Часть 6
Планирование сетевой безопасности
----------------------------------------------------------------
Работая с этим разделом, используйте рабочий лист катало-
гов, рабочий лист безопасности каталогов попечителя и рабочий
лист безопасности файлов попечителя.
Хотя система обеспечения безопасности NetWare достаточно
гибкая и может использоваться довольно сложным образом, мы реко-
мендуем простую настройку безопасности и предлагаем соответству-
ющую безопасность для различных классов каталогов и файлов. Вы
можете принимать более сложные решения по мере того, как ваша
сеть развивается.
Безопасность для каталогов и файлов управляется правами и
атрибутами.
* Безопасность прав применяется к пользователям индивидуально
и коллективно и управляет к каким каталогам, подкатало-
гам и файлам может обращаться пользователь, и какую работу
он может выполнять с этими каталогами, подкаталогами и фай-
лами.
* Безопасность атрибутов применяется к каталогам, подкатало-
гам и файлам и определяет можно ли их просматривать, изме-
нять, совместно использовать, переименовывать или уничто-
жать. Атрибуты имеют приоритет над правами.
1. Планирование безопасности прав для пользователей и групп.
-----------------------------------------------------------------
Безопасность прав контролируется Маской наследуемых прав и
попечительскими назначениями.
Маска наследуемых прав
Маска наследуемых прав автоматически назначается каждому
каталогу или файлу при его создании. Для основной настройки бе-
зопасности вам нет необходимости изменять Маску наследуемых
прав. Для получения информации о результатах изменения маски,
смотрите раздел "Безопасность" (Security) в руководстве "Основ-
ные понятия ОС NetWare 386" (NetWare 386 Concepts).
Попечительские назначения
Когда пользователям или группам предоставляются права к оп-
ределенным каталогам или файлам, пользователи или группы стано-
вятся попечителями этих каталогов или файлов. Сумма прав стано-
вится попечительским назначением.
Попечительское назначение позволяет пользователю или члену
группы использовать каталог или файл определенным образом, нап-
ример, только для чтения. Администратор сети выбирает соответст-
вующие права, для назначения пользователям и группам в каждом
каталоге или файле.
Попечительские права
Те же самые попечительские права управляют доступом к ката-
логам и файлам как в попечительских назначениях, так и в Маске
наследуемых прав. Каждое право представляется первоначальной
буквой и буквами, заключенными в квадратные скобки: [SRWCEMFA].
Попечительские права
---------------------------------------------------
S | Привилегии администратора
|
R | Читать
|
W | Записать
|
С | Создать
|
Е | Стереть
|
M | Измененить
|
F | Сканировать файла
|
A | Контроль доступа
После того как вы определили ваши требования по безопаснос-
ти, рассмотрите следующие рекомендации.
Каталоги и файлы, созданные системой
Система создает попечительские назначения. Система автома-
тически назначает следующие попечительские назначения группе
EVERYONE:
PUBLIC [RF]
MAIL [C]
Каталоги DOS
Для каталогов DOS в каталоге SYS:PUBLIC, система назначает
права Читать и Сканировать файл [RF] группе EVERYONE в каталоге
SYS:PUBLIC.
Каталоги прикладных программ
Если вы создали каталоги прикладных программ в каталоге
SYS:PUBLIC, то группа EVERYONE уже имеет права Читать и Сканиро-
вать файл [RF] в этом каталоге.
Если вы создаете родительский каталог для прикладных прог-
рамм, назначьте право Сканировать файл [F] группе EVERYONE.
Самим каталогом прикладных программ , независимо от того
где они находятся назначьте права Читать и Сканировать файл
[RF] либо группе EVERYONЕ, либо группам, которые вы сформировали
для использования прикладной программы.
______________________________________________
Примечание: Если вы имеете прикладную программу, которая
создает дополнительные файлы (такие как файлы
резервирования (backup)), назначьте каждому
пользователю право Создать [C] в каталоге, где
прикладная программа создает эти файлы.
______________________________________________
Личные каталоги или каталоги с пользовательским именем
Каждому пользователю необходимы все права в персональном
рабочем пространстве. Назначьте каждому пользователю (за исклю-
чением GUEST) Администраторское право [S] в соответствующем ка-
талоге с пользовательским именем. Если вы планируете предоста-
вить персональное рабочее пространство для временных пользовате-
лей в каталоге GUEST, назначьте GUEST права Читать, Писать, Соз-
дать, Стереть и Изменить [RWCEM]. Так как каталог GUEST обеспе-
чивает персональное рабочее пространство, назначьте право Изме-
нить [M].(Будьте внимательны при назначении GUEST права Контроль
доступа [A], Администраторское право [S] или право Изменить
[M].)
Каталоги базы данных для файлов данных
Если вы запланировали группы на основании служебных обя-
занностей пользователей, сделайте попечительские назначения по
крайней мере прав Читать, Писать, Создать, Стереть и Изменить
[RWCEM] группам, которым необходимо изменить файлы данных в
прикладных программах базы данных. Некоторые программы базы дан-
ных будут требовать всех прав за исключением Администраторского
права [S]. Для групп, которым необходимо просмотреть информацию,
вы можете назначить право Читать [R].
Рабочие каталоги
Назначьте права Читать, Писать, Создать, Стереть и Изменить
[RWCEM] группам, которым необходимо изменить файлы данных. Для
групп, которым необходимо просмотреть информацию , вы можете
назначить право Читать [R].
Каталоги файлов типа batch
Назначьте права Читать и Сканировать файл [RF] группе
EVERYONE.
Исследуйте каждый каталог, который включен в список на ра-
бочем листе каталогов. Затем примите решение по каждому каталогу
как представлено ниже.
1a. Решите, каким группам или пользователям необходимо иметь
доступ к каталогу.
1b. Решите, нужен ли группе или пользователю просмотр файлов в
каталоге для информации.
1с. Решите, нужно ли группе или пользователю изменять файл в
каталоге.
1d. Решите, что еще необходимо сделать группе или пользователю.
1е. Если у вас есть файлы, для которых вы хотите сделать от-
дельное попечительское назначение, повторите обработку ре-
шения для этих файлов.
Когда вы определили наиболее подходящий вам уровень безо-
пасности NetWare, запишите установки, какие вы выбрали для попе-
чительских назначений в рабочий лист безопасности каталогов по-
печителя. Если вы хотите назначить попечительские права отдельно
для определенных файлов, запишите какие попечительские назначе-
ния вы хотите сделать на рабочий лист безопасности файлов попе-
чителя.
Для более подробной информации, смотрите раздел "Безопас-
ность прав" и "Действующие права" в статье "Безопасность"
(Security) в руководстве "Основные понятия ОС NetWare 386"
(NetWare 386 Concepts).
2. Планирование безопасности атрибута для каталогов и файлов.
-----------------------------------------------------------------
Безопасность атрибута назначает свойства для отдельных ка-
талогов или файлов. Каждый атрибут представляется его первона-
чальной буквой (буквами) и буквами, которые принято заключать в
квадратные скобки.
Атрибуты | Буква | Каталог | Файл | Описание
---------+-------+---------+------+-----------------------------
Необход- | А | | + |Указывает на файлы, измененные
мо архи- | | | |после последнего резервирова-
вирование| | | |ния.Назначается автоматически.
---------+-------+---------+------+------------------------------
Запрет | | | + |Препятствует пользователям
копирова-| | | |Macintosh копировать файл. От-
вания | | | |мените право Читать и Сканиро-
| | | |вать файл. Измените право, ко-
| | | |торое требуется для удаления
| | | |этого атрибута.
----------+-------+---------+------+------------------------------
Запрет | D | + | + |Препятствует пользователям сти-
уничтоже-| | | |рать каталоги или файлы. Отме-
ния | | | |ните право Cтирать (Erase).
| | | |Измените право,которое требу-
| | | |ется для удаления этого атри-
| | | | бута.
---------+-------+---------+------+------------------------------
Только | Х | | + |Препятствует копированию или
выполнить| | | |резервированию файлов. Атрибут
| | | |не может быть удален.Назнача-
| | | |ется только файлам с расшире-
| | | |нием .EXE или .COM (програм-
| | | |мные файлы). Сохраните дубли-
| | | |кат копии этих файлов, в слу-
| | | |чае, если они искажаются и воз-
| | | |никает необходимость их восста-
| | | |новления.
| | | |ВНИМАНИЕ: Некоторые программы
| | | |не будут выполняться правильно,
| | | |если помечены атрибутом Только
| | | |выполнить.
----------+-------+---------+------+------------------------------
Скрытый | Н | + | + |Скрывает каталоги и файлы от
| | | |просмотров командой файл DOS
| | | |DIR и предохраняет их от уни-
| | | |чтожения или копирования.
| | | |Каталоги и файлы будут появ-
| | | |ляться при просмотре коман-
| | | |дой NDIR OC NetWare, если
| | | |если пользователь имеет пра-
| | | |во Сканировать файл.
----------+-------+---------+------+------------------------------
Индекси- | I | | + |Предоставляет быстрый доступ к
рованный | | | |большим файлам. Автоматически
| | | |назначается файлам, которые
| | | |имеют более 64 постоянных за-
| | | |писей в таблицы FAT.
| | | |Может быть установлен, но не
| | | |иметь результата.
---------+-------+---------+------+-----------------------------
Очищать | Р | + | + |Очищает файл как только он
| | | |уничтожается,если файл поме-
| | | |чается с этим атрибутом или
| | | |находится в каталоге помечен-
| | | |ном с этим атрибутом.
| | | |
| | | |ВНИМАНИЕ: Очищенные файлы не
| | | |могут быть восстановлены
| | | |утилитой SALVAGE.
---------+-------+---------+------+------------------------------
Контроль | Ra | | + |В настоящее время не использу-
чтения | | | |ется NetWare. Может быть уста-
| | | |новлен, но не имеет результата.
----------+-------+---------+------+------------------------------
Только | Ro/Rw | | + |Показывает могут ли файлы быть
читать/ | | | |изменены. Все файлы автомати-
Только | | | |чески помечаются Читать Писать,
писать | | | |когда они создаются и могут
| | | |быть изменены, если не уста-
| | | |навлиется атрибут Только чи-
| | | |тать. Назначение Ro автомати-
| | | |чески активизирует атрибуты
| | | |Запрет уничтожения и Запрет
| | | |переименования.Измените право,
| | | |которое требуется для удаления
| | | |атрибута Ro.
----------+-------+---------+------+-----------------------------
Запрет | R | + | + |Препятствует пользователям пе-
переиме- | | | |реименовывать каталоги или фай-
нования | | | |лы. Измените право,которое
| | | |требуется для удаления атрибу-
| | | |та Ro.
----------+-------+---------+------+------------------------------
Совместно| S | | + |Нескольким пользователям пре-
использу-| | | |доставляет одновременный дос-
емый | | | |туп к файлу. Обычно использу-
| | | |ется в комбинации с атрибутом
| | | |Только читать.
----------+-------+---------+------+------------------------------
Системный| Sy | + | + |Назначается системным файлам
| | | |и каталогам.
| | | |Скрывает каталоги и файлы от
| | | |просмотров командой DOS DIR
| | | |и предохраняет их от уничто-
| | | |жения или копирования. Катало-
| | | |ги и файлы будут появляться
| | | |при просмотре командой NDIR OC
| | | |NetWare, если пользователь
| | | |имеет право Сканировать файл.
----------+-------+---------+------+-----------------------------
Транзак- | T | | + |Активизирует систему отслежи-
ционналь-| | | |вания транзакций.
ный | | | |Предохраняет от искажения дан-
| | | |ных гарантируя, что изменения
| | | |происходят либо во всех моди-
| | | |фицируемых файлах, либо изме-
| | | |нений не производиться совсем.
| | | |Особенно полезен для файлов
| | | |баз данных
----------+-------+---------+------+-----------------------------
Контроль | Ws | | + |В настоящее время не исполь-
записи | | | |зуется NetWare. Может быть
| | | |установлен, но не имеет ре-
| | | |зультата
Рассмотрите следующие рекомендации.
Каталоги и файлы, созданные системой
Эти файлы автоматически помечаются системой атрибутами
Только для чтения [Ro], Запрет уничтожения [D] и Запрет переиме-
нования [R]. Нет необходимости в дополнительных атрибутах.
Каталоги DOS
Пометьте файлы DOS атрибутами Только чтение/Совместное ис-
пользование [RoS]. Система будет автоматически добавлять флаги
Запрет уничтожения [D] и Запрет переименования [R].
______________________________________________
Примечание: Это не должно быть спутано с правами [ROS] в
более ранних версиях NetWare.
______________________________________________
Каталоги прикладных программ
Пометьте программные файлы прикладной программы атрибутом
Только чтение/Совместное использование [RoS]. Чтобы воспре-
пятствовать любому незаконному копированию программного обеспе-
чения, пометьте основной выполняемый файл каждой прикладной
программы атрибутом Совместное использование/Только выполнение
[SX].
______________________________________________
Примечание: Даже пользователь с именем SUPERVISOR не может
скопировать файлы, помеченные Только выполнить
[X]. Файлы, помеченные этим атрибутом, могут
быть только уничтожены. Не используйте этот
атрибут файла, если вы не имеете резервной
копии ваших программных файлов прикладных
программ. Кроме того, убедитесь, что ни
ваша лицензия, ни программа установки для
вашей прикладной программы не ограничивают
вас в том, сколько раз вы можете скопировать
файлы в сеть.
______________________________________________
Каталоги для файлов данных базы данных
Файлы, которые могут быть модифицированы должны быть поме-
чены атрибутами Чтение-Запись/Совместное использование [RwS].
______________________________________________
Примечание: Для любых файлов помеченных атрибутами Совместное
использование [S] или Запрет уничтожения [D] тре-
буются права Modify (разрешено модифицировать).
______________________________________________
Если вы имеете очень конфиденциальную информацию в вашей
базе данных, которую вы не хотите оставить на жестком диске пос-
ле того как она будет уничтожена, пометьте каталог атрибутом
Очистить [Р], так что файлы в этом каталоге будут стерты после
уничтожения. Такие файлы не могут быть восстановлены.
Рабочие каталоги
Файлы, которые будут читаться, но не будут изменяться долж-
ны быть помечены атрибутом Только чтение/Совместное использова-
ние [RoS].
Каталоги файлов типа batch
Помечаются атрибутом Только чтение/Совместное использование
[RoS].
После того как вы определили более приемлемую для вас безо-
пасность NetWare, запишите на рабочем листе каталогов атрибуты,
которые вы хотите назначить файлам.
Для более подробной информации, смотрите "Безопасность ат-
рибута" в разделе "Безопасность" в руководстве "Основные понятия
ОС NetWare 386" (NetWare 386 Concepts).
Пример безопасности
Aдминистратор сети для файлового сервера UNICORN запланиро-
вал следующие попечительские назначения каталога:
Пользователь/группа | Каталог | Права
---------------------+-----------------+----------------
EVERYONE | SYS:APPS | [F]
| SYS:HOME\GUEST | [RWCSMF]
---------------------+-----------------+----------------
Каждый пользователь | SYS:HOME\имя | [S]
| пользователя |
---------------------+-----------------+----------------
GUEST | SYS:HOME\GUEST | [RWCSMF]
---------------------+-----------------+----------------
SPREADSHEET | SYS:APPS\SPREAD | [RF]
| SYS:ACCTNG | [RWCSMF]
---------------------+-----------------+----------------
WPUSERS | SYS:APP\WP | [RF]
| SYS:APP\WP\SETUP| [RF]
---------------------+-----------------+----------------
PAYROLL | SYS:APP\DB_APP | [RF]
| SYS:PAYROLL | [RWCSMF]
---------------------+-----------------+----------------
PAYREAD | SYS:APP\DB_APP | [RF]
| SYS:PAYROLL | [RF]
---------------------+-----------------+----------------
PAYCLERK | SYS:APP\DB_APP | [RF]
| SYS:PAYROLL | [RWCEMF]
---------------------+-----------------+----------------
MJONES | SYS:APP\DB_APP | [S]
| SYS:PAYROLL | [S]
Все файлы помечаются согласно рекомендаций, приведенных вы-
ше.