FreeIPA для организации безопасной корпоративной сети

В связи с последними скандальными разоблачениями Сноудена остро встал вопрос о безопасности корпоративных информационных систем. Опубликованные сведения говорят о том, что во многих проприетарных приложениях были созданы так называемые бэкдоры — уязвимости, которые спецслужбы могли использовать в своих целях. Поэтому многие крупные корпорации сейчас обратили свой взор на проекты с открытым исходным кодом для создания полностью безопасных и неуязвимых от внешних вторжений систем.

Одним их подобных проектов является FreeIPA (Free Identity, Policy and Audit), приложение для создания системы управления корпоративной сетью. FreeIPA развивается силами сообщества разработчиков при активной поддержке Red Hat. С помощью FreeIPA можно настроить аутентификацию пользователей, задать для них различные политики доступа и аудита. По сути, это приложение может заменить собой известные решения Microsoft — Active Directory и Forefront Identity Manager. Разница в том, что это проект с открытым исходным кодом, поэтому используя его для своей информационной системы, можно быть уверенным в безопасности доступа к данным.

Технология KSM (Kernel SamePage Merging)

Понятие разделяемой памяти является общеизвестным в мире современных операционных систем. Например, когда программа запускается впервые, она разделяет всю свою память с родительской программой. Если же дочерняя или родительская программа пытается внести изменения в эту общую память, то ядро выделяет для этого новую область памяти, куда копирует изначальное содержимое и даёт возможность программе вносить изменения уже в эту новую область. Подобная технология известна, как копирование при записи.

Технология KSM (Kernel SamePage Merging) представляет собой новую возможность в Linux, которая использует понятие разделяемой памяти наоборот. KSM даёт возможность ядру исследовать две и более уже запущенных программы, чтобы сравнить их память. Если некоторые области памяти или страницы идентичны, то KSM сводит их в одну (см. Рисунок 1). После этого данная страница помечается флагом «копирование при записи». Если теперь одной из программ нужно изменить содержимое, то для этого создаётся новая страница.

Рисунок 1. Сервис KSM

Графическая оболочка KDE

Проект KDE является набором программного обеспечения (ПО), который был изначально создан как свободный аналог оконным менеджерам MacOS и Windows. Причем по функционалу и скорости работы ничем им не уступающая, а в некоторых случаях даже и превосходящая. В состав графической оболочки KDE входит широкий набор ПО, от средств управления и настройки компьютера, системных библиотек до 3D-игр. Основной код KDE написан на Qt, но широко применяется и Python.

Основные понятия процесса разграничения доступа в информационной системе

Основными понятиями процесса разграничения доступа к объектам информационной системы являются объект доступа, метод доступа к объекту и субъект доступа. Субъекты доступа могут обращаться к объектам доступа с помощью методов доступа.

Модели разграничения доступа

Разграничение доступа — совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы. Также данные правила называют правами доступа или политиками безопасности. Существуют две основные модели разграничения доступа:

• мандатное разграничение доступа;
• дискреционное (избирательное) разграничение доступа.

Мандатное разграничение доступа

В мандатной модели обычные пользователи лишены возможности управлять настройками политик безопасности. Например, возможность доступа к тому или иному объекту определяется уровнем секретности объекта и уровнем доступа пользователя, которые жестко заданы для каждого пользователя и объекта. Данная модель обладает невысокой гибкостью и высокой трудоемкостью настройки политик безопасности, но при этом позволяет достичь высокого уровня управляемости безопасностью.