Понимание принципов организации системы безопасности в NetWare поможет защитить сеть от несанкционированного доступа. При этом не лишне знать о некоторых уязвимых местах сети NetWare.


КТО ТАМ?
А БЮДЖЕТ ПОЗВОЛЯЕТ?
УБЕРИ РУКИ С РУЛЯ
БИЛЛЬ О ПРАВАХ
ИНСТРУМЕНТЫ ДЛЯ ДОВЕРЕННЫХ ЛИЦ
БУДЬТЕ ОСТОРОЖНЫ С ПРИСВОЕНИЕМ ПРАВ!
АТРИБУТЫ И ЗАЩИТА ДАННЫХ В NETWARE
ДЛЯ ОЧИСТКИ СОВЕСТИ

Если вас, администратора сети, еще не настигла проблема защиты данных, считайте, что вам повезло. По мере того как растет уровень компьютерной грамотности пользователей, вычислительные сети разрастаются все больше и используются все шире, а средства анализа работы сетей становятся день ото дня изощренней и проще для использования, защита данных в вычислительных сетях превращается в одну из важнейших задач администрирования. Я готов побиться об заклад, что если сегодня ваша организация еще не испытывает нужды в защите данных, то уже завтра вы непременно столкнетесь с этой проблемой.

В данной статье мы отталкиваемся от наихудшей ситуации: ваша сетевая среда переполнена враждебными или преступными элементами, угроза компьютерной безопасности исходит отовсюду. Вам необходима система защиты данных, и чем жестче, тем лучше. NetWare - это то, что нужно в подобной ситуации, и если вы еще только устанавливаете сеть NetWare - это удача. Всегда проще обеспечить надежную защиту в процессе установки сети, чем впоследствии пытаться вернуться по уже пройденному однажды пути. (Иными словами, легче запереть ворота загона, чем загонять обратно разбежавшихся коров.) Если сеть уже установлена, ваша работа по защите данных затруднится, и времени она займет больше.

Обычно защита данных в NetWare 3.11 подразделяется на четыре основных области: вход в систему, файловый сервер, права пользователей и защита при помощи атрибутов.

КТО ТАМ?

Защита от несанкционированного входа - это первый этап. Наверняка ваша жизнь станет куда спокойнее, когда появится уверенность, что войти в вашу сеть смогут только те, кто имеет на это право.

Простая защита входа может быть установлена при создании бюджетов пользователей. Большая часть этой работы проделывается в утилите NetWare под названием SYSCON; она позволяет вам создавать бюджеты, пароли, ограничения на сетевые станции, ограничения по времени и ограничения на бюджеты.

При использовании SYSCON начинать следует с выбора Supervisor Options в главном меню. Опция Default Account Balance/Restrictions позволяет вам установить описанные ниже значения по умолчанию для всех новых бюджетов, которые будут созданы на вашем сервере после того, как вы установили значения по умолчанию. Если вы захотите, чтобы уже существующие бюджеты соответствовали установленным значениям по умолчанию, то соответствующие изменения придется производить вручную.

Основное, что можно сделать в данном случае - это установить опцию Require Passwords, значением по умолчанию для которой является "No". Выбрав "Yes", вы можете потребовать, чтобы все пользователи входили в сеть, указывая имена своих бюджетов и называя пароли. После того, как это сделано, вы можете установить минимальную длину пароля (по умолчанию - пять символов).

Вы можете также воспользоваться опцией Force Periodic Password Changes. "Yes" принуждает пользователей к периодической смене паролей после истечения заданного периода времени. Для установки интервала служит поле Days Between Forced Changes. Netware по умолчанию дает 40 дней, но лучше положиться в этом деле на свой здравый смысл (пользователи взбунтовались бы, заставь мы их менять пароль каждые 40 дней).

После установки опции Require Passwords вы должны решить, сколько раз позволительно войти в систему пользователю с просроченным паролем. По умолчанию может быть шесть входов, но думается, это чересчур щедро, поэтому нами обычно число входов ограничивается пятью. Каждый раз, когда пользователь с просроченным паролем входит в систему, ему предлагается сменить пароль, и, если он отказывается, счетчик разрешенных входов уменьшается на единицу. Использовав все разрешенные входы, пользователь уже не сможет войти в сеть.

Другая опция - Require Unique Passwords. NetWare автоматически устанавливает "Yes" при установке "Yes" в поле Require Password. Это заставляет пользователей выбирать новый пароль при каждой смене пароля. (Установка поля в "No" делает бессмысленным требование периодической смены пароля, поэтому пусть здесь остается "Yes").

Следующая защитная опция меню Supervisor Options - Default Time Restrictions. Данная опция позволяет установить, в какие дни недели и в какое время суток пользователь имеет возможность войти в систему. Помните, что вы задаете значения по умолчанию для всех вновь создаваемых бюджетов, так что будьте внимательны. Значение по умолчанию в NetWare - это отмена любых ограничений по времени: пользователи могут входить в систему в любые часы и дни недели. Если предполагается, что большому числу пользователей какую-то часть времени будет запрещено работать в сети (скажем, после конца рабочего дня или по выходным), установите опцию соответствующим образом.

Следующая опция - File Server Console Operators. О ней мы поговорим в следующем разделе, посвященном защите файловых серверов. Здесь же только заметим, что данная опция содержит опцию Intruder Detection/Lockout, имеющую самое непосредственное отношение к защите входа. Используя эту опцию, вы можете решить, должна ли NetWare отслеживать неудачные попытки входа. Значение по умолчанию в NetWare в данном случае "No". Установив эту опцию в "Yes", вы немедленно активируете все поля в этом экране. После установки соответствующих значений, NetWare будет автоматически следить за злоумышленниками, которые не могут войти в систему за заданное число попыток (задаваемых в поле Incorrect Login Attempts).

Таким образом, Incorrect Login Attempts задает критерий злоумышленника. Думаем, будет разумно предоставить пользователям три попытки - нет сомнений, что даже самый криворукий сможет за три раза правильно набрать пароль. Значение по умолчанию в NetWare - семь попыток.

Содержимое поля Bad Login Count Retention Time определяет, сколько времени NetWare следует "помнить" неудачные попытки входа в систему. Значение по умолчанию для этого поля - 30 минут, в случае отлова злоумышленников. Поле Lock Account After Detection определяет, стоит ли закрывать доступ к сети для пользователя, превысившего лимит неудачных попыток. Опять-таки, NetWare устанавливает умолчание "Yes", если в поле Intruder DetectionLockout стоит "Yes". Поле Length of Account Lockout задает время, в течение которого бюджет злоумышленника должен быть блокирован. По умолчанию NetWare принимает это время равным 15 минутам, что явно недостаточно, если предположить, что мы имеем дело с реальным нарушителем.

После установки значений по умолчанию для вашей сети вы можете перейти к опции User Information в главном меню SYSCON и приступить к созданию новых (при этом будут использоваться только что введенные значения) или к изменению существующих бюджетов. Выбрав бюджет, можно установить для него ограничения в Account Restrictions. Опции для работы с паролем, а они не отличаются от вышеописанных (см. Раздел Default Account), могут быть установлены произвольным образом для каждого пользователя, значения же по умолчанию нужны для того, чтобы избавить администратора от необходимости вводить одни и те же значения для всех пользователей. Вы можете также блокировать бюджет: это удобно в тех случаях, когда бюджет предположительно не будет использоваться, но его уничтожение нежелательно. Уход сотрудника в отпуск - типичный пример ситуации, когда необходима опция Account Disabled.

Наконец, опция Limit Concurrent Connections ограничивает количества различных сетевых станций, с которых может одновременно входить один и тот же пользователь. По умолчанию NetWare не ставит никаких ограничений на число одновременных входов. На наш взгляд, довольно и двух одновременных входов для одного пользователя. А если вы хотите "привязать" какого-то пользователя к определенному компьютеру, установите число входов на единицу.

Опция Time Restrictions позволяет задать допустимое время входа в систему для любого выбранного пользователя. Кроме того, User Information предоставляет две новые защитные опции: Station Restrictions и Security Equivalences. Опцию Security Equivalences мы обсудим в разделе, посвященном правам пользователей.

Опция Station Restrictions "привязывает" доступ к какому-либо бюджету в сети определенной рабочей станции. Для этого вводится внешний идентификатор вашей сети и уникальный 12-значный адрес адаптера Ethernet, установленного на компьютере, к которому вы хотите "привязать" данного пользователя. Оба эти значения можно выяснить при помощи команды USERLIST с ключом /A. После того, как ограничение будет установлено, пользователь не сможет войти в сеть ни с одной другой рабочей станции. Если же вам необходим доступ с большего числа рабочих станций, введите соответствующую информацию.

А БЮДЖЕТ ПОЗВОЛЯЕТ?

У двух бюджетов, создаваемых при инсталляции NetWare (Guest и Supervisor), пароли отсутствуют. При установке нового сервера следует немедленно присвоить пароли этим бюджетам (используйте для этого SYSCON).

При использовании бюджета Supervisor необходима осторожность. Входите как Supervisor, только если предполагаемые действия на самом деле требуют привилегий супервизора. Для обычной же работы лучше использовать какой-нибудь другой бюджет. На первый взгляд, это утомительно, но имейте в виду, что простая команда, которая не вызвала бы серьезных последствий у обычного пользователя, может привести к серьезнейшему нарушению функционирования сети, если вы подали ее как Supervisor или присвоили права супервизора своему обычному бюджету (это несколько иное, но и таких ситуаций допускать тоже не следует).

Желательно также заблокировать или вовсе уничтожить бюджет Guest, создающийся по умолчанию при инсталляции NetWare. Novell утверждает, что смысл этого бюджета в том, чтобы обеспечить возможность печати на ином сервере, чем принятом по умолчанию. По умолчанию, на бюджет Guest накладываются очень серьезные ограничения, однако о существовании этого бюджета знает любой, кто знаком с NetWare, мы же лишь хотим, чтобы пользователи, не имеющие отношения к вашему серверу, не могли осуществить доступ к нему. В вашей власти в любое время создать бюджет, эквивалентный Guest, чтобы обеспечить сторонним пользователям ограниченный доступ к серверу и, по мере необходимости, сообщать этим пользователям имя бюджета и пароль.

Возможно, вам не приходит в голову, что имя бюджета имеет значение для защиты данных, но тем не менее это так. Фамилии пользователей (или вариации на эту тему) обеспечивают большую степень защиты, нежели имена, поскольку угадать фамилию человека труднее, чем имя, а дополнительная буква или цифра в сочетании с фамилией делает эту задачу почти неразрешимой.

Заметим, что программа LOGIN.EXE в NetWare устроена весьма хитро: если вводится неправильное имя бюджета, LOGIN.EXE об этом не сообщает, а спрашивает пароль, и только после его ввода объявляет попытку входа в систему неудачной. В результате, злоумышленнику приходится ломать голову еще и над тем, что было ошибкой - имя или пароль.

В имени бюджета используйте по крайней мере пять символов, а в качестве паролей вводите случайные комбинации букв и цифр. Их не только очень трудно угадать, но и очень трудно подсмотреть из-за спины входящего в систему законного пользователя.

Workgroup Manager - это выделенные пользователи NetWare, эквивалентные по функциям помощнику супервизора. Они обычно управляют определенной пользовательской областью вашей сети (например отделом продаж). Бюджеты таких пользователей позволяют им создавать и уничтожать пользователей и группы (но только те, которые они сами и создали), а если супервизор предоставит им соответствующие права, они могут присваивать созданным ими бюджетам права доверенных лиц, а также устанавливать для них ограничения на тома и дисковое пространство.

Таким образом, вам следует проявлять большую осторожность в выборе менеджеров рабочих групп. Кроме того, для них, опять-таки, стоит создавать бюджеты с обычными правами, в рамках которых они будут выполнять повседневную работу, не связанную с администрированием. Руководители рабочих групп не могут присваивать бюджетам права супервизора, создавать других менеджеров рабочих групп и модифицировать свои собственные ограничения на вход, за исключением входа в ими же созданные бюджеты.

Еще одна рекомендация - стоит установить флаг read-only для всех файлов в каталоге SYS:LOGIN. Поскольку в этом каталоге находится файл LOGIN.EXE, то его уничтожение или порча сделают невозможным для пользователей вход в систему.

Наконец, в вашем сценарии входа в систему могут быть установлены ловушки для определенного рода злоумышленников. Если вы не хотите допустить вход в систему с других сегментов кабельной сети, то это можно сделать, направив непрошенных гостей на ветвь сценария, которая автоматически осуществляет их выход из сети.

УБЕРИ РУКИ С РУЛЯ

Очень важно обеспечить защиту консоли файлового сервера, поскольку каждый, кто имеет к ней доступ, может полностью разрушить сеть за самый незначительный промежуток времени. К счастью, реализовать такую защиту несложно.

Прежде всего, необходимо осознать, что для доступа к консоли файлового сервера необязательно находиться рядом с ней физически. С помощью утилиты RCONSOLE, вы можете осуществлять доступ к консоли со своего компьютера и выполнять все те же действия, что и непосредственно с консоли файлового сервера. Если вы сконфигурировали сервер для доступа через RCONSOLE (а для этого надо включить в AUTOEXEC.NCF загружаемые модули REMOTE.NLM и RSPX.NLM), то, отключив от сервера монитор и клавиатуру, уберите их подальше. В результате подобной процедуры злоумышленник, оказавшийся поблизости от вашего сервера, вряд ли сможет как-либо навредить вам, разве только ему не взбредет в голову выключить питание. Но это пустяки по сравнению с тем, что он мог бы натворить, окажись у него в руках клавиатура, а перед глазами - монитор, демонстрирующий нарушителю результаты его действий. Не забудьте задать пароль RCONSOLE при загрузке REMOTE.NLM: вы должны быть уверены, что угадать пароль невозможно. Совсем уж осторожные могут запирать сервер на ключ.

Если все это вас не устраивает, вы можете использовать функцию Lock File Server Console модуля MONITOR.NLM, чтобы блокировать ввод с клавиатуры до набора заранее установленного пароля. При работе с NetWare 3.11, вы можете также использовать пароль супервизора для разблокирования клавиатуры.

Вслед за этим, следует подать команду SECURE CONSOLE. После активизации этой команды консоли файлового сервера, NLM-модули можно загружать только из каталога SYS:SYSTEM. (Идея состоит в том, чтобы не дать никому загрузить разрушающий NLM из другого каталога). Команда SECURE CONSOLE также предотвращает изменение даты и текущего времени на файловом сервере, что очень важно, поскольку многие защитные функции NetWare зависят от точного отсчета времени. Помимо этого, данная команда запрещает обращение к отладчику операционной системы, который может быть использован программистом для повреждения сети. Наконец, SECURE CONSOLE удаляет DOS из памяти сервера, лишая злоумышленника возможности записать разрушающую программу в DOS-раздел сервера.

Привилегию "File Server Console Operator" следует предоставлять пользователям с большой осторожностью. Получив эту привилегию, пользователь сможет запускать утилиту FCONSOLE и выполнять ограниченное число консольных операций. В их число входят изменение системной даты и времени, просмотр информации о текущих подключениях к сети, разрешение и запрещение входа в систему для пользователей, а также блокирование системы слежения за транзакциями (Transaction Tracking System), при обеспечении целостности баз данных.

БИЛЛЬ О ПРАВАХ

Защита прав в NetWare реализуется путем объявления доверенных лиц в сочетании с использованием маски наследования прав (Inherited Rights Mask). Права - это специальные привилегии, предоставляемые администратором сети пользователям или группам пользователей. Данные привилегии позволяют доверенным лицам выполнять ряд действий с каталогами и файлами на вашем сервере. Сюда входят основные операции с файлами: чтение, запись, копирование, а также специфические функции NetWare, например предоставление тех же прав другим пользователям.

После присвоения таких прав пользователю или группе, они получают статус доверенных лиц. Несомненно, что ваши пользователи уже являются доверенными лицами, потому что NetWare автоматически помещает создаваемых пользователей в группу Everyone (если только вы не поменяли параметры по умолчанию), а члены группы Everyone, в свою очередь, являются доверенными лицами по отношению к каталогам SYS:PUBLIC и SYS:MAIL. Пользователи также объявляются доверенными лицами и для каталога SYS:MAIL/USERID.

Восемь прав доверенных лиц NetWare перечислены в Таблице 1. Заметим, что права могут включать в себя разные функции в зависимости от того, присвоены ли они пользователю или группе, на отдельном каталоге или отдельному файлу внутри каталога. Стандартное обозначение прав, показываемое утилитами RIGHTS или WHOAMI, имеет форму SRWCEMFA (см. Таблицу 2). Наличие права обозначается присвоенной этому праву буквой. Черточка или пробел на месте буквы говорят о том, что данное право отсутствует. Таким образом, "RWCEMF" обозначает, что данный пользователь обладает всеми правами, кроме прав супервизора и контроля доступа (одиночное S обозначало бы наличие только прав супервизора).

Выполнение стандартных операций с файлами и каталогами: копирование, переименование, уничтожение, распечатка каталогов и т. д. - требует определенных прав NetWare. Содержание прав каждого действия может оказаться для вас несколько неожиданным. Список прав, необходимых для выполнения, смотрите в Таблице 3.

ИНСТРУМЕНТЫ ДЛЯ ДОВЕРЕННЫХ ЛИЦ

NetWare предоставляет инструментарий на основе команд для присвоения статуса доверенных лиц; GRANT позволяет добавлять права пользователям и группам, REVOKE используется для понижения прав, с помощью REMOVE доверенное лицо вовсе лишается статуса. (Следует иметь в виду, что даже если вы лишите доверенное лицо всех прав при помощи REVOKE, пользователь или группа остается доверенным лицом (хотя и без всяких прав) до тех пор, пока вы не исключите его из списка доверенных лиц данного каталога или файла с помощью команды REMOVE).

Вы можете также использовать меню утилит FILER и SYSCON для присвоения прав доверенным лицам; в руководстве по использованию NetWare подробнейшим образом говорится как об утилитах на базе команд, так и об утилитах на базе меню.

Ключевым моментом для понимания работы с правами доверенных лиц на основе маски наследования прав является понятие нисходящего потока прав. Если вы предоставляете пользователю права Read и File Scan по отношению к некоторому каталогу, он автоматически получает права Read и File Scan по отношению ко всем подкаталогам этого каталога. Именно это и называется нисходящим потоком прав доверенных лиц. Однако представьте себе, что вам желательно ограничить возможность пользователя читать файлы в нижележащих каталогах по отношению к тому каталогу, для которого он является доверенным лицом. Вот тут-то и понадобится маска наследования прав.

NetWare автоматически устанавливает маску наследования прав (Inherited Rights Mask, IRM) для каждого файла и каталога в момент их создания. В IRM используются те же восемь прав, что и при описании доверенных лиц. Тот факт, что в IRM по умолчанию тоже предоставляются все восемь прав, отнюдь не означает, что ваши пользователи все эти права имеют. Напротив, NetWare игнорирует IRM до тех пор, пока не объявлены доверенные лица. Основной вывод из вышесказанного заключается в следующем: реальные права пользователя по отношению к файлу или каталогу определяются комбинацией прав, присвоенных доверенному лицу и полученных по нисходящему потоку, а также разрешенных в IRM. Быть может, звучит сложновато, но на самом деле все довольно просто.

В NetWare имеются две утилиты для модификации IRM: Allow (командная строка) и Filler (меню). Чтобы выяснить свои эффективные права, используйте командные утилиты RIGHTS, NDIR, WHOAMI или запустите Filler.

После того, как вы освоите все эти понятия и инструментальные средства, работа по защите данных в NetWare станет куда интересней. Необходимо хорошо подумать над тем, какие эффективные права должны иметь пользователи или группы по отношению к каталогам или файлам, критичным для работы вашей сети (файлы в SYS:SYSTEM, SYS:LOGIN, SYS:PUBLIC, SYS:MAIL, SYS:ETC и все другие критические каталоги или файлы, созданные вами вне стандартных каталогов NetWare в томе SYS:).

Чтобы обеспечить надежную защиту файлов и каталогов, вам следует усвоить несколько фундаментальных правил. Во-первых, если какому-нибудь пользователю или группе предоставлены права супервизора на одном из каталогов, они не могут быть отобраны на нижележащих каталогах. Поскольку права супервизора включают в себя все права, это может оказаться опасным, поэтому присваивать такие права следует только в ситуации, когда доверенному лицу действительно необходим контроль над всем деревом каталогов ниже того уровня, на котором были присвоены права супервизора.

Во-вторых, права доверенных лиц складываются. Если пользователь имеет как личные права доверенного лица по отношению к каталогу или файлу, так и права в составе группы, эффективные права пользователя будут суммой этих прав. В-третьих, NetWare игнорирует IRM, когда нет явного присвоения прав доверенным лицам. В-четвертых, права супервизора, предоставленные через IRM, не имеют никакого эффекта, если только те же права не присвоены пользователю или группе явно. В-пятых, IRM и эффективные права на данном каталоге, унаследованные от вышележащего каталога, подавляются явно присвоенными правами в отношении каталога или отдельного файла. Эффек- тивные права пользователя или группы будут определяться явно присвоенными правами. Напротив, если никаких явных присвоений прав в отношении нижележащих каталогов и файлов нет, то IRM определяет, какие эффективные права относительно подкаталога пользователь может унаследовать от вышележащего каталога. И в-шестых, чтобы определить эффективные права пользователя относительно конкретного файла или каталога, пользуйтесь следующим правилом: эффективные права пользователя являются комбинацией прав, унаследованных от вышележащих каталогов и явным образом заданных прав относительно текущего каталога или файла (эти права фильтруются посредством любых изменений в IRM для данного каталога или файла).

БУДЬТЕ ОСТОРОЖНЫ С ПРИСВОЕНИЕМ ПРАВ!

Чтобы упростить процедуру присвоения прав доверенным лицам и свести количество этих прав к минимуму, лучше присваивать эти права по группам. Пользуясь тем, что NetWare по умолчанию помещает всех пользователей в группу Everyone, мы, например, присваиваем этой группе те или иные права, когда хотим разрешить или запретить что-либо большей части пользователей сети. Как уже упоминалось, при установке сервера NetWare присваивает статус доверенных лиц пользователям из группы Everyone по отношению к каталогам SYS:PUBLIC и SYS:MAIL. В SYS:PUBLIC пользователи Everyone имеют права Read и File Scan, а в SYS:MAIL - Create. Такая установка позволяет пользователям находить и исполнять необходимые им утилиты NetWare, а также создавать почтовые файлы в принадлежащих другим пользователям (из той же группы) почтовых каталогах вне SYS:MAIL. Поэтому еще раз настоятельно советуем убедиться в том, что каждый пользователь имеет сценарий входа в сервер на своем каталоге STS:MAILUSERID, в противном случае, предупредить возможность подделки сценария третьим лицом будет весьма проблематично.

Итак, подытоживая сказанное, не грех повторить еще раз: Create позволяет пользователю создавать файлы и ничего больше. Таким образом, если сценарий входа в систему уже создан, то создать новый сценарий (или отредактировать существующий) невозможно.

Если вы переместили стандартные утилиты NetWare и почтовые каталоги пользователей из тех каталогов, где они находятся по умолчанию, то следует убедиться, что установленная на новом месте защита соответствует умолчаниям NetWare. В противном случае, вы можете, с одной стороны, широко распахнуть дверь перед потенциальным злоумышленником, а с другой - сильно затруднить жизнь пользователям, поскольку они не получат доступа к новым каталогам утилит NetWare и к прочей необходимой для работы в сети информации.

При создании новых бюджетов не забудьте и о защите домашних каталогов пользователей. Присваивайте всем пользователям права супервизора по отношению к их собственным каталогам. Тем самым вы обеспечиваете пользователю полный контроль над принадлежащей ему областью. Не предо- ставляйте обезличенным бюджетам (например Guest) прав Supervisor или Access Control по отношению к их домашним каталогам, иначе возможно "расползание" возникающих проблем. Кроме того, желательно ограничить объем дискового пространства, к которому имеет доступ отдельный пользователь (это уже касается домашних каталогов); используйте для этого утилиты DSPACE и SYSCON. (Если у вас есть только том SYS:, данное требование обязательно; если на системном томе не окажется свободного места, то возможен крах сервера).

АТРИБУТЫ И ЗАЩИТА ДАННЫХ В NETWARE

Помимо защиты прав в NetWare имеется еще один уровень защиты файлов и каталогов, осуществляемый при помощи атрибутов. Атрибуты имеют более высокий приоритет, чем права пользователей, в том смысле, что с их помощью можно защитить файл или каталог, доступ к которым разрешен имеющимися у пользователя правами. Пользователь может изменять атрибуты каталога или файла, если он имеет в отношении их право Modify. Стандартные средства NetWare для модификации атрибутов файла или каталога - FLAG (командная строка) и Filer. Просмотр атрибутов может быть произведен программой NDIR. Как правило, пользоваться утилитами командной строки (после того, как привыкнешь к синтаксису) удобнее и быстрее. При использовании утилит на базе меню время тратится на то, чтобы пройти через все последовательные ступени диалога.

NetWare определяет все файлы в SYS:SYSTEM, SYS:PUBLIC и SYS:LOGIN как Read-Only, System, Delete Inhibit и Rename Inhibit, чтобы предотвратить их случайное (а может и умышленное) уничтожение, копирование или переименование. При использовании прикладных программных пакетов обычно рекомендуется объявлять основные исполняемые модули как read-only, но в то же время, для работы программ иногда требуется создание временных файлов в тех каталогах, в которых они установлены. Из чего следует, что нельзя полностью закрывать доступ к каталогам через права доверенного лица или IRM. На этом примере мы видим важность сбалансированного использования правил пользователей и атрибутов.

ДЛЯ ОЧИСТКИ СОВЕСТИ

Защита данных на сервере может оказаться не таким уж простым делом. Однако, если вы все же разберетесь в идеологии Novell и затем слегка попрактикуетесь, то навряд ли у вас возникнут проблемы с установкой защиты, обеспечивающей гибкость, необходимую для модификации системы защиты в будущем. LAN


Пит Раньян - администратор сети Novell в Институте продолжительности жизни при Канзасском университете (Лоренс, шт. Канзас). С ним можно связаться через Internet по адресу: pete@dole.lsi.ukans.edu.

ТАБЛИЦА 1 - ВОСЕМЬ УРОВНЕЙ ПРАВ В NETWARE

S - Supervisory
Это право, присваиваемое пользователю или группе на определенном каталоге, предоставляет возможность пользоваться всеми существующими правами и давать их другим пользователям или группам по отношению к данному каталогу или его подкаталогу.
Само право Supervisory для доверенного лица автоматически распространяется на все подкаталоги того каталога, в котором оно было предоставлено. Доверенное лицо не может быть лишено этого права ни в одном из подкаталогов. Кроме того, оно имеет приоритет над ограничениями, установленными маской наследования прав.
На файловом уровне, Supervisory предоставляет пользователю все права по отношению к файлу, более того, пользователь получает возможность давать или модифицировать любые права любых пользователей по отношению к любому файлу из данного и всех нижележащих каталогов.
R-Read
Это право дает возможность пользователю или группе открывать файлы для чтения и запускать исполняемые модули.
W-Write
Write дает возможность пользователю или группе открывать файл и модифицировать его содержимое.
C-Create
На уровне каталогов Create позволяет пользователям или группам создавать подкаталоги и файлы внутри них. Если никаких других прав на уровне подкаталогов не предоставлено, доверенное лицо может только создавать каталоги или файлы. После закрытия файла его нельзя будет увидеть при помощи стандартных команд DOS или NetWare, например DIR или NDIR.
E-Erase
Это право указывает на возможность удаления каталога, подкаталогов или файлов в каталоге или подкаталогах.
M-Modify
Предоставляет возможность пользователям или группам устанавливать и менять атрибуты файлов и каталогов, в том числе и названия каталогов и файлов, входящих в состав этих каталогов. Modify не дает возможность изменять содержимое файлов.
F-File Scan
Благодаря File Scan пользователи или группы могут видеть каталоги и файлы внутри каталогов.
A-Access Control
Access Control предоставляет пользователю или группе возможность модифицировать права доверенных лиц или состояние маски наследования прав по отношению к каталогу или файлу. Оно не дает пользователю возможности присваивать право Supervisory, но позволяет присваивать другим права, которых сами эти пользователи не имеют.

ТАБЛИЦА 2 - КОМАНДЫ RIGHTS И WHOAMI

При помощи команды rights можно узнать, какие у вас есть права в текущем каталоге.
F:LOGIN> RIGHTS
TESTBEDSYS:LOGIN
Your Effective Rights for this directory are [ R F ] 
* May Read from File. (R)
May Scan for Files. (F)
* Has no effect on directory.
Entries in Directory May Inherit [ R F ] rights.
whoami с ключом /r (rights) позволяет получить полную информацию о ваших правах на сервере, включая права в других томах. Права могут быть либо в явном виде присвоены вам как пользователю, либо вы можете их получить как член группы пользователей, которым права были присвоены также в явном виде.
F:LOGIN> WHOAMI /R
You are user JON attached to server TESTBED, connection 9.
Server TESTBED is running NetWare v3.11 (50 user).
Login time: Friday July 7, 1995 8:40 am
[ ] SYS:
[ R F ] SYS:DOSAPPS
[ R F ] SYS:LOGIN
[ R F ] SYS:PUBLIC
[ C ] SYS:MAIL
[ RWCEMF ] SYS:MAIL/83000001
[ R F ] SYS:ADMIN/DOS/LOGSCP
[ R F ] SYS:WINAPPS
[ R F ] SYS:LANWORK
[ F ] ACCOUNTING:
[ F ] MARKETING:
[ RWCEMF ] CAU:USERS/CAU/GROUP/EQUIP
[ RWCEMFA ] BSI_COMM:USERS/BSICOMM/GROUP
[ SRWCEMFA ] BSI_COMM:USERS/BSICOMM/JON
[ ] MAIL:
[ C ] MAIL:MAIL
[ RWCEMF ] MAIL:MAIL/JON
[ RWCEMF ] SHARED:
[ F ] SPLH:

ТАБЛИЦА 3 - ПРАВА, НЕОБХОДИМЫЕ ДЛЯ ВЫПОЛНЕНИЯ СТАНДАРТНЫХ ДЕЙСТВИЙ
С ФАЙЛАМИ И КАТАЛОГАМИ

Действие: Требуемые права
Чтение закрытого файла: Read
Просмотр имени файла: File Scan
Поиск файла по каталогу: File Scan
Запись в закрытый файл: Write, Create, Erase, Modify
Исполнение exe-файла: Read, File Scan
Создание файла и запись в него: Create
Копирование файлов из каталога: Read, File Scan
Копирование файлов в каталог: Write, Create, File Scan
Создание нового каталога: Create
Уничтожение файла: Erase
Восстановление уничтоженных файлов: Read, Write, Create, File Scan и Create на уровне каталога
Модификация атрибутов файла или каталога: Modify
Переименование файла или каталога: Modify
Изменение маски наследования прав: Access Control
Изменение прав доверенного лица: Access Control
Изменение дискового пространства для каталогов: Access Control
Команда "copy" в DOS требует только права Read для копирования из каталога и Create для копирования в каталог. Вышеперечисленные права относятся к команде "ncopy" в NetWare.

Поделитесь материалом с коллегами и друзьями