Вы находитесь на странице: 1из 19

Курс “Защита сетей на базе Solaris”.

Разработан при поддержке компании Sun Microsystems

Лекция 1.
"Обзор механизмов обеспечения
безопасности ОС Solaris"

Курс подготовлен при поддержке Sun Microsystems


Правила использования материалов опубликованы на www.sun.ru
История Solaris. От Multics до Solaris 10

1960-ые – Multics - Multiplexed Information and Computing


Service (GE-645)
Начало 1970-х – PDP-7 Unix System (Bell Laboratories)
1979 – Unix system, V7
Начало 1980-х – BSD vs. Unix System III
1983 – SunOS 1.0 (BSD 4.1 based)
1988 – UNIX System V Release 4
1991 – Solaris 2 (SysV based)
Конец 2004 – Solaris 10
2005 - Solaris Express (Sun Software Express Programm)
2-й квартал 2005 - OpenSolaris
Механизмы обеспечения безопасности
Solaris 10

Process Rights Management;


Role Based Access Control;
Containers;
Trusted Extensions;
......
Process Rights Management
Неограниченный доступ
пользователя Root

Ограниченные
права процессов
Process Rights Management

Привилегии
set-uid
set-gid
file_chown
net_rawaccess
proc_exec
sys_mount
.....

/etc/security/priv_names
Role Based Access Control

Роль – псевдопользователь системы;

Авторизация – право пользователя;

Профили прав – наборы прав;


Role Based Access Control

Авторизации

solaris.admin.privilege.write
solaris.device.mount.
solaris.jobs.admin
solaris.smf.manage.sendmail
.....

/etc/security/auth_attr
Role Based Access Control

Профили прав

Network Security
Project Management
Service Management
Software Installation
.....

/etc/security/prof_attr
/etc/security/exec_attr
Role Based Access Control
Роли

Предопределенных ролей нет


Профили прав:
Primary Administrator;
System Administrator;
Operator.
позволяют быстро назначить права
по администрированию
Role Based Access Control
Пользователь

Роль

Профили
прав

Д ополнительные
К оманды Авторизации профили прав
Solaris Containers

Управление
Зоны
ресурсами

распределение ресурсов Виртуализация

контроль использования Изоляция

учет использования Безопасность


Solaris Containers
Resource Management

Механизмы:
Ограничения (Constraint mechanisms);
Планирования (Scheduling mechanisms);
Разделения (Partitioning mechanisms).
Solaris Containers
Resource Management
Кому выделяются ресурсы?

Project

Task1 Task2 Task3

Process 1 Process 2 Process 3 Process 1 Process 2 Process 1 Process 2 Process 3


Solaris Containers
Зоны

Global zone

Non-global Non-global Non-global


zone 1 zone 2 zone 3
Мониторинг

auditd
Аудит

Basic Audit and


Reporting Tool Контроль
целостности
Trusted Extensions

Trusted Extensions
Labeled Labeled Label-Aware
Trusted Solaris 8 networking Desktop Services

Labeled Labeled Label-Aware


networking Desktop Services
Solaris 10 kernel
Изоляция
Изоляция TCP/IP процессов Privileges
Измененный Trusted
процессов [Контейнеры]
стек TCP/IP [Trusted Labels] Privileges

Solaris 10 OS (11/06)
Trusted Extensions

Global zone

public internal use need-to-know

CIPSO

IP PUBLIC IP INT.USE IP N-T-K IP


Вопросы?