Программное обеспечение ПКРефераты >> Кибернетика >> Программное обеспечение ПК
Защита файлов и каталогов с помощью атрибутов подразумевает взвешенное назначение права модификации, позволяющего снимать сдерживающие атрибуты.
Проверка надежности системы безопасности осуществляется утилитой SE-CURITY.EXE, хранящейся в SYS:SYSTEM. Она выявляет пользователей, для которых не требуется пароля или имеющих ненадежный пароль (совпадающий с именем, короче 5 символов или со сроком использования более 60 дней, а также без требования уникальности), пользователей, эквивалентных по защите SUPERVISOR, или имеющих права в корневых каталогах, или имеющих чрезмерные права в каталогах SYS:SYSTEM, SYS:LOGIN, SYS:PUBLIC, SYS:MAIL.
Для обычной работы в сети администраторам системы и рабочих групп следует создавать отдельные имена регистрации - бюджеты без чрезвычайных привилегий, чтобы их станцией, случайно оставленной в зарегистрированном состоянии, не смог воспользоваться нарушитель с целью завладения дополнительными правами (при выполнении задач администрирования можно и повысить бдительность).
Чтобы не попасть в ловушку при утере пароля, SUPERVISOR может назначить пользователю, которому он абсолютно доверяет, эквивалентность себе по защите или, что безопаснее, назначить его менеджером своего бюджета.
Также рекомендуется иметь на дискете копию Bindery, в которой SUPERVISOR не имеет пароля, и при необходимости восстановить ее с помощью BINDREST.EXE (правда, для этого нужно получить доступ в SYSrSYSTEM по записи, но это можно и обойти).
Отражение и дублирование сервера
Надежность хранения данных обеспечивается встроенными средствами SFT операционной системы. Более высокий уровень отказоустойчивости обеспечивается применением SFT III - операционной системы с зеркальным сервером. Эта система подразумевает наличие сервера-дублера, совпадающего с основным сервером по объему оперативной (не менее 12 Мбайт) и дисковой памяти, подключенным локальным сетям и даже по применяемому видеоадаптеру. Серверы связываются между собой через специальные скоростные MSL (Mirrored Server Link) адаптеры по специальной линии связи. В зависимости от модели MSL-адаптера и линии связи (коаксиал, витая пара или оптоволокно) допускается удаленность серверов от десятков метров до нескольких километров, что обеспечивает живучесть сети даже при пожарах, авариях и стихийных бедствиях.
В нормальном режиме все запросы обслуживаются только основным сервером, a MSL обеспечивает на резервном сервере состояние памяти и дисковой системы, идентичное основному. В случае аварии основного сервера в работу включается резервный. Новая версия оболочки (запросчика) позволяет рабочей станции автоматически (без вмешательства пользователя) переключаться на резервный сервер в случае потери соединения с основным сервером.
Зеркальные серверы позволяют производить техобслуживание, требующее остановки сервера, без прерывания работы пользователей. Вся информация о сбоях и ошибках выводится на консоль и записывается в файл-журнал. SFT III - первый продукт Novell, поставляемый со средствами тестирования, позволяющими имитировать сбои и системные ошибки и анализировать реакцию системы.
SFT Ш в зависимости от версии может вносить ограничения на используемые сетевые продукты. По причине исключительной редкости применения (только в самых ответственных сетях) цена аппаратных и программных средств довольно высокая.
Для NetWare 4.x поддержка зеркального сервера SFT III включена в обычную поставку на CD-ROM и устанавливается опцией утилиты INSTALL.
Дублирование сервера в отличие от SFT Ш является стандартной мерой обеспечения надежности хранения данных и означает периодическое копирование томов (каталогов, файлов) на внешний по отношению к серверу носитель. Дублирование возможно на другой сервер, локальный диск станции (внутренний или сменный), магнитную ленту или дискеты. В случае потери данных на сервере они могут быть восстановлены с копии с сохранением нх сетевых атрибутов, списков доверенных пользователей и групп. В зависимости от требований к надежности и свежести копий применяется различное количество носителей для каждого набора данных и дисциплина их чередования. В любом случае носителей должно быть не менее двух с тем, чтобы всегда была хоть одна целая копия (отказ сервера во время копирования может привести к потере данных и на сервере, и на используемом носителе одновременно).
Сетевой аудит в NetWare 4.x
Аудит в NetWare 4.x позволяет отслеживать действия пользователей по работе с деревом Каталогов NDS, а также события файлов, каталогов, очередей, серверов и пользователей.
Аудит ND8 устанавливает наблюдение за событиями дерева Каталогов, относящимися к данному контейнеру (возможно наблюдение 27 классов событий), выполняемыми определенным списком пользователей разных контейнеров.
Аудит событий файлов и каталогов позволяет отслеживать открытие, закрытие, создание, удаление, восстановление, чтение, запись, перемещение и модификацию. Возможен сбор информации о событиях, вызванных любыми пользователями (Global Events), о событиях, связанных с определенным файлом и определенным пользователем (User and File events), и о событиях, связанных с действиями любых пользователей над данным файлом или выбранных пользователей над любыми файлами (User or File Events).
События очередей печати включают создание, удаление и изменение очередей, создание и обслуживание заданий печати.
События сервера включают изменение даты и времени, остановку и загрузку сервера, монтирование и размонтирование томов и некоторые другие.
Пользовательские события включают вход и выход из сети, изменение учетной информации.
При просмотре или создании файлов отчетов для сокращения объема выводимой информации могут применяться фильтры пользователей и событий.
Аудит объектов назначается администратором, и после передачи паролей аудиторам (можно и нескольким) управляется ими. Все действия по системе аудита выполняются только с помощью утилиты AUDITCON.EXE.
Для обеспечения возможности одновременной работы не-скопьких аудиторов в опциях AUDITCON необходимо установить Allow Concurrent Auditor Logins.
Аудиторы могут отключать аудит объектов, но дпя возможности его включения они должны обладать правом SUPERVISOR по отношению к данному объекту.
Система аудита сугубо пассивная, она не ограничивает действий пользователей, а только наблюдает за ними.
Управление доступом к файпам и каталогам
Конечной задачей файл-сервера является предоставление пользователям доступа к файлам и каталогам, расположенным в системе хранения данных сервера. NetWare предоставляет возможность доступа клиентов сети к конкретным файлам и каталогам, а также возможность отображения любого каталога на логический диск рабочей станции - так называемое планирование драйвов (Drive Mapping), осуществляемое сервером по командам MAP или через протокольные вызовы NCP.
NetWare как многопользовательская и многозадачная ОС обеспечивает управление доступом к файлам и каталогам в следующих аспектах: