Защита информации в сетях IBM OS/2 Warp LAN Server

Конфигурацию LAN Server (далее сервер) можно настроить таким образом, что невозможно будет увидеть и редактировать информацию на сервере, кроме как из допущенных для этого программ. Тем более нельзя скопировать или удалить. Это утверждение я попытаюсь сейчас доказать на конкретном промере.

Исходная информация

Существует диск W: и на нём каталог KADR, где находится база данных "Кадры" и kadr.exe -- файл для её обработки (в моем случае написанный на FoxPro 2.5). Требуется пользователю разрешить работать с базой, но так, чтобы он не видел файлов и каталога, где они хранятся, кроме как из допущенной для этого программы.

Настройка сервера

  1. Создайте группу пользователей GR_KADR, которые будут иметь право доступа к базе данных.
  2. Создайте алиас для диска W:, назовём его DISKW. Никаких прав на него никому давать не надо.
  3. Создайте алиас для каталога W:\KADR, назовем его WKADR$.
    ВНИМАНИЕ! ЗНАК $ В КОНЦЕ НАЗВАНИЯ АЛИАСА СКРОЕТ ЕГО ОТ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ И СДЕЛАЕТ ЕГО НЕВИДИМЫМ В "СЕТЕВОМ ОКРУЖЕНИИ" WINDOWS, OS/2 И ДЛЯ КОМАНД NET.
    Иначе:
    net view \\server - получаем список всех ресурсов, предоставленных сервером
    net use x: \\server\wkadr - и все труды напрасны.
    Храните имя алиаса в тайне, более чем пароль. А то :
    net use x: \\server\wkadr$ - дыра в Вашей защите.
  4. На алиас WKADR$ дайте права группе GR_KADR, можете все -- это дело не меняет.
  5. Создайте приложение DOS&Windows. Укажите, что находится оно на алиасе DISKW в каталоге \KADR, спланируйте в букву W:
  6. Создайте пользователя. Разрешите ему созданное приложение и включите его в группу GR_KADR.
  7. Проделав это для каждого приложения, в дальнейшем Вы сможете просто включать нового пользователя в ту или иную группу для получения доступа к запуску приложения. Если exe-файл находится на локальном диске, то можете написать bat-файл с одной строкой C:\KADR\kadr.exe или pif-файл для windows-задач и поместить их на сервер.

Итог

Пользователь сможет запускать приложение (IBM LAN Client for Window или DOS). При запуске приложения будет планироваться DISKW, на который прав у пользователя нет. Поэтому даже при открытой программе нельзя увидеть содержимое диска. При закрытии программы буква диска освобождается. При открытии из сетевого окружения DISKW пустой. Команда net view не показывает алиас WKADR$.

Дополнительно.

Диск W: в моём случае был на сервере NetWare 5.0 (ZENWorks - отдыхает). Чтобы "зашаривать" сетевые диски, надо подключатся к серверу Netware раньше выполнения команды net start srv. Вот мой CMD: 
call d:\netware\login.cmd
NET START SERVER
if errorlevel 2 D:\IBMLAN\NETPROG\lserr.exe
d:\muglib\logon.exe ROMAN /P:password
EXIT
где login.cmd : 
attach2 OASU ADMIN password
map root F:=OASU/SYS:\
map root H:=OASU/DATA:\DISKH
map root G:=OASU/DATA:\DISKG
map root J:=OASU/DATA:\DISKJ
map root K:=OASU/DATA:\DISKK
map root L:=OASU/DATA:\DISKL
map root U:=OASU/DATA:\DISKU
map root W:=OASU/DATA:\DISKW
map root N:=OASU/DATA:\DISKN
Далее создаете алиасы для сетевых дисков и т. д.

Дополнительные меры по защите (паранойя)

  1. Никому не говорите свой пароль :-)
  2. Никому не говорите и не показывайте имена алиасов.
  3. Для повседневной работы создайте себе пользователя без прав администратора. Администратором работайте только для изменения настроек сервера.
  4. Не администрируйте сервер в чьем либо присутствии.
  5. Разрешите пользователям подключатся только с определенных станций. Запретите им самим менять свои пароли.
  6. Включите блокировку сервера при загрузке.
  7. Переименуйте файл lock.rc или спрячьте его. Удалите или переместите из каталога X:\OS2\BOOT файлы ALTF1*.*
  8. Используйте файловые системы HPFS386 или JFS.
Роман Попов

Интересные ссылки:
Комментариев к странице: 0 | Добавить комментарий
Домой | Проект ядро Core/2 | Проект OS/4 Download | Новости | Гостевая книга | Подробно обо всем | Нужные программы | Проекты | OS/2 FAQ | Всячина | За и Против | Металлолом | #OS2Russian | RDM/2 | Весёлые картинки | Наша галерея | Доска объявлений | Карта сайта | ПОИСК | ФОРУМ