Trusted Solaris

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 13:44, 29 декабря 2016.
Oracle
TxDtlogo.png
Линейка ОС Solaris
Дата выхода на
производство
1991
Доступно в English
Официальный веб-сайт www.oracle.com/sun/index.html

Trusted Solaris — основанная на Solaris операционная система с гарантированной безопасностью компании Sun Microsystems. Использует модель принудительного контроля доступа.[1]

История

Жизненный путь ОС Solaris начался в 1991 году с выпуска Solaris 2 Operating Environment (прежняя операционная система, SunOS, была переименована в Solaris 1 и поэтому новый продукт Sun сразу получил номер версии 2). Конечно, история Solaris началась не на пустом месте — у компании Sun уже был немалый опыт технологических инноваций в области программного обеспечения (например, сетевая файловая система NFS, ставшая стандартом в мире UNIX-систем).

В декабре 1995 года завершился широкомасштабный процесс сертификации Trusted Solaris — варианта операционной системы Solaris c повышенной безопасностью. В тот момент сертификацию проходили сразу две версии Trusted Solaris: 1.2 (для платформы SPARC) и Trusted Solaris 2.4 (для SPARC и Intel). Отличительными чертами этой ОС стали безопасная оболочка, поддержка технологии NIS+ и файловая система Trusted NFS, отличающаяся от обычного варианта NFS более высокой степенью защиты данных. Незадолго до этого появилась версия «обычного» Solaris 2.5, а вскоре — основанная на ней Trusted Solaris 2.5.

В начале 2000 года была выпущена версия Solaris 8 Operating Environment, а в конце того же года — Trusted Solaris 8 OE.

В 2002 году компания приняла решение, которые многие наблюдатели оценили как спорное. Представители Sun заявили что очередная версия Solaris (Solaris 9) не будет доступна на платформе IA32. Правда, позднее это решение было пересмотрено и началось энергичное продвижение Solaris 9 для платформы x86. Курс на завоевание рынка серверов на базе процессоров Intel не изменился и сегодня, хотя, по словам представителей Sun, присутствие Sun в этом сегменте рынка все еще близко к нулю — лишь около 600 компаний используют Solaris на платформе IA32.[2]

Безопасность

Trusted Solaris — первая корпоративная операционная система, получившая сертификат безопасности EAL4+ (Evaluation Assurance Level, уровень оценки безопасности, выдаваемый правительственными организациями США в рамках программы Common Criteria (www.radium.ncsc.mil/tpep/library/ccitse/). По результатам сертификации операционным системам присваиваются баллы от EAL1 (самая небезопасная) до EAL7 (самый высокий уровень безопасности ОС).

Мандатный контроль доступа

Кроме обычного, дискреционного (добровольного) контроля доступа в Trusted Solaris реализован мандатный (обязательный) контроль (нечто похожее есть и в SELinux). Мандатный контроль основан на системе меток и разрешений (clearances). Метки и разрешения определяют уровень конфиденциальности файлов и групп пользователей, которым разрешен доступ к этим файлам. Каждый файл в файловой системе Trusted Solaris автоматически помечается меткой, которая рассматривается как дополнительный атрибут файла. Метки также контролируют доступ к ресурсам, связанным с устройствами, таким как сетевая подсистема или экранный буфер. Кроме того, метки можно назначать сообщениям электронной почты и документам, посылаемым на печать. При попытке доступа какого-либо процесса к какому-либо ресурсу система сравнивает метки процесса и ресурса и на основании результатов сравнения разрешает или не разрешает доступ. Метки образуют иерархическую систему: метка с более высоким приоритетом доминирует над меткой с более низким приоритетом.

Роли

Роли можно сравнить с учетными записями, разделяемыми несколькими пользователями. Пользователи, зарегистрировавшиеся в одной и той же роли, имеют доступ к общему домашнему каталогу роли, работают в одной и той же среде окружения и имеют доступ к одним и тем же файлам. Хотя роль может использоваться несколькими разными пользователями, она не позволяет пользователям оставаться анонимными — прежде чем «принять роль» пользователь должен зарегистрироваться в своей учетной записи. Полученный при этом идентификатор применяется затем для фиксирования действий пользователя в выбранной им роли (и определяет, какие роли доступны данному пользователю). Пользователь не может перейти непосредственно из одной роли в другую, для этого необходимо сначала вернуться в свою учетную запись. Роли дают администратору системы возможность предоставлять пользователям общий доступ к определенным ресурсам, не теряя контроля над идентичностью. В традиционной UNIX-системе администратор для предоставления нескольким пользователям доступа к одним и тем же ресурсам, включая общий домашний каталог, переменные окружения и т.п., должен создать специальную учетную запись и предоставить пользователям ее реквизиты. Но пользователи, регистрирующиеся под одной и той же учетной записью, с точки зрения системы неразличимы. Роли Trusted Solaris позволяют создавать общую учетную запись и при этом различать работающих в ней пользователей.

Профили

Профили — группы дополнительных прав, которые можно присваивать учетным записям пользователей или ролевым учетным записям. Профили позволяют предоставить отдельным пользователям или участникам определенной роли доступ к отдельным командам, недоступным пользователям с обычным уровнем привилегий. Смысл профилей заключается в том, что пользователи или группы пользователей получают доступ к отдельным привилегированным командам и ресурсам системы без повышения общего уровня их привилегий.

Отличия от Solaris OS

В Trusted Solaris разные функции супер-пользователя разделены между разными учетными записями, каждая из которых защищается своими средствами (или ролями). Благодаря такому подходу, взломщик, обладающий паролем доступа к одной из привилегированных учетных записей, получит доступ лишь к ограниченному числу защищенных ресурсов. Кроме того, злоумышленнику будет гораздо труднее скрыть следы своего пребывания в системе, так как аудит действий пользователей выполняют специальные компоненты системы, неподконтрольные даже большинству привилегированных пользователей.

У разделения прав суперпользователя есть и еще одно преимущество. Все руководства по многопользовательским системам рекомендуют администраторам проводить в режиме суперпользователя как можно меньше времени, и не выполнять, находясь в нем, операций, для которых привилегии суперпользователя необязательны. Причина этих предостережений в том, что можно без всякого злого умысла нарушить работу системы. В Linux и других UNIX-системах эта проблема была отчасти решена путем введения бита suid, позволяющего запускать многие программы, требующие полномочий суперпользователя, не покидая непривилегированной среды, и таким образом ограничить необходимое время пребывания в режиме суперпользователя. Однако у этого подхода есть свои недостатки.

При работе c Trusted Solaris можно обнаружить, что в системе есть роль root, соответствующая суперпользователю, однако эта роль применяется только в процессе установки и первичной настройки системы — далее ни один пользователь не может принять роль root.

Еще один важный элемент системы безопасности — безопасная графическая оболочка. Графический сервер X Window устроен так, что пользователь, работающий в непривилегированной среде, может получить контроль над программами, обладающими полномочиями суперпользователя (например, suid-программами). Проблема заключается в том, что концепции suid-программ и X-сервера разрабатывались в расчете на безопасную среду, находящуюся под контролем одного пользователя. В качестве решения можно было бы предложить полный отказ от присвоения статуса suid графическим приложениям, однако это снизило бы удобство пользования системой. Вместо этого в Trusted Solaris разработана защищенная графическая оболочка, не позволяющая одним программам получать контроль над окнами других программ.

Третье существенное отличие Trusted Solaris заключается в возможности контроля доступа к периферийным устройствам. В качестве примера можно привести гибкую систему авторизации при работе со съемными носителями данных и дополнительные меры по защите очередей печати — доступ к таким очередям ограничен, чего, кстати, так не хватает в ОС Linux. Кроме того, существует возможность организации обязательного сравнения метки документа, отправляемого на печать, с меткой принтера, позволяющего гарантировать, что конфиденциальные документы будут распечатаны только на доверенных принтерах.

Источники

  1. Википедия [Электронный ресурс]: Trusted Solaris / Дата обращения: 17.12.2016. — Режим доступа: https://ru.wikipedia.org/wiki/Trusted_Solaris
  2. Открытые системы [Электронный ресурс]: Новая жизнь Solaris / Дата обращения: 17.12.2016. — Режим доступа: http://www.osp.ru/os/2004/11/184782

Ссылки