3.8.4. Настройка загрузчика
Теперь посмотрим, как можно настроить загрузку нового ядра, оставив при этом возможность пользоваться старыми версиями. Для этого нужно отредактировать файл /etc/lilo.conf, добавив в конец файла следующие строки:
image=/boot/vmlinuz-2.6.10
label=Linux Kernel 2.6.10
initrd=initrd-2.6.10.img
read-only
root=/dev/hda0
В первой строке находится путь к ядру. Вы должны указать правильный путь, а точнее, имя файла, которое будет отличаться номером версии. Параметром label задается заголовок нового ядра, который вы будете видеть при загрузке системы. Параметр initrd определяет загрузчик. Последняя строка указывает корневой диск. Введите такое же значение, как и у старого ядра. В вашем загрузчике уже должна быть подобная строка, и она одинакова для обеих систем.
После изменения конфигурационного файла /etc/lilo.conf необходимо прописать изменения в загрузочную область. Для этого выполните команду lilo.
Перезагрузите систему, и теперь при старте компьютера вы сможете выбирать, какое ядро загружать. При этом будут использоваться одни и те же конфигурационные файлы, что очень удобно. Если новое ядро окажется неработоспособным, достаточно перезагрузить компьютер со старым ядром и продолжить работу до выхода обновлений.
3.8.5. Работа с модулями
Преимущество модульной сборки ядра заключается в том, что вы можете изначально включить только самые необходимые функции и тем самым уменьшить потенциальные уязвимости, которыми может воспользоваться хакер. Но при этом мы должны иметь возможность управлять модулями (так же, как и сервисами).
Система должна загружаться только с теми модулями, которые применяются. Все остальные должны подгружаться по мере необходимости и отключаться, когда не используются.
lsmod
С помощью команды lsmod можно увидеть список загруженных модулей. Результат выполнения инструкции имеет примерно следующий вид:
Module Size Used by Not tainted
binfmt_misc 7428 1
autofs 11812 0 (autoclean) (unused)
tulip 42240 1
ipchains 42216 6
ide-cd 30240 0 (autoclean)
cdrom 32000 0 (autoclean) [ide-cd]
ext3 62284 1
jbd 39804 1 [ext3]
modinfo
Очень трудно разобраться, какие модули нужны в системе, а какие нет, А ведь необходимо загружать только то, что действительно используется, иначе увеличивается время старта системы, понапрасну расходуются ресурсы компьютера и т.д. Так как же в этом разобраться? Необходимо знать каждый модуль в лицо и понимать, для чего он нужен.
Получить информацию о модуле помогает команда modinfo. В качестве параметра нужно передать имя интересующего модуля, и на экране будет выведена информация о нем. Например, следующая команда запрашивает у системы информацию о модуле ext3:
modinfo ext3
В ответ на это мы увидим примерно следующее:
filename: /lib/modules/2.4.18-5asp/kernel/fs/ext3/ext3.о
description: "Second Extended Filesystem with journaling extensions"
author: "Remy Card, Stephen Tweedie, Andrew Morton, Andreas Dilger,
Theodore Ts'o and others"
license: "GPL"
parm: do_sync_supers int, description "Write superblocks
synchronously"
Таким образом, нам становятся известными имя и расположения файла, описание, автор, лицензия и т.д. Количество информации сильно зависит от модуля, и если честно, в некоторых случаях она настолько скудная, что предназначение модуля остается непонятным.
modprobe
Эта команда, в основном, используется системой для загрузки установленных модулей, но можно это делать и самостоятельно. В качестве единственного параметра нужно передать команде имя модуля, который нужно загрузить.
Например, следующая команда загружает модуль iptable_nat (о нем мы будем говорить в разд. 4.12):
modprobe iptable_nat
rmmod
Эта команда выгружает модуль, имя которого указано в качестве параметра. Если вы воспользовались модулем для выполнения определенных действий, то не забудьте по окончании работы его выгрузить. Иначе как раз он и может стать причиной взлома.
Глава 4
Управление доступом
Каждый пользователь должен работать в системе под своей учетной записью. Это позволит вам обезопасить свои файлы от чужого вмешательства и по системным журналам определить, когда и кем были произведены разрушительные действия.
Обычному пользователю вы должны выделять ограниченные права, которые позволят выполнять только необходимые операции. Кроме того, вы должны минимизировать количество пользователей с большими привилегиями, потому что такие учетные записи требуют особо пристального внимания и наблюдения. Если под привилегированной учетной записью вошли в систему с компьютера, где владелец записи не мог находиться, то это укажет на потенциальную опасность или взлом.
После увольнения сотрудника вы должны удалить его учетную запись, чтобы недовольный этим фактом он не уничтожил важные данные.
Для работы с командами управления доступом вы должны обладать правами администратора. Для этого можно войти в систему как пользователь root или использовать директиву su. В разд. 4.16 мы рассмотрим еще один способ - использование утилиты sudo.
А теперь перейдем к сути проблемы.
4.1. Права доступа
Давайте вспомним команду ls -al. Она возвращает список файлов в следующем виде:
drwx------ 3 Flenov FlenovG 4096 Nov 26 16:10 .
drwxr-xr-x 5 root root 4096 Nov 26 16:21 ..
-rwxr-xr-- 1 Flenov FlenovG 24 Nov 26 16:10 test
Как мы уже знаем, первая колонка (занимает 10 символов) - это права доступа. Давайте рассмотрим, из чего она состоит. Первый символ указывает на тип записи. Здесь может быть одно из следующих значений:
□ знак тире (-) - обычный файл;
□ буква "d" -- каталог;
□ буква "l" - символьная ссылка;
□ буква "s" - сокет;
□ буква "p" - файл FIFO (First in first out, первый вошел - первый вышел).
После этого в каждой строке идет три группы символов rwx, определяющих права доступа для различных категорий пользователей:
□ первая тройка - владельцу файла;
□ вторая - пользователям, входящим в группу владельца;
□ последняя - всем остальным.
Каждая такая группа состоит из трех символов: r (чтение), w (запись) и x (выполнение). Установленная буква говорит о разрешении соответствующего действия. Рассмотрим несколько вариантов.
Первая строка в нашем примере drwx------. Первый символ d, а значит, это директория. Потом идут три символа rwx, т.е. хозяин файла может читать, записывать и исполнять директорию. Вместо остальных шести символов стоят знаки тире, значит, у пользователей группы FlenovG и у всех остальных нет прав.
Вторая строка - drwxr-xr-x. Это снова директория. Потом стоит комбинация rwx, а значит, владельцу разрешены все операции. Следующая тройка, соответствующая группе, равна r-х, а стало быть, возможно чтение и исполнение. В соответствии с последней тройкой всем остальным пользователем также доступно только чтение и исполнение.
Последняя строка в примере содержит права доступа -rwxr-xr-- для файла (первый символ - это знак тире). Хозяин файла имеет полный доступ к нему (первая тройка rwx). Пользователи группы могут читать и выполнять файл, но не могут его изменять (вторая тройка r-х). Все остальные могут только читать файл (последняя тройка r--).
Права можно воспринимать как последовательность нулей и единиц. Если в определенном месте стоит 1 (указан один из символов r, w или x), то операция разрешена. Если 0 (находится знак тире), то действие запрещено. Давайте попробуем записать права rwxr-xr-- в виде нулей и единиц. Установите вместо букв единицы, а вместо тире - нули. Должно получиться 111101100. Разобьем эту комбинацию на три части 111, 101 и 100. Теперь каждую тройку переведем в восьмеричную систему по следующей формуле:
Цифра1 * 4 + Цифра2 * 2 + Цифра3
У нас получатся три цифры 7, 5, и 4, которые будем рассматривать как десятичное число 754. Запомните его, оно нам пригодится при назначении прав на файлы и каталоги. Чтобы вам в дальнейшем проще было регламентировать доступ, предлагаю все возможные варианты значений для отдельного разряда числа:
□ 0 - запрещено все;
□ 1 - разрешено выполнение;
□ 2 - разрешена запись;
□ 3 - разрешена запись и выполнение;
□ 4 - разрешено чтение;