апускаються процесів тощо. Для завдання цих обмежень в деяких UNIX-системах використовується файл / etc / limits.
- обмеження використання диска-дискові квоти дозволяють обмежити обсяг використовуваного простору жорсткого диска для кожного з користувачів системи. Для налаштування даного обмеження необхідна утиліта quote, а також підтримка у вибраній файлової системи.
Обмеження діють протягом усього сеансу роботи користувача.
3. Безпека ядра ОС UNIX
Ядро будь-якої операційної системи є її основою. Воно керує всіма операціями введення-виведення для всіх пристроїв, видає системні ресурси для кожного процесу і видає звіт про роботу системи. Без нього робота комп'ютера неможлива. Скомпрометоване ядро ??становить небезпеку для роботи всіх служб незалежно від того, які функції виконує даний комп'ютер. У даній статті не розкриті можливості щодо безпеки, надані ядром, а розказані проблеми, пов'язані із захистом ядра, як такого, а також розкрито існуючі уразливості ядра і варіанти зниження випливають з них ризиків.
Ядро ОС UNIX являє собою єдиний повнофункціональний код. При включенні комп'ютера BIOS передає управління завантажувачу, який у свою чергу передає управління комп'ютером ядру. Посредствам завантажувача може бути вибрано те чи інше ядро, але, завантажившись, його неможливо змінити аж до наступної перезавантаження комп'ютера. І нічого більше не робить тепер такого визначального впливу на роботу системи, як діяльність ядра. Вихідні коди різних версій ядер UNIX відкриті і доступні в Інтернеті. Ядро зазвичай збирається з урахуванням тих функціональних вимог, які пред'являються до безпосередньо взятому комп'ютера. Так в ядра деяких ОС, до яких пред'являються вимоги зручностей, вбудована графічна оболонка. Якщо ОС встановлюється на маршрутизаторі, раціональним є виключення всіх коштів за винятком найнеобхідніших.
У разі компрометації системи, наприклад підбору пароля суперкористувача root, існує межа дій зловмисника. Якщо він запустить кілька резидентних програм, створить нового користувача з привілеями root, рано чи пізно він може бути виявлений системним адміністратором, навіть якщо зможе обійти всі рівні захисту. Системний адміністратор може виявити дії хакера, скориставшись поруч найпростіших команд, таких як who, ps, netstat, переглянувши журнали системи логування або порівнявши бінарні файли з їх оригіналами, взятими з достовірних джерел. У випадку більш професійної атаки, якщо скомпрометовано ядро, системного адміністратора виявити несанкціоновані дії стає значно складніше. А якщо діє досвідчений порушник, це стає практично неможливим. Тут допоможе тільки повна переустановка ОС, про що буде розказано далі.
Модифікувати ядро ??ОС UNIX можна, доповнюючи або замінюючи модулі. Це дозволяє модифікувати його, не вдаючись до перекомпіляції, а також до перезавантаження комп'ютера, що є дуже гнучким інструментом. Завантаження і відключення модулів ядра бувають корисні, коли потрібно додати якісь функції ядру або при установці нового пристрою. Модулі мають безпосередній доступ до всіх змінним середовища оточення. Це зручно, але стає небезпечним, якщо використовується в негативних цілях. Наприклад, зловмисник може написати і завантажити свій власний модуль, використовуючи команди modprobe і rmmod. Такий << негативний >> моду...
