3-amaliy mashg’ulot Mavzu: Fayl tizimlarini tashkil etish. Ishdan maqsad
Yüklə 0,55 Mb.
|
|
DIR = p+i+n+u+g
ruxsatnomalar, metadata, havolalar soni va boshqa standart atributlarni tekshirishni bajarish kerakligini ko'rsatadi. Bundan tashqari, harakatlar bo'limi PARSEC xavfsizlik quyi tizimiga xos qoidalarni o'z ichiga oladi - PARSEConly, PARCEC va GOST. Masalan, PARSEC shakli qoidasi: PARSEC = p+d+i+n+u+g+s+b+md5+m+e+t MD5 kriptografik algoritmidan foydalangan holda fayl ob'ektlarining standart atributlarini tekshirish, kengaytirilgan atributlarni (xavfsizlik yorliqlari va audit bayroqlari) va ushbu fayl ob'ektlarining ACLlarini tekshirish zarurligini bildiradi. GOST qoidasining ko’rinishi: GOST = p+d+i+n+u+g+s+b+gost+m+e+t gost parametri GOST R 34.11 kriptografik algoritmi yordamida fayl ob'ektlarining standart atributlarini tekshirish zarurligini ko'rsatadi. files to scan fayllarni skanerlash bo'limi yaxlitlikni muntazam nazorat qilinadigan kataloglar va fayl ob'ektlariga qo'llaniladigan to'liq yo'llar va qoidalarni bildiradi. files to scan fayllarni skanerlash bo'limidagi yozuvlar formati quyidagicha: file action - kataloglar, pastki kataloglar va fayl ob'ektlarini parametr bilan tekshiradi "действия"; !file - file obyekti fayli kataloglar va pastki kataloglarni skanerdan chiqarildi; =directory action - "действия" parametri bilan faqat katalog skanerlanadi va pastki kataloglar skanerdan chiqariladi. Masalan: /boot GOST - GOST qoidasi yordamida /boot katalogidagi barcha pastki kataloglar va fayllarni tekshiring; =/ DIR - DIR qoidasi bilan faqat pastki kataloglarni hisobga olmaganda, ildiz katalogini tekshirish; !/root/.bash_history - fayl ob'ektining /root katalogida tekshirishni istisno qilish .bash_history Fayl ob'ektlari va kataloglarining yig'indisi va atributlarining mos yozuvlar qiymatlari ndbm kengaytmasi bo'lgan faylda AFICK ma'lumotlar bazasida saqlanadi. Bu ma'lumotlar bazasi /etc/afick.conf faylining "files to scan" bo'limi parametrlariga muvofiq yaratilgan. Butunlikni nazorat qilish natijalari log-fayllari shaklida saqlanadi: • majburiy (administrator tashabbusi bilan) nazorat qilingan taqdirda - log fayllaridagi /var/lib/afick/archive katalogida. AFICK tizimi ma'lumotlar bazasini yangilash (yangilash) natijalari YYYYMMDDHHMMSS shunga o'xshash log-fayllarda saqlanadi; • rejali (davriy, cron xizmati tomonidan boshlangan) boshqaruv holatida - /var/log/afick katalogida afick.log.N nom formatidagi jurnal fayllarida (bu yerda N 1 dan 7 gacha qiymatlarni oladi). OSSN da yopiq dasturiy muhitni yaratish vositasi - yuklanmaydigan OSSN yadrosi digsig_verif moduli uchta rejimda ishlaydi (kengaytirilgan atributlarda imzolarni tekshirish usullari xuddi shunday qo'llaniladi, ya'ni DIGSIG_XATTR_MODE parametri yordamida faqat ELF fayllari uchun emas): • Oddiy rejim - ELF formatidagi bajariladigan fayllar va ES bo'lmagan yoki noto'g'ri ES (DIGSIG_ELF_MODE = 1) bo'lgan umumiy kutubxonalar uchun bajarilishi taqiqlanadi; • Tizim dasturiy ta'minot asboblar to'plamida ESni tekshirish rejimi - ELF formatidagi bajariladigan fayllar va ES bo'lmagan yoki noto'g'ri ESga ega bo'lgan umumiy kutubxonalar, bajarishga ruxsat beriladi, lekin ESni tekshirish xatosi haqida xabar ko'rsatiladi (DIGSIG_ELF_MODE = 2); • Tizimli dasturiy vositalar to'plamini sinab ko'rish uchun disk raskadrovka rejimi (tartib bo'yicha o'rnatiladi) - ES ELF formatidagi bajariladigan fayllar va umumiy kutubxonalarning tekshirilmagan (DIGSIG_ELF_MODE = 0). Digsig_verif modulining ishlashining yuqoridagi rejimlaridan birini tanlash uchun siz konfiguratsiya faylini tahrir qilishingiz kerak /etc/digsig/digsig_initramfs.conf. Digsig_verif moduli fly-admin-smc grafik interfeysi yoki quyidagi fayllar yordamida sysfs fayl tizimi interfeysi orqali boshqariladi: • /sys/digsig/enforce - yuqoridagi ish rejimlari ushbu faylda ko'rsatilgan; • /sys/digsig/key - ES asosiy kalitini yuklash uchun fayl; • /sys/digsig/additional - qo'shimcha ES kalitlarini yuklash uchun fayl. Tizim dasturini imzolash uchun har bir qo'shimcha kalit /etc/digsig/keys katalogiga joylashtirilishi kerak. Qo'shimcha kalitlar GOST R 34.11-94 va GOST R 34.11-2012 kriptografik algoritmlarini ishlatish uchun o'zgartirilgan gpg buyrug'i (GNU Privacy Guard) yordamida yaratiladi. Ma'lumotlar yaxlitligini nazorat qilish va tarqatishni boshqarish vositalarini boshqarishda, shuningdek yopiq dasturiy muhitni yaratish vositalari bilan ishlashda quyidagi buyruqlar qo'llaniladi: • afick - fayl obyekti yaxlitligini nazorat qilish tizimining parametrlarini boshqarish buyrug'i; • bsign - ELF fayllarida elektron imzoni yaratish va tekshirish buyrug'i; • digsig_initramfs - ERI kalitlarini yuklash va digsig_verif modulining Enforce rejimini ishga tushirish buyrug'i; • fly-admin-int-check -fayl ob'ektlarining yaxlitligini nazorat qilish uchun grafik yordamchi dastur; • gpg - foydalanuvchi sertifikatlari bilan ishlash buyrug'i; • lsmod - yuklangan yadro modullari ro'yxatini olish buyrug'i; • modinfo - ko'rsatilgan yadro moduli haqida ma'lumot olish buyrug'i; • md5sum, gostsum, shasum - nazorat summasini hisoblash buyrug'i; • update -initramfs - OSSN boshlang'ich yuklash tasvirini ishga tushirish buyrug'i (initrd). Yüklə 0,55 Mb. Dostları ilə paylaş:
|