openvms security
TRANSCRIPT
4שיינקין ייעוץ בע”מ
מודל הייחוס
Subjects: Users Programs
ReferenceMonitor
Objects: Files Resources
AccessRules DB
AuditTrail
5שיינקין ייעוץ בע”מ
בסיס נתוני משתמש נקרא גםUser Authorization File -- UAF מנוהל על ידי תוכנית בשםAuthorize קיים ממשק תכנותיAPI לניהול המשתמשים ממומש כקובץsys$system:sysuaf.dat
6שיינקין ייעוץ בע”מ
Loginתהליך המשתמש נדרש להזדהות באמצעות
קוד משתמשסיסמה)סיסמה שניה )אופציונלית
:המשתמש מקבל דיווח עלמועד כניסה תקינה אחרונהמספר כישלונות בכניסה מאז הכניסה האחרונה
7שיינקין ייעוץ בע”מ
דיווח על כשלון בכניסה המשתמש מקבל דיווח כשלון בכניסה לאחר סיום
כל שלבי ההזדהות המשתמש אינו מקבל דיווח מהי סיבת הכשלון
האם קוד המשתמש שגוי)האם סיסמה שגויה )ואיזו
8שיינקין ייעוץ בע”מ
התגוננות מפני פריצה מוגדרים שלושה מצבים לגבי כל משתמש ואו
מסוףלא-חשוד -- לא התבצעה שגיאה בכניסהחשוד -- התבצעה שגיאה אחת לפחותפורץ -- מספר השגיאות עלה על סף מסויים
בדיקת מצב החשודים על ידיshow intrusionחשבון או מסוף המוגדרים כפורצים
יושעו לפרק זמןניתן לבקש השעיית משתמש
9שיינקין ייעוץ בע”מ
מצבי גישהLOCALמסוף מקומי
DIALUPקו חיוגREMOTEרשת )מסוף מרוחק(
NETWORKרשת )הפעלה מרוחקת(BATCHעבודות אצווה
DETACHEDג'וב מנותק
10שיינקין ייעוץ בע”מ
הגבלת שעות עבודהלכל משתמש עבור כל מצב גישהניתן להגדיר בנפרד שעות עבודה עבור
ימי עבודהסוף שבוע
11שיינקין ייעוץ בע”מ
הגדרת חשבוןתאריך פקיעת חשבון
המשתמש מקבל התראה לקראת התאריךשייכות לקבוצה ולחשבון חיוב משותףהגדרת משאביםספריית ברירת - מחדלקובץ פקודות אתחולסיסמה ראשונה חד-פעמית
12שיינקין ייעוץ בע”מ
סיסמהאורך מינימליתדירות החלפת סיסמה מינימאלית
המשתמש מקבל התראה לקראת פקיעת הסיסמהשימוש אופציונלי במחולל סיסמאותמניעת שימוש חוזר בסיסמהמילון סיסמאות אסורות
13שיינקין ייעוץ בע”מ
החלפת סיסמהכניסה למערכת לאחר פקיעת סיסמה
מבוצע אוטומטיתהחלפת סיסמה על ידי המשתמש
set password החלפת סיסמה על ידי מנהל המערכת
הסיסמה חד-פעמיתהחלפת סיסמה על ידי מנהל הפרוייקט
מחייב פיתוח קוד
14שיינקין ייעוץ בע”מ
משתמש מוגבל:נועד למשתמשי קצה או לפעולות ניהול מוגבלות
הורדת תחנת עבודהביצוע גיבוי
קיימות שתי רמותCaptiveRestricted
מחייב קובץ פקודות אתחול -אינו מורשה לצאת לDCL
15שיינקין ייעוץ בע”מ
Privilegesזכויות יתר NONEללא הרשאות מיוחדותNORMALמשתמש רגילGROUPהרשאות ניהול קבוצהDEVOURצבירת משאביםSYSTEMניהול מערכתFILEגישה לכל הקבציםALLשליטה מלאה
16שיינקין ייעוץ בע”מ
UICגישה למשאבים לפי לכל משתמש מוגדר קודUIC אוקטלי
UIC = [Group, Member] קודUIC
קוד קבוצת משתמשיםקוד חבר בקבוצה
ניתן להגדיר שמות לערכיםדוגמאות
[110, 34]
[Consult, Ofer]
17שיינקין ייעוץ בע”מ
ארבעה סוגי הגנה קריאהREAD כתיבהWRITE ביצועEXECUTE
הרשאה לבצע תכנית הרשאה לראות תוכן ספריה לקובץ מסוים
ביטולDELETE
19שיינקין ייעוץ בע”מ
חלוקה לקבוצותבעליםUICמשתמש= UIC משאב
קבוצהGroupמשתמש= Groupמשתמש
SYSTEMGroup10> משתמש
נועד למנהל המערכת וצוות הפעלהכל האחריםשאר העולם
20שיינקין ייעוץ בע”מ
UICפריבילגיות עוקפות SYSPRVשקול למשתמש מנהל המערכתGRPPRV שקול למנהל המערכת עבור
משאבים בבעלות אותה קבוצהBYPASSמקנה גישה בלתי מוגבלתREADALL מקנה גישה בלתי מוגבלת לקריאה
בלבדבגרסאות ישנות אפשר שינוי הגדרות גישה
21שיינקין ייעוץ בע”מ
ACLגישה למשאבים לפי Access Control Listהמנגנון מאפשר הגדרות פרטניותמוגדרים מזהים, הרשאות גישה ואופציותחשיבות לסדר רישום ההרשאותניתן להגדיר הרשאות גישה בנוסח
לכל מי שלא אסור מותר לגשתלכל מי שלא מותר אסור לגשת
ניתן להגדיר באמצעות המנגנון מעקב אחר גישה”Security Alarmלקבצים רגישים “
22שיינקין ייעוץ בע”מ
סוגי מזהים שם משתמש או מספרUICמצב גישה
LOCALDIALUPREMOTENETWORKBATCHDETACH
מזהים מיוחדים לפי הגדרת מנהל המערכת
23שיינקין ייעוץ בע”מ
אופציותDEFAULT
מוגדר עבור ספריות כברירת מחדל לקבצים חדשיםבספריה
PROTECTED ניתן למחיקה רק באופן פרטני ולא כחלק ממחיקה
גורפתPROPAGATE
יועתק לגרסאות חדשותNONE
ללא תכונות מיוחדות
24שיינקין ייעוץ בע”מ
ACLדוגמה לשימוש ב- $set file dua0:[users]ofer.dir /acl=
(identifier=[210,*],options=default+protected,access=read+write+control)
25שיינקין ייעוץ בע”מ
מעקב ודיווחמעקב אירועים
גישה מוצלחת כשלון בגישה
דיווח בזמן אמת לקב”ט / נאמן בטחון
26שיינקין ייעוץ בע”מ
מעקב אירועיםקביעת חתך אירועים על ידי הפקודה
set audit /alarm /enable=)…(סוגי אירועים
כניסה למערכתגישה לקבציםשינוי הגדרות משתמשיםשינוי הגדרות ותצורת מערכתהחלפת סיסמה -התקנת תוכניות בInstall
27שיינקין ייעוץ בע”מ
דיווח בזמן אמתהגדרת מסוף לקבלת דיווח בזמן אמת
reply /enable=SECURITYבדרך כלל יוגדר עבור
)מנהל האבטחה )קב”ט / נאמן בטחוןמפעיל
28שיינקין ייעוץ בע”מ
מניעת שימוש חוזר בדיסק הגנה על מידע “מחוק” בדיסק מפני שימוש לא
מורשהנדרשת הגנה על המידע בשתי רמות
בזמן עבודת המערכתבקריאה על ידי מתקן מיוחד
מבוצע על ידי כתיבה מחדש של אפסים עלהדיסק
שני סוגי מחיקה מחיקה בעת ביטול הקובץERASE מחיקה בעת הקצאה מחדשHigh Water Marking
29שיינקין ייעוץ בע”מ
הגדרת מחיקה בפועל מחיקה בעת ביטול הקובץErase on Delete
מתבצעת ברמת הדיסק או הקובץניתנת להגדרה כמאפיין לפקודת המחיקה
מחיקה בהקצאה מחדשHighWater Markingמוגדרת ברמת הדיסקלא מתבצעת עד שהבלוק אינו מוקצה מחדש