Процедура контроля доступа к типам привилегий. Файлам и каталогам в ос linux
Подробнее описание разрешений файла
Download 0.73 Mb.
|
|
Подробнее описание разрешений файла.
В моделях безопасности Linux для каждого объекта файловая система существует три типа разрешений: чтение (r), запись (w) и выполнение (x). Разрешение на запись также позволяет изменять или удалять объект. Кроме того, эти разрешения принадлежат отдельно для владельцев файлов, групп файлов и для всех остальных. В столбце листинга используется строка из 11 символов. Одиннадцатый символ был введен не так давно, о нем будет рассказано ниже. Первый символ использования типа объекта (в этом символе «-» означает стандартный файл – rw-r–r–.), часто встречающиеся символы встречаются три группы по три символа в каждом. Первая группа дает разрешение на чтение, запись и выполнение для владельца файла. «Символ-» означает, что данное разрешение не предоставлено ( -rw – r–r–.). Таким образом, пользователь rustam может читать и записывать в файл .bashrc, но не выполнять его, тогда как пользователь root может читать, записывать и запускать файл only.for.root. Вторая группа дает разрешение на чтение, запись и выполнение для группы файла (например, -rw- rw –р-.). Члены группы development могут читать и записывать в файл helloworld.C (который принадлежит rustam), а все остальные пользователи системы (третья группа) могут только читать его (-rw-rw- r — .). Аналогично, члены группы root и все остальные группы могут читать или выполнять файл only.for.root. Для каталогов используются те же самые разрешенные флаги, что и для обычных файлов, но они интерпретируются по-другому. Пользователи, получившие разрешение на чтение каталогов, содержат содержимое ее содержимого. Пользователи, получившие разрешение на запись в каталог, создают и извлекают из нее файлы. Пользователи, получив разрешение на выполнение, могут войти в директорию и во все ее поддиректории. При отсутствии разрешений на выполнение, файловой системы, доступной в каталогах. При отсутствии разрешений на чтение объектов файлов системы, доступных внутренних каталогов, доступных для просмотра при выводе файлов каталогов, но можно получить доступ, уникальный полный путь. [rustam@dushanbe ~]$ ls -l /home всего 32 drwxr-x---. 38 тест тест 12288 30 ноя 10:49 редактор drwxr-xr-x. 41 рустам рустам 4096 ноя 30 10:51 я Первый символ Первый символ в подробном выводе содержит описание каталога, использующего тип объекта (d означает каталог). Вывод команды ls -l может предоставить объекты файловой системы, отличные от файлов и каталогов, которые можно определить по первому символу листинга. Другие типы объектов файловой системы: Код Тип объекта – Обычный файл d Директория l Символическая ссылка c Специальное символьное устройство b Специальное блочное устройство p Буфер FIFO с Сокет Одиннадцатый символ Одиннадцатый символ в выводе команды ls (-rw-r–r– . ) является новым введением, поэтому в некоторых дистрибутивах он не участвует. В других случаях одиннадцатым символом может быть его пробел, поэтому его можно не обнаружить. Это символ опасности использования альтернативного метода доступа к файлу. Альтернативный метод доступа не используется. Если этот символ является печатным знаком, используется альтернативный метод доступа. Таким методом может являться, например, список контроля доступа. Символ '.' (точка) команда GNU ls означает, что для файла используется только контекст безопасности SELinux (о нем ниже). Файлы, используемые для любых других поисковых альтернативных методов доступа, проверены знаком '+' (плюс). Изменение разрешений Разрешение для файла можно изменять в большом количестве. Для этого используется команда chmod. Предполагается, что необходимо добавить разрешение сценария на исполнение. Для этого используется команда chmod с опцией +x. [rustam@dushanbe ~]$ ls -l /home/rustam -rw-rw-r--. 1 рустам рустам 20 31 марта 2010 run.sh [rustam@dushanbe ~]$ chmod +x run.sh [rustam@dushanbe ~]$ ls -l /home/rustam -rwxrwxr-x. 1 рустам рустам 20 31 мар 2010 run.sh Вероятно, можно использовать +r для установки разрешений на чтение и +w для установки разрешений на запись. обнаружение, можно использовать любые комбинации опций r, w и x. Например, команда chmod +rwx сочетается с файлом разрешения на чтение, запись и выполнение. Запуск chmod в такой форме устанавливает разрешения, которые еще не были установлены. В последнем решении было принято решение для владельцев, группы и всех остальных. Для выборочной установки разрешений можно использовать префиксы u (установка разрешений для пользователя/владельца – u ser), g (установка разрешений для группы – группа ) и o (установка разрешений для всех остальных – другие ). Префикс a (от слова a ll) создается для всех пользователей (что эквивалентно отсутствию какого-либо префикса вообще). В листинге ниже показано, как добавлено разрешение на запись и использование группы исходных файлов сценария. [rustam@dushanbe ~]$ ls -l /home/rustam -r--r--r--. 1 рустам рустам 20 31 марта 2010 run2.sh [rustam@dushanbe ~]$ chmod ug+wx run2.sh [rustam@dushanbe ~]$ ls -l /home/rustam -rwxrwxr--. 1 рустам рустам 20 31 марта 2010 run2.sh Иногда требуется не добавлять разрешения, а отзывать их. Для этого необходимо заменить + на -, и все решения будут приняты. К примеру: [rustam@dushanbe ~]$ ls -l /home/rustam -rwxr-xrw-. 1 рустам рустам 20 31 марта 2010 run2.sh [rustam@dushanbe ~]$ chmod o-rwx run2.sh [rustam@dushanbe ~]$ ls -l /home/rustam -rwxr-x---. 1 рустам рустам 20 31 марта 2010 run2.sh SELinux — это реализация системы принудительного управления доступом доступа (mandatory access control — MAC), в которой все привилегии назначаются администраторами. В среде MAC пользователи не могут делегировать свои права и не могут устанавливать параметры контроля доступа на объекты, которыми они (пользователи) владеют. Когда говорят о SELinux всегда упоминаются субъекты и объекты. То есть SELinux это разрешения и запреты, которые применяются в действиях между субъектами и объектами. Субъекты – это пользователи, которые выполняют какие-либо операции в системе. Часто под субъектами также подразумеваются программы (процессы). Иначе говоря, субъекты это те, кто выполняет некие действия. Объекты — это то, над чем действия выполняются. Чаще всего под объектами подразумеваются файлы данных. Но это могут быть и устройства и даже программы. SELinux поддерживает два режима работы: Permissive – разрешается нарушение политики безопасности. Такие нарушения только регистрируются в системном журнале. То есть по сути SELinux не работает, а только лишь фиксирует нарушения политики безопасности. Enforced – нарушения политики безопасности блокируются. SELinux работает полностью. В этом режиме SELinux дает максимальную защиту. Для того, чтобы перейти в режим Permissive, можно использовать команды setenforce 0 или setenforce Permissive. Например, это может понадобиться при установке некоторых приложений. Download 0.73 Mb. Do'stlaringiz bilan baham: 
|