МТУСИ, программное обеспечение систем управления (контрольная работа)

Основные требования по оформлению Отчета по контрольной работе

В Отчете по контрольной работе должны содержаться:

1. Название контрольной работы и цель работы.

2. Результаты выполнения каждого пункта контрольной работы с теоретическими и экспериментальными результатами.

3. Выводы по результатам выполнения контрольной работы.

В качестве программного обеспечения используются: ОС Astra Linux.

ЗАДАНИЕ НА КОНТРОЛЬНУЮ РАБОТУ

Цель работы: Освоить администрирование основных параметров мандатного управления доступом и мандатного контроля целостности в ОССН с применением графических утилит и консольных команд.

Порядок выполнения работы

1. Начать работу со входа в ОССН в графическом режиме с учётной записью пользователя user (уровень доступа — 0, неиерархические категории — нет, уровень целостности — «Высокий»).

2. Запустить графическую утилиту редактирования учётных записей пользователей «Политика безопасности» через меню «Панель управления» главного пользовательского меню.

3. Модифицировать параметры мандатного управления доступом, для этого осуществить следующие действия:

· открыть раздел «Мандатные атрибуты», «Уровни конфиденциальности» и выбрать «0»: Уровень_0» и переименовать данный уровень доступа: «Уровень0»;

· выполнить создание уровня доступа с именем «Уровень_4», задав значение равное 4, после чего проверить наличие записи «Уровень_4» в списке «Уровни конфиденциальности»;

· выполнить обратное переименование: «Уровень 0» в «Уровень_0».

4. Создать учётную запись пользователя user1, установив максимальный уровень доступа: «Уровень_4».

5. Выполнить удаление уровня доступа 4 из раздела «Уровни конфиденциальности» путём выбора в контекстном меню пункта «Удалить».

6. Открыть учётную запись пользователя user1 и в вкладке «МРД» в элементе «Максимальный уровень» проверить отсутствие записи имени уровня, при этом, в списке выбора уровня «Уровень_4» также будет отсутствовать.

7. Вывести в терминал Fly параметры мандатного управления доступом для учётной записи пользователя user1. Для этого выполнить следующие действия:

· запустить терминал Fly и перейти в каталог /etc/parsec/macdb;

· прочитать параметры учётной записи user1 командой sudo grep “^user1:” *;

· определить максимальный уровень доступа учётной записи user1 командой sudo grep “user1:” * | cut -d : -f 5;

· определить минимальный уровень доступа учётной записи user1 командой sudo grep “user1” * | cut -d : -f 3 и проверить его соответствие данным, отображаемым в графической утилите «Политика безопасности».

8. Создать неиерархические категории с использованием графической утилиты «Политика безопасности». Для этого выполнить следующие действия:

· в разделе «Категории» удалить исходные неиерархические категории;

· затем создать новую неиерархическую категорию с именем «Otdel1»,

«Разряд» – 0;

· разделе «Категории» создать новые неиерархические  категории:

«Otdel2» («Разряд» – 1), «Upravlenie» («Разряд» – 2).

9. Изменить набор неиерархических категорий с использованием графической утилиты «Политика безопасности», для этого выполнить следующие действия в разделе «Категории»:

· выбрать неиерархическую категорию «Otdel1» и ввести наименование «Отдел_1»;

· аналогично переименовать неиерархические категории «Otdel2» и «Upravlenie» в «Отдел_2» и «Управление», соответственно;

· проанализировать возможность одновременного изменения элемента «Разряд».

10. Изменить мандатный уровень доступа с использованием графической утилиты «Политика безопасности», для этого выполнить следующие действия:

· создать новую группу с именем «office1» и задать первичную группу учётной записи пользователя user1 — «office1»;

· создать новую учётную запись пользователя user2 и установить её первичную группу «office1»;

· в вкладке «Дополнительные» осуществить попытку выбора минимального набора неиерархических категорий — «Отдел_2», и проанализировать результат;

· в вкладке «Дополнительные» выбрать максимальный уровень доступа — «Уровень_3», максимальный набор неиерархических категорий — «Отдел_2», после чего задать минимальный набор неиерархических категорий — «Отдел_2»;

· открыть параметры учётной записи пользователя user1 и выбрать максимальный уровень доступа — «Уровень_3», максимальный набор неиерархических категорий «Отдел_1», минимальный набор неиерархических категорий — «Отдел_1»;

· создать учётную запись пользователя rukoffice1 и задать первичную группу: «office1»;

· в вкладке «Дополнительные» выбрать максимальный уровень: «Уровень_3»,

· максимальный набор категорий: «Отдел_1», «Отдел_2», «Управление».

11. Создать общий каталог для работы от имени учётных записей пользователей user1, user2, rukoffice1 в каталоге /home/work. При этом, для работы от имени учётных записей пользователей с наборами неиерархическими  категорий  равными  «Отдел_1»,  «Отдел_2»  и «Управление» выделить отдельные каталоги «otdel1», «otdel2» и «upr», соответственно. При этом обеспечить хранение файлов с различными уровнями конфиденциальности в каталогах с использованием специального атрибута CCNR, для чего осуществить следующие действия:

· запустить терминал Fly в «привилегированном» режиме командой sudo fly-term;

· создать каталог work и задать параметры мандатного и дискреционного управления доступом командами:

mkdir /home/work

chown user:office1 /home/work chmod 750 /home/work

pdpl-file 3:0:Отдел_1,Отдел_2,Управление:ccnr /home/work

· создать каталог для работы от имени учётных записей пользователей с набором неиерархических категорий равным «Отдел_1» и задать параметры мандатного и дискреционного управления доступом командами:

cd /home/work mkdir otdel1

chown user1:office1 otdel1 chmod 770 otdel1 pdpl-file 3:0:Отдел_1:ccnr otdel1

· создать каталог для работы от имени учётных записей пользователей с набором неиерархических категорий равным «Отдел_2» и задать параметры мандатного и дискреционного управления доступом командами:

mkdir otdel2

chown user2:office1 otdel2 chmod 770 otdel2 pdpl-file 3:0:Отдел_2:ccnr otdel2

· создать каталог upr для работы от имени учётных записей пользователей с набором неиерархических категорий равным «Управление» командами:

mkdir upr

chown rukoffice1:office1 upr chmod 770 upr pdpl-file 3:0:Управление:ccnr upr

· создать вложенные каталоги У1, У2, У3 в каталогах otdel1, otdel2, upr

командой:

mkdir {otdel{1,2},upr}/У{1,2,3}

· установить для каталогов otdel1, otdel2, upr необходимые уровни (см. команды для каталога upr):

pdpl-file 1:0:Управление:0 /home/work/upr/У1 pdpl-file 2:0:Управление:0 /home/work/upr/У2 pdpl-file 3:0:Управление:0 /home/work/upr/У3

chown rukoffice1:office1 upr/У{1,2,3} chmod 770 upr/У{1,2,3}

12. Выполнить последовательные входы в ОССН с учётной записью пользователя user1 (неиерархическая категория — «Отдел_1», уровни доступа 1, 2, 3). При работе на уровнях доступа 1, 2 и 3 создать в каталоге /home/work/otdel1/уровеньX файлы с именами 11.txt, 12.txt, 13.txt, соответственно, и установить дискреционные права доступа с разрешением на запись и чтение для группы office1 в графическом файловом менеджере Fly (fly-fm).

13. Выполнить последовательные входы в ОССН с учётной записью пользователя user2 (неиерархическая категория — «Отдел_2», уровни доступа 1, 2, 3). При работе на мандатных уровнях доступа 1, 2 и 3 создать в каталоге /home/work/otdel2/уровеньX файлы с именами 21.txt, 22.txt, 23.txt, соответственно, и установить дискреционные права доступа с разрешением на запись и чтение для группы ofice1 в файловом менеджере Fly.

14. Войти в ОССН с учётной записью пользователя rukofice1 (уровень доступа — 3, неиерархическая категория — «Отдел2») и проверить возможность получения следующих доступов к файлам: доступ на чтение к файлам 21.txt, 22.txt, 23.txt, доступ на запись к файлу 23.txt.

15. Войти в ОССН с учётной записью пользователя rukofice1 (уровень доступа — 2, неиерархическая категория — «Отдел_1») и проверить возможность получения следующих доступов к файлам: доступ на чтение к файлам 11.txt, 12.txt, доступ на запись к файлу 12.txt.

16. Войти в ОССН с учётной записью пользователя rukofice1 (уровень доступа  —  3,  набор  неиерархических  категорий  —  «Отдел_1», «Отдел_2», «Управление») и проверить возможность получения доступа на чтение к файлам 11.txt, 12.txt, 13.txt, 21.txt, 22.txt, 23.txt.

17. Войти в ОССН с учётной записью пользователя rukofice1 (уровень доступа — 3, неиерархическая категория — «Управление»). Создать файл u3.txt в каталоге /home/ work/upr/У3.

18. Войти в ОССН с учётной записью пользователя rukofice1 (уровень доступа — 3, набор неиерархических категорий: «Отдел_1», «Отдел_2», «Управление») и проверить возможность получения следующих доступов к файлам: доступ на запись к файлу u3.txt, доступ на чтение к файлам u3.txt, 11.txt, 12.txt, 13.txt, 21.txt, 22.txt, 23.txt.

19. Для доступа к терминалу Fly настроить включение учётных записей пользователей user1, user2, rukofice1 во вторичную группу astra-console. Это позволит данным учётным записям пользователей запускать терминал Fly с использованием комбинации Win+R.

20. Вывести в терминал Fly параметры мандатного управления доступом и мандатного контроля целостности для учётных записей пользователей. Для этого выполнить следующие действия:

· войти в ОССН с учётной записью пользователя rukoffice1 (уровень доступа  –  2,  набор  неиерархических  категорий:  «Отдел_1», «Управление»);

· в терминале Fly выполнить команду pdp-id -a, проанализировать результат;

· выполнить избирательный вывод параметров мандатного управления доступом (с числовыми значениями) командами pdp-id -l и pdp-id -c;

· выполнить избирательный вывод параметров мандатного управления доступом (с именами) командами pdp-id -ln и pdp-id -cn.

21. Изменить параметры мандатного управления доступом и мандатного контроля целостности учётной записи пользователя rukoffice1. Для этого выполнить следующие действия:

· войти в ОССН с учётной записью пользователя user (уровень доступа — 0, неиерархические категории — нет, уровень целостности — «Высокий») и запустить терминал Fly в «привилегированном» режиме командой sudo fly-term;

· изменить минимальный и максимальный уровни доступа учётной записи пользователя rukoffice1 командой pdpl-user -l 0:2 rukoffice1, а также минимальный и максимальный наборы неиерархических категорий пользователя rukoffice1 командой pdpl-user -c 0:2 rukoffice1;

· обнулить значения уровней доступа и наборов неиерархических категорий в параметрах учётной записи пользователя rukoffice1 командой pdpl-user -z rukoffice1;

· установить значения уровней доступа и наборов неиерархических категорий в параметрах учётной записи пользователя rukoffice1 командой pdpl-user -l 1:3 -c 0:7 rukoffice1.

22. Считать параметры мандатного управления доступом и мандатного контроля целостности учётной записи пользователя rukoffice1 из файлов настроек. Для этого выполнить следующие действия:

· перейти в каталог /etc/parsec/macdb и считать минимальный и максимальный уровень доступа командами grep “rukoffice1” * | cut -d : -f 3 и grep “rukoffice1” * | cut -d : -f 5, соответственно;

· считать минимальный и максимальный наборы неиерархических категорий командами grep “rukoffice1” * | cut -d : -f 4 и grep “rukoffice1” * | cut -d : -f 6, соответственно.

23. Создать и модифицировать мандатные уровни доступа, осуществив следующие действия:

· вывести в терминал созданные уровни доступа командой userlev и сравнить полученные данные с настройками в утилите «Политика безопасности»;

· добавить новый уровень доступа с именем «Уровень_4» (значение 4) командой userlev Уровень_4 --add 4 и вывести в терминал уровни доступа командой userlev;

· выполнить переименование уровня доступа «Уровень_4» в «НовыйУровень» командой userlev Уровень_4 --rename НовыйУровень;

· добавить возможность работы от имени учётной записи пользователя rukoffice1 на уровне доступа 4 командой pdpl-user -l 1:4 rukoffice1;

· выполнить попытку изменения значения уровня доступа «НовыйУровень» на 3 командой userlev НовыйУровень --modify 3, проанализировать результат;

· изменить значение уровня доступа «НовыйУровень» на 5 командой userlev НовыйУровень --modify 5 и вывести в терминал максимальный уровень доступа учётной записи пользователя rukoffice1 командой pdpl- user rukoffice1, проанализировать результат;

· установить максимальный уровень доступа учётной записи пользователя rukoffice1 равным 5 командой pdpl-user -l 1:5 rukoffice1;

· удалить уровень доступа с именем «НовыйУровень» командой userlev НовыйУровень -d и определить максимальный уровень доступа учётной записи пользователя rukoffice1 командой pdpl-user rukoffice1, проанализировать результат;

· восстановить набор неиерархических категорий и уровней доступа учётной записи пользователя rukoffice1 командой pdpl-user -l 1:3 -c 0:7 rukoffice1.

24. Создать и модифицировать неиерархические категории:

· в терминале Fly, запущенном в «привилегированном» режиме, вывести неиерархические категории командой usercat;

· добавить новую неиерархическую категорию командой usercat otdel3 -- add 0x8;

· переименовать неиерархическую категорию «otdel3» в «Отдел_3» командой usercat otdel3 --rename Отдел_3;

· осуществить попытку модификации наборов неиерархических категорий учётной записи пользователя rukoffice1 командой pdpl-user -c 0:15 rukoffice1, проанализировать результат;

· добавить неиерархическую категорию «Отдел_3» в наборы неиерархических категорий учётной записи пользователя rukoffice1 командой pdpl-user -c 3:F rukoffice1, обратить внимание на то, что неиерархическая категория задаётся в шестнадцатеричном формате;

· осуществить попытку изменения значения неиерархической категории «Отдел_3» на значение 2 командой usercat Отдел_3 --modify 2, проанализировать результат;

· изменить значение неиерархической категории «Отдел_3» на 0x10 командой usercat Отдел_3 --modify 10;

· изменить значение неиерархической категории «Отдел_3» на 0x20 командой usercat Отдел_3 --modify 0x20, обратить внимание на то, что независимо от указания типа числа по префиксу «0x» (десятичное или шестнадцатеричное) значение неиерархической категории задаётся в шестнадцатеричном формате;

· удалить неиерархическую категорию «Отдел_3» командой usercat Отдел_3 --delete;

· изменить значение неиерархической категории «Управление» на 0x10 командой usercat Управление --modify 10, проанализировать результат по данным, выводимым командой pdpl-user rukoffice1;

· изменить значение неиерархической категории «Управление» на 4 командой usercat Управление --modify 4.

25. Для настройки привилегий учётных записей пользователей осуществить следующие действия:

· вывести в терминал заданные в ОССН привилегии учётных записей пользователей  командой  usercaps, при работе в терминале Fly  в «привилегированном» режиме;

· запустить графическую утилиту «Политика безопасности» и открыть настройки учётной записи пользователя user1, в вкладке «Привилегии» установить Linux- привилегии cap_kill, cap_fowner и PARSEC-привилегии parsec_cap_chmac, parsec_cap_sig, после чего закончить работу с утилитой;

· вывести  привилегии  учётной  записи  пользователя  user1  командой usercaps user1;

· в графической утилите «Политика безопасности» открыть параметры учётной записи пользователя user, в вкладке «Привилегии» выбрать Linux-привилегии cap_kill, cap_fowner и PARSEC-привилегии parsec_cap_chmac, parsec_cap_sig;

· запустить терминал Fly в «непривилегированном» режиме командой fly- term и осуществить попытку запуска команды usercaps;

· определить расположение файла usercaps командой which usercaps, выполненной из «привилегированного» режима, а затем выполнить в «непривилегированном» режиме команду /usr/sbin/usercaps, проанализировать результат;

· запустить терминал Fly в «привилегированном» режиме командой sudo fly-term и выполнить модификацию Linux-привилегий и PARSEC- привилегий командами: usercaps -l 9 user1 usercaps -m 2 user1 usercaps -m 11 user1

· с использованием графической утилиты «Политика безопасности» определить установленные привилегии и формат параметра модификации привилегий учётных записей пользователей (десятичная, восьмеричная или шестнадцатеричная система счисления при этом используется?);

· установить для учётной записи пользователя user1 полный список привилегий командой usercaps -f user1, затем удалить все привилегии учётной записи пользователя user1 командой usercaps -z user1;

· вывести списки Linux-привилегий и PARSEC-привилегий командами usercaps -L и usercaps -M, соответственно.

ТРЕБОВАНИЯ К СТРУКТУРЕ И СОДЕРЖАНИЮ КОНТРОЛЬНОЙ РАБОТЫ

Контрольная работа состоит из титульного листа, содержания, введения, основной части, заключения, списка использованных источников и литературы и приложений.

Образец оформления титульного листа контрольной работы приведён в Приложении В.

Содержание должно составляться автоматически, при помощи встроенных возможностей текстового редактора. Заголовки третьего и более уровней не выносятся в содержание и не нумеруются. Выводы после каждой главы выносятся в содержание, но не нумеруются.

Во введении описывается:

– актуальность работы, т.е. обоснование того, что тема и результаты работы востребованы в предметной области;

– цель и задачи работы;

Основная часть включающая в себя решение поставленных задач

Заключение содержит:

– основные результаты, полученные в ходе выполнения контрольной работы;

– краткий самоотчёт о том, какие знания, умения и навыки были получены вами в ходе выполнения контрольной работы.