту на выполнение, на время работы программы он временно получает права суперпользователя, то есть право произвести запись в защищенный системный файл. Естественно, утилита должна (и делает это) производить изменение учетной записи только запустившего ее пользователя.

Для установки битов SUID/SGID в символьной форме используется буква s, sticky bit устанавливается буквой - t , а с помощью буквы l можно установить блокировку файла для устранения возможных конфликтов, когда несколько процессов попытаются работать с одним и тем же файлом.

Обычно sticky bit установлен в каталоге /tmp. Это сделано для того, чтобы удалить файл мог только пользователь, создавший его. При установке бита SGID для каталога все вновь созданные файлы будут теперь наследовать группу не по пользователю, создавшему его, а по группе - владельцу каталога.

2.4 Файловая система

Под файловой системой понимается физический способ организации данных на дисковом разделе, то есть возможность хранения, нахождения и манипулирования (запись, перезапись и удаление).

Еще один момент, с которым придется столкнуться во время установки Linux Mint, - выбор файловой системы. В отличие от Windows, которая предлагает отформатировать диск в NTFS или FAT32, а в последних версиях - только в NTFS, в Linux Mint выбор гораздо больше. Современное ядро поддерживает следующие файловые системы, на которых можно установить Linux, - ext2, ext3, ext4, ReiserFS, XFS и JFS. А список всех файловых систем, разделы которых может монтировать Linux Mint, еще больше, в том числе в этом списке находятся и файловые системы, считающиеся родными для других операционных систем, в частности Windows. В данном случае была выбрана файловая система ext4.

Файловая система ext3 заслужила репутацию надежной, ей доверяют свои данные многие пользователи и корпорации. Но наиболее существенным ограничением является максимальный размер хранилища 16 Тбайт. Чтобы снять это ограничение, в середине 2006 г. была выпущена серия заплаток (patch), которые, в свою очередь, нарушали обратную совместимость. Поэтому было принято решение на основе заплаток создать новую файловую систему, которая получила название ext4.

Главная задача разработчиков - не просто повысить производительность и улучшить характеристики, но и предоставить простой путь перехода пользователей, работавших с ext2 или ext3, на новую версию файловой системы. В результате ext4 получила следующие особенности:

Совместимость. Любая имеющаяся файловая система типа Ext3 может быть конвертирована в Ext4 путём простой процедуры, состоящей из запуска пары команд в режиме «только чтение». Это означает, что можно повысить производительность и вместимость и улучшить возможности имеющейся файловой системы без переформатирования и без переустановки ОС и программ.

Ext4 будет использовать новые структуры только для новых данных, а старые при этом останутся неизменными. При необходимости их можно будет читать и изменять. Это безусловно означает, что, единожды сменив файловую систему на Ext4, вернуть Ext3 будет уже невозможно.

Также имеется возможность смонтировать файловую систему Ext3 как Ext4 без использования нового формата данных, что позволит впоследствии смонтировать её опять как Ext3. При этом, само собой, не можно воспользоваться многочисленными преимуществами Ext4.

2. Больший размер файлов и файловой системы. На сегодняшний день максимальный размер файловой системы Ext3 равен 16 терабайтам, а размер файла ограничен 2 терабайтами. В Ext4 добавлена 48-битная адресация блоков, что означает, что максимальный размер этой файловой системы равен одному экзабайту, и файлы могут быть размером до 16 терабайт. 1 EB (экзабайт) = 1,048,576 TB (терабайт), 1 EB = 1024 PB (петабайт), 1 PB = 1024 TB, 1 TB = 1024 GB. Почему 48-битная, а не 64-битная? Имелся ряд ограничений, которые необходимо было бы снять, чтобы сделать Ext4 полностью 64-битной, и такой задачи перед Ext4 не ставилось. Структуры данных в Ext4 проектировались с учётом требуемых изменений, поэтому однажды в будущем поддержка 64 бит в Ext4 появится. Пока же придётся довольствоваться одним экзабайтом.

3. Масштабируемость подкаталогов. В настоящий момент один каталог Ext3 не может содержать более чем 32000 подкаталогов. Ext4 снимает это ограничение и позволяет создавать неограниченное количество подкаталогов.

4. Экстенты. Традиционные файловые системы, произошедшие от Unix, такие как Ext3, используют схему непрямого отображения блоков для отслеживания каждого блока, отвечающего за хранение данных файла. Такой подход неэффективен для больших файлов, особенно при операциях удаления и усечения таких файлов, поскольку карта соответствия содержит по одной записи на каждый отдельный блок. В больших файлах блоков много, их карты соответствия большие, и обрабатываются они медленно.

В современных файловых системах применяется иной подход, основанный на так называемых экстентах. Экстент - это в общем-то набор последовательных физических блоков. Он как бы говорит: «Эти данные находятся в следующих n блоках». Например, файл размером в 100 мегабайт может храниться в единственном экстенте такого же размера, вместо того, чтобы быть разбитым на 25600 4-килобайтных блоков, адресуемых путём непрямого отображения. Огромные файлы можно разделить на несколько экстентов.

Благодаря применению экстентов улучшается производительность, а также уменьшается фрагментированность, поскольку экстенты способствуют непрерывному размещению данных.

5. Многоблочное распределение. Если в Ext3 нужно записать на диск новые данные, специальный механизм распределения блоков определяет, какие блоки из числа свободных будут для этого использованы. Проблема в том, что в Ext3 этот механизм распределяет в один присест только один блок (4 килобайта). Это означает, что, если нужно записать, скажем, ранее упомянутые 100 мегабайт данных, нужно будет обратиться к механизму распределения 25600 раз. Мало того, что это неэффективно, это к тому же не позволяет оптимизировать политику распределения, поскольку соответствующий механизм не имеет понятия о реальном объёме данных, подлежащем записи, а знает только об одном-единственном блоке.

Ext4 использует механизм многоблочного распределения (multiblock allocator, mballoc) который позволяет распределить любое количество блоков с помощью единственного вызова и избежать огромных накладных расходов. Благодаря этому производительность существенно вырастает, что особенно заметно при отложенном распределении с использованием экстентов. Эта возможность никак не влияет на формат данных.

6. Отложенное распределение. Отложенное распределение представляет собой способ повышения производительности, не влияющий на формат данных и представленный в современных файловых системах, таких как XFS, ZFS, btrfs и Reiser 4.

Суть этого метода состоит в отсрочке выделения блоков насколько это возможно - по контрасту с подходом, применяемым в традиционных файловых системах (таких как Ext3, reiser3 и т. д.): распределять блоки сразу, при первой возможности. Например, если процесс осуществляет запись вызовом write(), файловая система распределит блоки под запись немедленно - даже если данные пока не будут записываться на диск, а будут находиться какое-то время в кэше. Недостатки такого подхода, например, в том, что, если процесс непрерывно осуществляет запись в растущий файл, последовательные вызовы write() постоянно распределяют блоки данных, и при этом неизвестно, будет ли файл расти далее.

При использовании отложенного распределения блоки сразу не выделяются при обращении к write(). Вместо этого распределение откладывается до момента, когда файл будет записан из кэша на диск. Благодаря этому механизм получает возможность оптимизировать процесс распределения. Наибольший выигрыш получается при использовании двух ранее упомянутых возможностей - экстентов и многоблочного распределения, поскольку часто встречается ситуация, когда окончательный файл пишется на диск в виде экстентов, распределённых с помощью mballoc. Это даёт существенный прирост производительности, и иногда сильно снижает фрагментированность данных.

7. Контрольные суммы журнала. Журнал является наиболее часто используемой частью диска, вследствие чего блоки, из которых он состоит, становятся особенно чувствительными к отказам оборудования. Более того, попытка восстановления при повреждённом журнале может привести к ещё более массовым повреждениям в данных. Ext4 подсчитывает контрольные суммы журнальных данных, что позволяет определить факт их повреждения. У этого есть и ещё одно преимущество: благодаря контрольным суммам можно превратить систему двухфазной фиксации журнала Ext3 в однофазную, что ускоряет файловые операции в отдельных случаях до 20 %, таким образом, улучшаются одновременно и надёжность, и производительность.

8. Режим без журналирования. Журналирование обеспечивает целостность файловой системы путём протоколирования всех происходящих на диске изменений. Но оно также вводит дополнительные накладные расходы на дисковые операции. В некоторых особых ситуациях журналирование и предоставляемые им преимущества могут оказаться излишними. Ext4 позволяет отключить журналирование, что приводит к небольшому приросту производительности.

9. Устойчивое перераспределение. Эта возможность, доступная уже в Ext3 в последних версиях ядра и эмулируемая glibc в файловых системах, которые её не поддерживают, позволяет приложениям заранее распределять дисковое пространство, сообщая о своих потребностях файловой системе. Та, в свою очередь, выделяет необходимое количество блоков и структур данных, но они пусты до тех пор, пока приложение в реальности не осуществит в них запись.

Это именно то, что делают, например, P2P-приложения, выделяя место для данных, которые появятся там только спустя часы или дни. Однако реализовано это намного более эффективно - на уровне файловой системы и с универсальным API.

Применений этому несколько: во-первых, чтобы предотвратить выполнение того же самого приложениями (такими как P2P), неэффективно заполняющими файлы нулями - нужные блоки будут выделены разом.

Во-вторых, чтобы снизить фрагментацию - опять же потому, что блоки выделяются однократно, настолько непрерывно, насколько это возможно.

В-третьих, чтобы гарантировать, что приложение будет иметь столько места, сколько ему требуется, что особенно важно для приложений, работающих в реальном времени, поскольку файловая система может вдруг переполниться в процессе выполнения важной операции.

10. Механизм «шлагбаумов» по умолчанию включен. Это опция, обеспечивающая целостность файловой системы ценой некоторой потери производительности (её можно отключить с помощью «mount -o barrier=0», рекомендуется сделать это при замерах производительности).

Выдержка из статьи LWN: «Код файловой системы обязан перед созданием записи фиксации [журнала] быть абсолютно уверенным, что вся информация о транзакции помещена в журнал. Просто делать запись в правильном порядке недостаточно; современные диски имеют кэш большого объёма и меняют порядок записи для оптимизации производительности. Поэтому файловая система обязана явно сообщить диску о необходимости записать все журнальные данные на носитель перед созданием записи фиксации; если сначала будет создана запись фиксации, журнал может быть повреждён. Блокирующая система ввода-вывода ядра предоставляет такую возможность благодаря использованию механизма «шлагбаумов» (barriers); проще говоря, «шлагбаум» запрещает запись любых блоков, посланных после него, до того момента, как всё, что было прислано перед «шлагбаумом», будет перенесено на носитель. При использовании «шлагбаумов» файловая система может гарантировать, что всё, что находится на диске, целостно в любой момент времени».



2.5 Резервное копирование данных

Резервное копирование данных - процесс создание копий важной информации, которые хранятся на других хранилищах данных (флешка, жесткий диск, DVD-диск, облачный сервис и т.д.). Резервное копирование данных очень важная операция, которую должен производить любой пользователь, через определенный промежуток времени.

Для начала рассмотрим резервное копирование файлов через графический интерфейс.

Рисунок 2.6 - Резервное копирование

Для начала необходимо выбрать в качестве источника данных домашний каталог. Далее выбрать, где вы хотите разместить резервную копию файлов. В дополнительных параметрах следует выбрать следующее:

Описание.

Переписать (можно игнорировать этот параметр, он вступает в силу, если пользователь планирует обновить уже существующие резервные копии).

Проверить целостность: замедляет процесс, но делает его более надёжным, он проверяет подпись каждого файла после его резервного копирования.

Сохранить права доступа и временные метки.



Рисунок 2.7 - Резервное копирование файлов

Для экономии места и времени, можно исключить те директории в которых пользователь не нуждается. 

Для резервного копирования программного обеспечения необходимо нажать на кнопку «Резервное копирование программ». Далее необходимо выбрать место для хранения создаваемой резервной копии.

Рисунок 2.8 - Резервное копирование программ

В следующем окне будут показаны все пакеты, которые установлены в системе. При завершении операции резервного копирования, файлы программ, имя которых начинается с «software_selection» являются резервными копиями программного обеспечения.

Для восстановления данных и программ следует запустить «Восстановление файлов» и «Восстановление программ» соответственно.



Рисунок 2.9 - Восстановление файлов

Если резервные копии данных сохранены в виде архива, следует выбрать «Архив», в противном случае - «Папка» и указать архив, либо место, где было сохранено резервную копию данных. Далее выбрать новую домашнюю папку в которую будут сохранены восстановленные файлы.

При восстановлении программ следует выбрать резервные копии программного обеспечения выбора файла. В следующем окне будет показан список пакетов один из которых следует выбрать. Этот список содержит только пакеты, которые были частью предыдущего выбора программного обеспечения и которые не установлены в нынешней системе. Пакеты, которые уже установлены в новой системе не нужно устанавливать снова, так что они не появляются в этом списке.

Также в Linux Mint можно создать резервные копии при помощи терминала. Для этого необходимо использовать следующие команды.

sudo fdisk-l

чтобы вывести список всех доступных жестких дисков

Сперва нужно сделать монтирование разделов на Linux Mint, для этого выполняется команда

sudo mkdir Backup

Как результат будет создана папка Backup.

Теперь нужно примонтировать этот раздел, для этого выполняется следующее:

sudo mount dev sdbX media backup

,где Х-номер раздела для бэкапа.

Теперь примонтирование папки Backup в media /Backup выполнено.

Далее следует создать директории, которые желательно использовать для резервного копирования. Для этого набираются в терминале данные команды:

sudo gedit media backup exclude

Proc/*

Tmp/*

Sys/*

Данные три директории обязательны.

Далее необходимо перейти в папку Backup для последующих операций.

sudo cd media backup

Теперь приступаем непосредственно к процессу резервного копирования

sudo tar -X media backup exclude -czf /media backup backup.tgz

Буква Х - обозначает путь к файлу, исключающего список директорий, для резервного копирования.

Команда -сzf - создание архива

z- gzip - способ упаковки файла

f - путь к архиву.

Восстановление системы Linux Mint из резервной копии

sudo fdisk -l

sudo mkdir * (создаёт нужную папку)

sudo mount dev sd** (где ** указывается номер накопителя) media * указанная папка

sudo cd media (переход в папку на съемном носителе)

На данном этапе действий, нужно обязательно перейти в раздел, куда будут распакованы данные

sudo cp каталог с бэкапом [папка, куда будет распаковываться бэкап] (квадратные скобки обязательны!)

(Cp=это команда копирования в Linux-системах)

Команда распаковки выглядит так:

sudo tar -xzpsf backup.tgz

После того как данные были распакованы, нужно установить «загрузчик» (загрузчик для системы и отредактировать важные файлы для восстановления работы системы).

sudo grub-install-root directory=/media/backup dev sda

(media backup - это папка с резервной копией)

Нужно узнать идентификаторы разделов, воспользуясь командой

sudo ls -l dev disk by-uuid

Нужно скопировать идентификатор и отредактировать нужные файлы. Выполняется команда

sudo gedit boot grub grub.cfg

Во время ввода описанной выше команды необходимо находится в папке куда был распакован архив.

Здесь нужно с помощью редактора gedit заменить uuid-идентификаторы на новые. Далее следует редактировать еще один файл.

sudo gedit etc fstab

И добавить строку:

sudo dev sda* none swap sw 0 0

Вместо dev sda* , следует указать раздел с подкачкой «SWAP» Узнать «свап-раздел» командой fdisk -l и теперь подключить его, используя команду

swapon dev sda*

2.6 mintUpdate

Программа MintUpdate предназначена для поддержания системы в актуальном состоянии. Множество настроек делают обновление пакетов удобным для каждого частного случая. Обновления отсортированы по уровню важности, существует возможность редактирования источников и прокси-серверов, просмотр истории обновлений и множество других приятных функций.

Здесь некоторых пояснений требуют первые две колонки. Первая - тип обновления. Их два - стандартно обновляемые пакеты по выходе их новой сборки или версии (отмечены серой стрелкой) и обновления безопасности, ликвидирующие выявленные "дыры" в них (отмечены красным восклицательным знаком).

Во второй колонке указывается уровень безопасности обновления пакетов. Здесь под безопасностью понимается не вероятность использования их злодеями, а то, как обновление пакета может повлиять на общую стабильность системы. Уровней безопасности в этом смысле пять:

Сертифицированные пакеты - обычно те, что непосредственно поддерживаются майнтайнерами Mint.

Рекомендуемые пакеты - проверены и одобрены разработчиками данного дистрибутива.

Безопасные пакеты - не проверялись разработчиками, но нарушение стабильности системы при их обновлении очень маловероятно.

Небезопасные пакеты потенциально могут повлиять на стабильность системы.

Опасные пакеты при некоторых условиях могут привести к нестабильности системы.

Рисунок 2.10 - Менеджер обновлений

По умолчанию отмечены для обновления (третья колонка) пакет уровней 1-3. Для пакетов уровней 4-5 это нужно сделать принудительно. Если оно, конечно, нужно, в чём я лично не всегда уверен:

Само по себе обновление выполняется нажатием экранной кнопки «Установить обновления» и начинается после ввода пользовательского пароля. Развернув пункт «Show individual files», можно наблюдать за ходом процесса в деталях (если, конечно, больше заняться нечем).



3.СЕТЕВАЯ БЕЗОПАСНОСТЬ В ОС LINUX MINT

В операционной системе Linux Mint в качестве фильтра пакетов используется Netfilter, который входит в состав ядра и разрабатывается группой Netfilter Core Team. Для управления его настройками используется утилита командной строки iptables, разрабатываемая параллельно этим же проектом. Процесс настройки требует некоторого понимания протоколов, используемых при обмене информации в Интернете, и назвать его простым нельзя. Хотя тема настройки netfilter/iptables уже не является новой, в глобальной сети можно найти не один десяток документов, описывающих как его устройство, так и сами команды.

3.1 Межсетевой экран в Linux Mint

Кроме этого написано несколько хороших графических утилит (КМуFirewall, Firewall Builder, Firestarter и др.), помогающих самостоятельно создавать правила неподготовленному пользователю. В Ubuntu, начиная с версии 8.04, для управления правилами netfilter используется UFW (Uncomplicated firewall), поэтому процесс настройки здесь выглядит несколько иначе, чем в других дистрибутивах. Позже UFW перекочевал в другие дистрибутивы, в том числе и в Linux Mint. Важно понять, что UFW не заменяет iptables, а является лишь удобной высокоуровневой надстройкой над этой утилитой. Процесс создания новых правил планируется сделать максимально понятным для обычного пользователя. Кроме этого упрощена интеграция приложений с межсетевым экраном. Разработчик может создавать готовые правила, которые будут автоматически активироваться при установке сервиса, разрешая нужные сетевые соединения.

По умолчанию UFW всегда отключен, и перед запуском демона его необходимо актировать, заменив в файле /etc/ufw/ufw.conf строку

ENABLED=no

ENABLED=yes

Иначе при попытке его запуска командой

sudo /etc/init.d/ufw start

будет получен отказ.

Кроме непосредственного редактирования конфигурационных файлов настройки можно производить при помощи консольной утилиты ufw. Например, чтобы активировать uwf и разрешить ее загрузку, при старте системы можно поступить следующим образом:

sudo ufw enable

Отключить также просто:

sudo ufw disable

Существует две глобальные политики: все разрешено и все запрещено. Первая активируется при помощи команды

sudo ufw default allow

Политика по умолчанию incoming изменена на allow.

Чтобы запретить все подключения, используется команда

sudo ufw default deny

При помощи ufw очень просто разрешить или запретить входящие соединения для сервиса, описанного в /etc/services, или конкретного порта/протокола.

В общем случае команда выглядит так:

ufw allow | deny [ service ]

Иными словами, чтобы разрешить подключение к веб-серверу, работающему на 80-м порту, необходимо поступить следующим образом:

sudo ufw allow 80 / tcp

Чтобы просмотреть правила iptables без их активации, необходимо добавить в команду параметр - -dry-run. Параметр status позволит узнать текущие настройки UFW без заглядывания внутрь iptables:

sudo ufw status

Удалить разрешение на подключение к выбранному порту можно так же просто:

sudo ufw delete allow 80/tcp

Запрещающее правило создается аналогично разрешающему, только вместо allow используется deny:

sudo ufw deny 53

Теперь был блокирован доступ к 53-му порту. При этом если ранее было создано, например, разрешающее правило, которое теперь нужно заменить на блокирующее, то это лучше производить в два этапа. Вначале отключается первое правило, а затем устанавливается второе.

Вместо номера порта можно назвать сервис по имени. Необходимо узнать как называется нужный сервис:

cat /etc/services | less

и включить его в правило:

sudo ufw allow ssh

В правилах UFW можно задавать IP-адреса (источника и назначения). Например, чтобы разрешить подключение с внутренней сети 192.168.1.0/24, используется:

sudo ufw allow 192.168.1.0/24

или запрещающее правило:

sudo ufw deny from 10.20.30.40

Опционально можно указать порт и протокол. Для того чтобы разрешить подключение по SSH только с одного IP-адреса следует ввести следующую команду:

sudo ufw allow from 192.168.0.20 to any port 22

Для включения/отключения регистрации используется команда logging.

sudo ufw logging on

Файл /etc/ufw/sysctl.conf задает некоторые системные переменные (аналог общесистемного /etc/sysctl.conf). Например, чтобы разрешить перенаправление пакетов, снимается комментарий со строки

net/ipv4/ip_forward=1

В состав Linux Mint включен и графический интерфейс UFW - GUFW

Рисунок 3.1 - GUFW

Для запуска GUFW используется команда:

sudo gufw

Первым делом следует изменить статус работы фаервола на «Включен». Но следует учесть: на дефолтных настройках входящая информация из интернета запрещена, а исходящая проверяется. Таким образом, весь трафик станет напоминать улицу с односторонним движением.