Operacinių sistemų sauga. - Kauno technologijos universitetas

Kompiuterių ir OS sauga 

OS saugos funkcijos 

Autentifikavimas 

Autorizavimas (prieigos teisių valdymas) 

Auditas 

Programų sauga 

Failų sistemų sauga 

Saugos protokolai

2 

Rizikos [1] 

■ Neprieinamumas (sistemos neveikimas) 

Dingo elektra 

Sugedo maitinimo šaltinis, diskas, procesorius 

Potvynis 

■ Duomenų praradimas 

Sugedo diskas 

Netyčia ištrynė vartotojas 

Pavogė nešiojamąjį kompiuterį 

■ Konfidencialių duomenų sukompromitavimas 

Tyčinis pavogimas, raktų atskleidimas 

Netyčia pasiuntė el. paštu 

■ Neautorizuotas kompiuterio resursų 

naudojimas 

Programos, tinklo, spausdintuvo, disko 

T120B129 Informacinių technologijų sauga 

2013 balandis

3 

Atakų pobūdžio kitimas 


2013 balandis

4 

Dėl atakų respondentų patirti nuostoliai [1] 


2013 balandis

5 

Ką saugoti kompiuteryje? 

■ Atmintis 

Vienas vartotojas (programa) nemato/negali keisti kitos 

programos 

Negali tyčia ar netyčia sugadinti kitos programos kodo ir 

duomenų atmintyje 

■ Periferiniai įrenginiai 

Diskai, failai juose 

Nesankcionuotas skaitymas/rašymas 

Sugadinimas po trikių ar specialiai 

Spausdintuvai, skaneriai – konfidencialumas, autorizuotas 

naudojimas 

■ Tinklai ir komunikacijos priemonės 

■ Programos 

Kad nebūtų sugadintos, pažeistas vientisumas, pakeistos, 

nebūtų neteisėtai naudojamos 


2013 balandis

6 

OS funkcijos 

■ Pagrindinės OS funkcijos: 

Kompiuterio išteklių valdymas 

• diskai, tinklas, procesorius, atmintis 

Programų (procesų) valdymas 

• tuo pačiu ir vartotojų 

Programų sąsaja (API) 

• Vartotojo sąsaja, gali būti GUI, gali visai nebūti 

■ AAA (angl. Triple A) 

Vartotojo autentifikavimas (angl. Authentification) 

Prieigos teisių valdymas 

(angl. Authorization arba Access control) 

Auditas (angl. Accounting arba Auditing) 

■ Išteklių vientisumo ir konfidencialumo 

užtikrinimas 


2013 balandis

7 

Vartotojų autentifikavimas 

■ Autentifikuoti galima pagal: 

Tai ką vartotojas žino 

• Slaptažodį, PIN kodą 

Tai ką vartotojas turi 

• Išmaniąją kortelę, RSA token, slaptažodžių kortelę 

Tai kas vartotojas yra 

• Piršto antspaudas, akies rainelė, balsas 

■ Daugiafaktorinis autentifikavimas 

Bankomate, banko žiniatinklio sistemoje 

■ Šiuolaikinės OS leidžia autentifikuoti pagal tai 

ką vartotojas žino 

■ Galima sukonfigūruoti taip, kad būtų 

autentifikuojama pagal kelis faktorius 

UNIX PAM sistema 


2013 balandis

8 

Vartotojų autentifikavimas 

■ Vietinės OS slaptažodžių saugyklos 

: 

Niekada negalima saugoti slaptažodžių atviru tekstu 

UNIX slaptažodis saugomas kaip maišos rezultatas papildant salt 

reikšme 

Reikia naudoti „stiprius“ slaptažodžius, dažnai juos keisti, 

nenaudoti tų pačių 

• OS leidžia „priversti“ vartotojus tai padaryti 

• Negalima „perlenkti lazdos“ griežtinant reikalavimus 

■ Problemos naudojant ne vieną resursą 

Tinklas su daugeliu bendro naudojimo resursų 

• Darbo stotys, spausdintuvai, tinkliniai diskai, skaneriai, ... 

• Įvairi programinė įranga: apskaitos programa, DB, paštas, ... 

■ Problemos naudojant nutolusį prisijungimą 

Iš dalies sprendžia saugaus transporto naudojimas (SSL/TLS) 

Vietiniuose tinkluose dažnai nenaudojama, nes neefektyvu 

greitaveikos prasme 


2013 balandis

9 

UNIX vartotojai 

■ /etc/passwd 

Vartotojas root 

UID=0 

Gali „viską“ 

Gali būti ir ne root 

Gali būti ir keli 

■ /etc/shadow 

$ tail /etc/passwd 

oliaud:x:1081:100::/home/oliaud:/bin/bash 

ragalm:x:1084:100::/home/ragalm:/bin/bash 

romluk:x:1085:100::/home/romluk:/bin/bash 

stasil:x:1086:100::/home/stasil:/bin/bash 

sutpov:x:1087:100::/home/sutpov:/bin/bash 

sioeri:x:1088:100:Erika S.:/home/sioeri:/bin/bash 

ukiaur:x:1089:100::/home/ukiaur:/bin/bash 

prisijungimo vardas; 

x – vartotojas normalus, * – vartotojas neaktyvus 

UID, GID, Vardas, Namų direktorija, Shell'as 

$ sudo tail /etc/shadow 

oliaud:$2y$10$sP560s5gUJQMdJ9Qc0a.DgVojMqB0SPdRCYHgI8.:15385:0:99999:7::: 

ragalm:$2y$10$zrbSRk6RoquA.Ga9PZFNUi.zG8hYn2JdR55NtJdO:15412:0:99999:7::: 

romluk:$2y$10$qm7wKLPQ1JAAD5jxHfVKU/VkkH8P0NxqQVeNqvJ6:15385:0:99999:7::: 

stasil:$2y$10$2yNzRscDYx0lkg4egSzeBoatBBiAgDuQhdCbXdq2:15412:0:99999:7::: 

sutpov:$2y$10$anoWtRe3z4.c97A1XQQ84i33nvPm1SjrCXqELZ4S:15413:0:99999:7::: 

sioeri:$2y$10$XrVz4aLul3Ph3ezfeFcGbewbvWwqTzXj95Gj1EtC:15384:0:99999:7::: 

ukiaur:$2y$10$iazxx4aGBhVNpDCypBJGxYwgZPBIU...TE1hPXHe:15412:0:99999:7::: 

$2y$ – blowfish, 2 10 – raundų kiekis, 22 simb. – salt, 31 simb. – slapt. 

Kada keistas (nuo 1970.01.01), nuo kada gali keisti, nuo kada turi keisti, 

7 – prieš kiek dienų informuoti vartotoją, kad reikia keisti 


2013 balandis

10 

Vartotojų grupės 

■ /etc/group 

$ tail /etc/group 

sshd:!:65: 

sys:x:3: 

video:$1$kPVl2FD9$zj6QaQTxjFg6oS.ycAHT3/:33:nerijus,apuart,palpau,pocirm 

www:$1$57P5NFtw$NV5.8bdKUmjFmvt.LRYhu1:8: 

nx:!:1000: 

users:x:100: 

Grupės slaptažodis, GID, vartotojų sąrašas 

$1$ – MD5, $57P5NFtw$ – salt reikšmė 

$ passwd 

$ gppasswd - keicia grupės slaptažodį 

$ newgrp -l www - laikinai padaro www grupės nariu (jei žino slapt.) 

$ groups sioeri 

sioeri : users dialout video 

$ id sioeri 

uid=1088(sioeri) gid=100(users) groups=16(dialout),33(video),100(users) 


2013 balandis

11 

Autorizavimas, prieigos teisės 

■ OS traktuoja visus kompiuterio išteklius kaip 

objektus 

Įrenginiai, diskai, spausdintuvai, tinklas, atmintis, 

programos, failai, periferiniai įrenginiai, ... 

■ Šiems objektams galima nustatyti naudojimo 

teises, kurias suteikti (arba ne) tam tikriems OS 

vartotojams (procesams) ar jų grupėms 

■ Ką gali (ir ko negali) kiekvienas vartotojas 

daryti su objektu nusako jo prieigos teisės 

(angl. access control) 

Turime trimatę matricą: vartotojai (ar jų grupės), objektai 

(ištekliai), prieigos teisių sąrašas 


2013 balandis

12 

Prieigos teisių valdymas (DAC) 

■ Discretionally Access Control – DAC (išvertus – 

savo nuožiūra valdomas) modelis 

Jis remiasi prieigos teisių sąrašo (angl. Access Control List – 

ACL) naudojimu 

■ Kiekvienam resursui sukuriama ir palaikoma 

prieigos teisių lentelė 

Kiekvieno resurso savininkas gali su resursu daryti ką nori 

(bet kam leisti naudoti, skaityti, rašyti, keisti, ...) 

Aktyvios kiekvieno vartotojo teisės nustatomos sumuojant 

vartotojo ir visų grupių, kurioms jis priklauso, teises 

Pats lanksčiausias, naudojamas UNIX, Windows, Novell OS 

Vartotojas gali jam patikėta resursą suteikti bet kam, kas 

jam atrodo patikimas 

Sunkiausia centralizuotai valdyti, taip įgyvendinant įmonės 

saugos politiką 


2013 balandis

13 

Prieigos teisių valdymas (2) 

■ Role-based Access Control (RBAC) 

Naudojamos rolės, kurios apibrėžia tam tikrų veiksmų su 

resursu aibę 

Roles kuria ir valdo ne patys vartotojai 

Vartotojai ir jų grupės tas roles gauna 

Naudojamas JavaEE 

• Dalinai galima realizuoti per grupes, bet tai nėra tas pats 

■ Mandatory (privalomas) Access Control (MAC) 

Resursams ir vartotojams suteikiami saugos lygiai, žymės 

(visiškai slaptai, slaptai, konfidencialu, neklasifikuota) 

Pats vartotojas negali nieko keisti 

Bell-LaPadula modelis: 

• žemesniojo lygio vartotojas negali skaityti aukštesniojo 

lygio resurso (gali tik rašyti) 

• aukštesniojo lygio vartotojas negali rašyti į žemesniojo 

lygio resursą (gali tik skaityti) 


Rolės susiję su resursu: 

Finans-DBVS-Vart 

Grupės – vartotojų 

bendras atributas: 

KTU-CR-Darb 

2013 balandis

14 

DAC prieigos teisių valdymas (windows) 

Principals Resursai 

Programa.exe Kyocera 

FS-1024 

Jei Jonas yra grupės LocalUsers narys tai jis gali 

spausdinti 

Jei Petras yra Admins ir LocalUsers grupių narys, jis gali 

valdyti serverį 1 


Serveris 1 Dok.txt 

Jonas Vykdyti Matyti Matyti Matyti 

Petras Rašyti, Vykdyti - - Rašyti, 

Skaityti 

LocalUsers Matyti Spausdinti - - 

Principal – vaidmens 

atlikėjas, vykdytojas 

Admins Viską Viską Valdyti Matyti 

Back-SRV Skaityti - Skaityti 

2013 balandis

15 

NTFS failų ir direktorijų teisės (DAC) 

NTFS 

File 

Veiksmai NTFS 

Folder 

Read Matyti failo turinį, jo 

atributus ir teises 

Write Keisti failo turinį, 

atributus. Matyti jo teises 

Read & 

Execute 

Read + gali vykdyti 

programą 

Modify Read & Execute + Write + 

keisti failo turinį arba trinti 

failą 

Full 

Control 

Visi buvę + keisti failo 

teises, tapti savininku 


Veiksmai 

Read Matyti failų ar direktorijų sąrašą. 

Matyti direktorijos atributus ir teises 

Write Kurti direktorijoje naujus failus ir 

direktorijas. Matyti direktorijos 

teises. Keisti direktorijos atributus 

List Folder 

Contents 

Read & 

Execute 

Matyti direktorijos failų ir 

subdirektorijų sąrašą 

Matyti failų sąrašą, eiti į 

subdirektorijas 

Modify Visi buvę + trinti direktoriją 

Full 

Control 

Visi buvę + keisti direktorijos teises, 

tapti savininku 

Windows OS kiekvienas objekto tipas turi savo galimų 

teisių sąrašą (individualų) 

2013 balandis

16 

Prieigos teisės (POSIX standartas) 

■ POSIX (Portable Operating System Interface) 

standartas (nuo 1988 m.) numatė 

„standartines“ OS savybes. Tame tarpe ir FS 

prieigos valdymą 

Dabar naudoja visos UNIX šeimos OS 

Kiekvienas failas turi savo savininką ir grupę 

Galimos tik trys prieigos teisės: 

Teises galima suteikti: 

• savininkui 

• grupei 

• visiems 

$ ls -la 

total 17 

drwxr-xr-x 3 nana writers 80 2005-09-20 21:37 dir 

-rw-r----- 1 nana writers 8187 2005-09-19 13:35 file 

-rwxr-xr-x 1 nana writers 10348 2005-07-17 20:31 otherfile 


Teisė Prasmė 

r 

w 

x 

- 

skaityti (read) 

rašyti (write) 

vykdyti (execute) 

jokių teisių 

2013 balandis

17 

Prieigos teisių nustatymas 

$ chmod a=r testfile --> -r--r--r-- 

$ chmod g+x testfile --> -r--r-xr-- 

$ chmod u+wx testfile --> -rwxr-xr-- 

$ chmod ug-x testfile --> -rw-r—r-- 

$ chmod -R o=- studentams-gpg-dir + 

- 


Kodas Prasmė 

u 

g 

o 

a 

Kodas Prasmė 

= 

Savininkas (user/owner) 

Grupė (group) 

Kiti (other) 

Visi (all) 

Tipas Failas Direktorija 

Read 

Write 

Execute 

Galima skaityti failo turinį 

Galima rašyti į failą, keisti jo 

turinį 

Vykdyti failą 

Pridėti teisę 

Atšaukti teisė 

Galima pamatyti direktorijos failų 

sąrašą 

nustatyti tiksliai tokią teisę 

Keisti direktorijos turinį: kurti, trinti, 

pervadinti failus (ir direktorijas) 

Galima “įeiti” į direktoriją, padaryti ją 

einamąja direktorija 

2013 balandis

18 

Failo grupė ir savininkas 

$ chown username somefile 

$ chown username:usergroup somefile 

$ chown -R username somedir 

$ chgrp usergroup somefile 

$ chgrp -R usergroup somedir 

Papildomos failo teisės, 

OS procesų teisės: 

Kodas Prasmė 

Paleistas vykdyti failas (procesas) įgaus ne jį 

SUID paleidusio vartotojo teises, bet to failo 

savininkio teises (pvz. root) 

Procesas įgauna failo grupės teises. Jei tai 

direktorija, tai joje kuriami failai įgauna 

SGID 

direktorijos grupę vietoj kuriančio vartotojo 

grupės 

Failą tokioje direktorijoje gali keisti tik jį 

STICKY 

sukūręs vartotojas, naudojama /tmp 


■ Sukūrus naują failą (dir), 

jis gauna vartotojo 

pagrindinę grupę 

newgrp keičia pagrindinę 

grupę 

■ Savininką gali pakeisti 

tik root 

■ Grupę galima pakeisti tik 

į tokią, kuriai priklauso 

pats vartotojas 

Arba žino naujos grupės 

slaptažodį 

newgrp, po to chgrp 

2013 balandis

19 

UNIX resursų modelis 

■ UNIX šeimos OS naudoja labai 

paprastą visų kompiuterio resursų 

modelį 

Visi resursai yra failai 

Jiems galima nustatyti teises įprastu būdu 

$ ls -l /dev/*mem 

crw-r----- 1 root kmem 1, 2 2012-03-05 19:33 /dev/kmem 

crw-r----- 1 root kmem 1, 1 2012-03-05 19:33 /dev/mem 

crw-rw---- 1 root root 1, 12 2012-03-05 19:33 /dev/oldmem 

$ ls -l /dev/sd* 

brw-rw---- 1 root disk 8, 0 2012-03-05 19:33 /dev/sda 

brw-rw---- 1 root disk 8, 1 2012-03-05 19:33 /dev/sda1 

brw-rw---- 1 root disk 8, 2 2012-03-05 17:33 /dev/sda2 

$ ls -l /usr/bin/passwd 

-rwsr-xr-x 1 root shadow 80268 2011-07-29 21:36 /usr/bin/passwd 

$ ls -l /usr/bin/write 

-rwxr-sr-x 1 root tty 9892 2011-08-13 00:54 /usr/bin/write 

$ ls -l / | grep tmp 

drwxrwxrwt 82 root root 1589248 2012-03-21 15:00 tmp 


Windows OS: LPT1, COM1 ? 

Kodas Objektas 

- 

d 

l 

c 

b 

p 

s 

Failas 

Direktorija 

Simbolinė nuoroda 

Simbolinis įrenginys 

Blokinis įrenginys 

FIFO vamzdis 

Soketas 

2013 balandis

20 

Failų ACL 

■ Paprasto POSIX tipo prieigos valdymo gali 

nepakakti lanksčiai valdyti failų teises 

■ Šiuolaikinės UNIX FS (ext3, ext4, JFS, ReiserFS) 

palaiko papildomą prieigos teisių sąrašą failams 

$ setfacl -m g:www:rwx 1.txt 

$ setfacl -m u:jjonas:rwx 1.txt 

$ ls -l 1.txt 

-rw-rwx---+ 1 nerijus users 143 2012-03-21 1.txt 

$ getfacl 1.txt $ getfacl 1.txt 

# file: 1.txt 

# owner: nerijus 

# group: users 

mask apriboja ACL teises, jei mask 

teisės mažesnės, tai ir efektyvios teisės 

mažesnės nei nurodyta kitose eilutėse 

Neturi įtakos 3 „tikroms“ POSIX teisėms 

user::rwgroup::r-group:www:rwx 

mask::rwx 

other::--- 


setfacl --remove-all filename 

setfacl -m g:groupname:rw- filename 

setfacl -m u:userid:rw- filename 

getfacl filename 

$ getfacl 1.txt 

# file: 1.txt 

# owner: nerijus 

# group: users 

user::rwuser:jjonas:rwxgroup::r-group:www:rwx 

mask::rwx 

other::--- 

2013 balandis

21 

OS ACL modelių palyginimas 

■ Windows naudoja specialias teises, pritaikytas 

kiekvienam resurso tipui individualiai 

Patogu administruoti, saugu 

Iš karto numatytos dažniausios situacijos 

Neįmanoma numatyti visų situacijų 

Nepakankamas lankstumas (kitų sukurtos programos) 

■ POSIX 

Labai paprastas modelis 

Lankstus, suteikia daug galimybių administratoriui 

Administratorius pats „sugalvoja“ kaip realizuoti reikiamą 

prieigos teisę 

Reikalinga aukšta kvalifikacija, nes galima pridaryti „saugumo 

skylių“ sistemoje 


2013 balandis

22 

Saugos modelių palyginimas 

■ Reikia suteikti galimybę OpenVPN naudotis 

neprivilegijuotam vartotojui 

Keičia sisteminę maršrutizavimo lentelę 

■ POSIX 

SUID atributas vykdomajam failui, teisės rwxr-x--- 

• Failo grupė – vpnusers 

• Tam tikrus vartotojus įtraukiame į šią naują grupę 

Kitas sprendimas – programa sudo turinti SUID atributą, 

panaudojant sudoers konfigūracinį failą 

• Galima apriboti openvpn ir naudojamus parametrus 

(konfigūracinį failą) 

■ Windows 

Nėra saugaus sprendimo (pagal oficialų OpenVPN puslapį) 

• Visi sprendimai remiasi administratoriaus slaptažodžio 

išsaugojimu 

• Paprastas vartotojas įgauna teisę tapti administratoriumi ir 

kitais atvejais (jei turi pakankamai žinių) 


vmware, 

promiscuous režimas vmnet1 

/dev/vmnet1 failo ACL 

2013 balandis

23 

OS auditas 

■ OS turi galimybę registruoti įvairius sistemoje 

vykstančius įvykius į žurnalus (angl. Log files) 

■ Analizuojant žurnalus, galima nustatyti, kada ir 

kodėl įvyko vienas ar kitas įvykis 

Kas įsilaužė, iš kokios vietos, koki būdu, ką jis padarė 

■ Auditas gali būti: 

Pasyvusis 

• Registruoja įvykius, niekaip į juos nereaguoja, nesiima 

jokių aktyvių veiksmų atakai nutraukti 

• Siekiama surinkti kuo daugiau informacijos incidento 

tyrimui, informuoti atsakingus asmenis apie incidentą 

Aktyvusis 

• Stebi sistemos darbą, veda žurnalą 

• Pastebėjęs įtartiną veiklą imasi atsakomųjų veiksmų 

• IDS, vartotojo blokavimas, paslaugos išjungimas, ... 


2013 balandis

24 

Ką reikia rašyti į žurnalus? 

■ Prisijungimus (atsijungimus) prie sistemos 

Tiek sėkmingus tiek ne 

Jokiu būdu negalima saugoti slaptažodžių, net ir neteisingų 

■ Prisijungimus prie nutolusių sistemų 

■ Operacijas su failais (atidarymas, uždarymas, 

pervardijimas, ištrynimas), failų teisių keitimas 

Dažnai dėl greitaveikos atsisakoma dalies įrašų 

Pvz., registruojami tik Apache paliesti failai 

■ Į žurnalą įtraukiama: 

Laikas 

Vartotojas 

Įvykio tipas 

Rezultatas (sėkmingas ar ne, pavyko ar ne) 

Įvykio šaltinis (IP adresas, terminalo nr.) 

Naudotų objektų vardai (pvz., failų vardai) 


2013 balandis

25 

Žurnalų naudojimas 

■ Ką reikia registruoti nusako įmonės saugos 

politika. Šią politiką įgyvendina administratorius, 

konfigūruodamas OS 

■ Žurnalai leidžia stebėti ar įmonės darbuotojai 

nepažeidžia saugos politikos 

Jei pažeidžia, tai juos galima panaudoti kaip įrodymus 

iškilus ginčams („Ne, tikrai šito niekada nedariau!“) 

Veikia kaip gera profilaktinė priemonė 

■ Įvykus incidentui žurnalai nagrinėjami siekiant 

rekonstruoti įvykių seką, suprati kodėl incidentas 

tapo galimas 

■ Keisti įmonės saugos politiką 


2013 balandis

26 

Windows auditas 

■ Audito žurnalus gali vesti tiek OS, tiek pati 

programa (Apache, DBVS ir pan.) 

Programa gali naudoti OS auditavimo funkcijas (syslogd) 

arba kurti savo nepriklausomą žurnalą 

■ Windows naudoja paslaugą EventLog 

Kokius įvykius registruoti nustatoma LocalSecurityPolicy 

Failų naudojimo registravimo reikalavimai valdomi 

WindowsExplorer 

Žurnalus peržiūrėti galima naudojant EventViewer 


2013 balandis

27 

UNIX auditas 

■ Naudoja standartinę OS paslaugą syslogd 

Paslauga visus įvykius saugo tekstiniuose failuose 

■ Į syslogd galima siųsti duomenis ir iš nutolusio 

kompiuterio 

Galima sukurti atskirą dedikuota audito serverį 

Kuris gali būti nepasiekiamas kitais būdais, dėl to saugus 

■ UNIX šeimos sistemose įprasta visus audito 

failus saugoti /var/log direktorijoje 

Net ir tuo atveju, jei failą kuria ir valdo pati programa, o 

ne sisteminė paslauga (syslogd) 

Beveik visi žurnalai – tekstiniai failai, kuriuos lengva 

peržiūrėti 

# tail -f /var/log/messages 

# less /var/log/messages 

# more -f /var/log/messages 


2013 balandis

28 

Linux audito įrašų peržiūra 

■ Žurnalų failai laikui bėgant labai didėja, todėl 

naudojama paslauga logrotate 

■ last - parodo vartotojų prisijungimo laikus 

Vartotojui patogia forma pateikia failo /var/log/lastlog 

turinį 

lastlog – parodo kada visi vartotojai buvo prisijungę 

# last | head 

nerijus pts/4 Wed Mar 21 12:07 still logged in 

sainer pts/2 Wed Mar 21 08:02 - 08:02 (00:00) 

zonand pts/1 Tue Mar 20 20:22 - 22:00 (01:37) 

sioeri pts/1 Tue Mar 20 11:11 - 11:11 (00:00) 

# /var/log/message: Pagrindinis sistemos žurnalas 

# /var/log/lastlog: Autentifikavimo žurnalas (netekstinis) 

# /var/log/boot.msg : Sistemos užsikrovimo pranešimų žurnalas 

# /var/log/mail.* : Pašto sistemos žurnalai 

# /var/log/apache2/*: Apache serverio žurnalų direktorija 

# /var/log/mysqld.log: MySQL DBVS žurnalas 


2013 balandis

29 

AAA ir kitos programos 

■ Kai kurios programos, ypač tos, kurios gali būti 

naudojamos daugelyje skirtingų OS naudoja 

savo nepriklausomą AAA 

Dėl nesuderinamumo tarp populiariausių UNIX ir 

Windows šeimos OS 

■ DBVS 

Oracle, MySQL, PostgreSQL naudoja savo infrastruktūrą 

■ JavaEE taikomųjų programų serveriai 

GlassFish, Tomcat 

Gali naudoti kelias autentifikavimo priemonės, tame 

tarpe ir vieno tipo OS (pvz., Solaris) 

■ Apache ŽS 

Pilnai nuosava infrastruktūra, gali naudoti kai kurias OS 

priemones 


2013 balandis

30 

Problemos 

■ Vieningas prisijungimas (angl. Single Sign On) 

■ Vieningas prieigos teisių valdymas 

Tinkliniai spausdintuvai, specializuoti įrenginiai: 

maršrutizatoriai (juose veikiančios paslaugos, pvz., VPN), 

komutatoriai ir pan. 

■ Reikalinga vieninga įmonės tinklo resursų 

valdymo sistema 

Arba apsiribojame vienu gamintoju arba reikia kažkokių 

plačiai naudojamų standartų 

■ Kerberos 

■ LDAP 

■ RADIUS 


2013 balandis

OS resursų sauga 

OS saugos modeliai 

Programų ir procesų sauga

32 

OS procesų saugos modelis 

■ Procesai OS įgauna jų vartotojo teises (UID ir 

GID) ir gali daryti ta ką ir vartotojas 

Praktiškai vartotojas „pats“ nieko negali padaryti, jis gali 

tik paleisti programą kuri „jam“, „jo vardu“ kažką padaro 

Realiai failų sąrašą „mato“ ar „nemato“ ne pats 

vartotojas, o programa: ls 

• Kuri paleidžiama vartotojo teisėmis 

Jei jis turi kitą programą (php, apache, …), kuri turi teisę 

matyti tą resursą ir vartotojas gali ją paleisti, tai jis ir 

pamatys to resurso turinį 

■ Būtina saugoti vienus procesus nuo kitų įtakos 

Nes ne visi procesai veikiantys OS turi tas pačias teises 


2013 balandis

33 

Vykdomų programų apsauga 

■ OS vykdant keletą programų vienu metu iškyla 

eilė saugos problemų: 

Procesai gali naudoti kito proceso duomenis ar kodą 

Naudoti duomenis atmintyje ne pagal paskirtį 

• „Vykdyti“ duomenų segmentą 

Sutrikdyti kitų programų darbą (kartais net ir OS) dėl 

klaidų kode 

• Steko perpildymas, buferio perpildymas 

Piktavališkos programos gali bandyti 

• pažeisti, 

• apkrauti sistemą, 

• išnaudoti visus resursus (užpildyti visą diską) 


2013 balandis

34 

Atminties apsauga 

■ Šiuolaikiniai procesoriai (pvz., nuo Intel 80386) 

turi visą eilę aparatinių priemonių leidžiančių 

pagelbėti OS užtikrinti atminties saugą 

■ Apsauga valdant atmintį: 

Atmintis suskirstoma į specialias struktūras (segmentus) 

kurioms suteikiami tam tikri atributai ir fizinių adresų 

ruožas 

• Atributai: vykdomas kodas, duomenys ir pan. 

Pats procesorius seka, kad tai nebūtų pažeista 

• Seka ar kreipties adresas neišeina už segmento ribų 

• Seka kreipties į segmentą teises (RO ar RW) 

• Segmento naudojimo paskirtį (vykdomasis ar duomenų) 

Įvykus pažeidimui, įvyksta pertraukimas, kurį apdoroja OS 

ir imasi atitinkamų veiksmų 


2013 balandis

35 

Programų vykdymo privilegijos (Intel) 

■ Pats procesorius seka, ar vykdomasis procesas 

turi pakankamas privilegijas: 

Atlikti privilegijuotas komandas (segmento registrų 

keitimas) 

Atlikti įvedimo-išvedimo komandas (rašymas ar 

skaitymas iš portų) 

Kreiptis į kitų procesų atminties segmentus 

Iškviesti paprogrames tam tikrais adresais 

■ Apsaugos žiedai 

0 lygis. OS branduolys, 

atminties valdymas 

1 lygis. OS paslaugos 

2 lygis. OS pagalbinės programos, 

įrenginių tvarkyklės 

3 lygis. Vartotojų programos 


Labiausiai 

privilegijuotas 

0 

1 

2 

3 

Mažiausiai 

privilegijuotas 

2013 balandis

36 

FS vientisumas 

■ Istoriškai daugiausia problemų diskiniuose 

kaupikliuose kildavo po trikių duomenų rašymo į 

diską metu 

Ypač FAT, FAT32 FS 

■ FS trinant failą daromi dvejų tipų rašymai į diską: 

1. Ištrinamas jo pavadinimas iš direktorijos failo 

2. Failo užimama vieta (klasteriai) pažymima kaip laisva 

Jei sistema sutrinka po pirmojo žingsnio, diske lieka tam 

tikra vieta pažymėta kaip užimta, nors joks failas iš tikrųjų 

jos neužima 

■ Norint tokias FS klaidas ištaisyti, reikia patikrinti 

viso disko turinį, kas labai ilgai užtrunka 


2013 balandis

37 

Žurnalinės failų sistemos 

■ Dabar naudojamos žurnalinės failų sistemos 

(angl. Journalling Filesystem). 

Šios FS naudoja tranzakcijų mechanizmą 

Disko operacijos pradžioje įrašomos į žurnalą (tam tikrą 

specialią vietą diske) 

Po to daromi pakeitimai diske (keičiami failai ir 

direktorijos) 

Jei viskas sėkmingai pavyksta, ištrinamas įrašas žurnale 

Jei sistema sutrinka, tai persikrovus OS galimi du atvejai 

Įrašas į žurnalą nebuvo padarytas iki galo (CRC32 klaida) 

• nieko nedaroma, pašalinami žurnalo įrašai (diskas lieka 

toje būsenoje, kuri buvo prieš darant pakeitimus) 

Įrašas į žurnalą buvo padarytas, bet nebaigta rašyti į diską 

• pagal žurnalo įrašą pakartojamos disko rašymo 

operacijos 


2013 balandis

38 

Žurnalinių FS tipai 

■ Kai kurios FS numato tik failų metaduomenų 

pakeitimų registravimą tranzakcijų žurnaluose 

■ Jų žurnalai dar vadinami loginiais žurnalais 

Žurnale registruojami tik failų sistemos lygio pakeitimai 

• Keičiant pačio failo turinį – neregistruojama 

NTFS, ext3, ext4, ReiserFS ir pan. 

Veikia daug greičiau, nei fiziniai žurnalai 

Kartais galima prarasti dalį duomenų pačių failų turinyje 

■ Jei FS registruoja žurnale visas rašymo operacijas 

į diską, tai turime fizinį žurnalą 

Palaiko ext3, ext4 (nurodoma montuojant), JFS (IBM) 

Veikia daug lėčiau, reikalauja daug papildomos vietos diske 

žurnalui saugoti 

Užtikrina geresnį FS vientisumą ir greitą FS montavimą po 

sutrikimų 


2013 balandis

39 

FS sauga (kvotos) 

■ Disko naudojimo ribojimai 

Kai kurios FS (ext2, ext3, ext4, NTFS) leidžia apriboti 

vartotojams ar jų grupėms prieinamą vietą diske 

quotacheck, edquota, setquota, quotaon, quota 

• Blokas = 1KB 

• OS neleidžia pažeisti hard ribojimo 

• Pasibaigus atidėjimo (grace) periodui, soft tampa hard 

$ quota 

Disk quotas for user chirico (uid 500): 

Filesystem blocks quota limit grace files quota limit grace 

/dev/loop0 1 100 200 1 10 20 

# repquota -g /quota 

*** Report for group quotas on device /dev/loop0 

Block grace time: 7days; Inode grace time: 7days 

Block limits File limits 

Group used soft hard grace used soft hard grace 

---------------------------------------------------------------------root 

-- 1202 0 0 4 0 0 

quotagrp ++ 12 5 100 6days 10 6 10 6days 


2013 balandis

40 

FS konfidencialumas (be OS) 

■ Kvotos saugo nuo FS tyčinio ar netyčinio 

perpildymo 

Tokiu atveju OS gali tapti visiškai nedarbinga 

■ Kvotų naudojimas labai lėtina FS darbą 

Dažniausiai administratoriai stengiasi kvotų nenaudoti 

■ ACL ir kvotų naudojimas užtikrina diske įrašytų 

duomenų saugą tik tol, kol veikia pati OS 

Jei konfidencialumo reikia ir be OS, naudojamas duomenų 

šifravimas 

Disko skirsnio (angl. partition) šifravimas 

Failų sistemos lygio šifravimas (visai FS vienas raktas) 

• Encrypting File System (EFS), Secure File System (SFS), NTFS 

Failo šifravimas (naudojant taikomąją programą) 

■ Naudojamos hibridinės arba simetrinės 

kriptosistemos 

Raktą reikia atsiminti arba naudoti HSM (pvz., kortelę) 


2013 balandis

41 

Dažniausiai naudojamos programinės atakos 

■ Viruso 

(angl. Virus) tai be vartotojo žinios į kompiuterį įdiegta 

programa ar programos kodo dalis, kuri vykdo 

destrukcinius ir dauginimosi veiksmus 

■ Kirmino 

(angl. Worm) tai programa arba algoritmas, kuris 

dauginasi ir plinta tinklais, dažniausiai atlieka 

nepageidaujamą poveikį 

■ Trojos arklio 

(angl. Trojan horse) tai destruktyvi ir nesidauginanti 

programa, kuri dažnai yra užmaskuota kaip atliekanti 

naudingas funkcijas 


2013 balandis

42 

Programinės įrangos apsauga 

■ Programų pasirašymas užtikrina jog įsidiegsime 

nesugadintą ir nemodifikuotą programą 

Norint, kad diegiama programa būtų tikrai ta, kurią 

manome, kad diegiame, naudojamas kodo pasirašymas 

Linux OS populiarūs PGP sertifikatai ir parašai 

Naujesnės Windows OS naudoja x.509 sertifikatus ir 

parašus 

Problema: ne visi gamintojai pasirašo ir ne visų 

sertifikatai būna įdiegti į OS 

■ Antivirusinės programos 

Seka, kad į sistemą nepapultų piktavališkos programos 

Diskai, tinklas, paštas, dokumentai, programos ... 


2013 balandis

43 

OS stiprinimas (angl. OS hardening) 

■ 1. Atjunkite (programiškai ar fiziškai) 

nenaudojamus įrenginius 

USB portai, CD/DVD, modemą, tinklo kortą 

■ 2. Įdiekite OS ir sisteminės įrangos (angl. 

Firmware) atnaujinimus 

Atskiras atvejis – eksploatuojami serveriai 

■ 3. Išmeskite (angl. Uninstall) visus 

nenaudojamus tinklo protokolus 

■ 4. Išmeskite (išjunkite) visas nenaudojamas 

paslaugas 

■ 5. Visiems vietiniams resursams (diskams, 

spausd., ...) sukurkite prieigos teisių sąrašus 

Juos sukonfigūruokite pagal saugos politiką 


2013 balandis

44 

OS stiprinimas (2) 

■ 6. Vartotojams suteikite mažiausias galimas 

teises darbo stotyje 

Niekada nedirbkite privilegijuotu vartotoju 

■ 7. Vietiniam administratoriui suteikite stiprų 

slaptažodį, pervadinkite jį 

UNIX OS uždrauskite administratoriui prisijungti per SSH 

■ 8. Išmeskite visas paskyras, kurios 

nenaudojamos, bet sukuriamos pagal 

nutylėjimą 

Guest Windows OS ir pan. 

■ 9. Įdiekite antivirusą 

Nuolat (pagal saugos politiką) jį atnaujinkite 


2013 balandis

45 

Kerberos [4] 

■ Kerberos – tinklinis autentifikavimo protokolas, 

sukurtas MIT 198x. Dabar RFC1510, RFC4120. 

■ Skirtas užtikrinti vieningą prisijungimą ir 

prieigą prie skirtingų resursų įmonės tinkle 

■ Microsoft naudoja nuo Win2000 

■ Taip pavadintas, nes dalyvauja trys šalys: 

Klientas 

Paslaugos serveris 

Raktų paskirstymo centas (KDC) 

• Autentifikavimo paslauga (AS) 

• Bilietų išdavimo paslauga (TGS) 


2013 balandis

Principal 

46 

Kerberos schema (supaprastinta) 

 

ST 

Bilietų išdavimo 

TGT bilietas 

TGT 

ST 

Pateikia bilietą 

 

 

Suteikia paslaugą 

Prisijungti 

Paslaugos užklausa 

Paslaugos bilietas 

Vartotojas 

Laiko žymė 

Paslauga 

Paslauga 


Raktų paskirstymo centras (KDC) 

 

Patikrina bilieto 

galiojimą 

DB 

Autentifikavimo 

paslauga (AS) 

 

Katalogas 

Bilietų išdavimo 

paslauga (TGS) 

2013 balandis

47 

LDAP 

■ Katalogo paslaugos (angl. Directory Services) 

teikia vartotojų autorizavimo paslaugą įmonės 

tinkle 

Tai lyg DB kurioje galima centralizuotai užregistruoti visus 

objektus ir jų atributus 

Vartotojus, tinklo resursus 

■ Standartas apibrėžiantis tokią DB – x.500 

standartų serija sukurta 198x m. 

■ LDAP (angl. Lightweight Directory Access 

Protocol) – protokolas, kuris leidžia tinklu 

kreiptis ir pildyti x.500 standarto katalogą 

Jį naudoja Windows AD, OpenLDAP, Novell eDirectory 

Naudoja TCP ir UDP 389 portą 


2013 balandis

48 

LDAP (2) 

■ Pats LDAP protokolas nesuteikia jokios saugos 

■ Visi pasikeitimai duomenimis vyksta atviru 

kanalu 

Reikia naudoti saugius transporto protokolus 

• IPsec, SSL/TLS ir pan. 

■ Klientų nereikalauja autentifikuotis 

Autentifikavimą (LDAP vadinamą susiejimą, angl. Binding, 

su serveriu) galima organizuoti naudojant kitas priemones 

Nuo 3 v. LDAP palaiko tris būdus: 

• Neautentifikuojant 

• Paprastas autentifikavimas (DN + slaptažodis) 

• SASL (angl. Simple Authentifications and Security 

Layer), kuris leidžia susitarti kaip autentifikuotis (TLS 

lygyje, Kerberos, vardu ir slaptažodžiu) 

■ Numato RO ir RW priėjimą prie DB 


2013 balandis

49 

Literatūra 

[1] Rimantas Plėštys, et. al. Kompiuterių tinklų sauga: 

mokomoji knyga. Kauno technologijos universitetas. Vitae 

Litera, 2008, 186 p. 

[2] Man Young Rhee. Internet Security. John Wiley & Sons 

Ltd., 2003, 405 p. 

[3] Algimantas Venčkauskas, Jevgenijus Toldinas. 

Kompiuterių ir operacinių sistemų sauga: mokomoji knyga. 

Kauno technologijos universitetas. Vitae Litera, 2008, 

200 

p. 

[4] Kerberos: The Network Authentication Protocol. 

Prieiga per Internetą: http://web.mit.edu/kerberos/ 


2013 balandis

50 

Pagrindiniai klausimai 

■ AAA – autentifikavimo, autorizavimo ir audito 

užtikrinimo priemonės šiuolaikinėse OS 

Pagal ką galima autentifikuoti vartotoją? 

Daugiafaktorinis autentifikavimas 

UNIX slaptažodžiai, /etc/passwd ir /etc/group 

Prieigos teisių valdymo modeliai DAC, MAC, RBAC 

Prieigos teisių valdymas POSIX ir Windows 

Auditas Windows ir Linux OS 

■ OS resursų sauga 

Atminties, procesų teisių, failų sistemų sauga 

Žurnalinės failų sistemos, failų sistemų kvotos 

■ Duomenų konfidencialumas „už OS ribų“ 

■ Kerberos protokolas 

■ LDAP katalogo paslaugos 


2013 balandis

Operacinių sistemų sauga. - Kauno technologijos universitetas

Create successful ePaper yourself

Delete template?

Save as template?