Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание Частные группы пользователей ССЫЛКА Подробное обсуждение umask можно найти в главе 3. Изменение пользователя/группы ССЫЛКА В главе 4 рассказывается о том, как можно изменить такое поведение для какого-либо каталога.

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Частные группы пользователей

Частные группы пользователей обладают именами, совпадающими с именами пользователей. Частная группа делается группой входа в систему, поэтому по умолчанию, то есть если атрибуты каталога не предписывают ничего другого, она назначается в качестве группы-владельца всех файлов данного пользователя. Таким образом, пользователю david ставится в соответствие группа david, которая назначается группой-владельцем всех файлов этого пользователя.

Преимущество частных групп пользователя состоит в том, что пользователям не нужно думать об ограничении доступа к своим файлам: по умолчанию доступ к пользовательским файлам с самого момента их создания будет ограничен. В OpenLinux, при использовании частных групп пользователь может читать или изменять только принадлежащие ему файлы. Кроме того, создавать файлы он может только в своем домашнем каталоге. Данное поведение по умолчанию может быть изменено системным администратором или пользователем, причем как на уровне отдельного файла, так и на уровне каталога.

Заметим здесь, что по умолчанию переменная umask, которая определяет режим доступа к создаваемому файлу, настроена таким образом, что чтение-запись файла разрешается как владельцу этого файла, так и группе, которой принадлежит файл.


ССЫЛКА

Подробное обсуждение umask можно найти в главе 3.

Если вы используете схему частных групп пользователей, это никак не влияет на поведение базового механизма членства в группах. Если пользователь является членом одновременно нескольких групп, значит, ему доступны файлы, принадлежащие к любой из этих групп. Как это работает, станет ясно из следующих двух глав.


СОВЕТ

Если в вашем ведении находится несколько систем, имеет смысл сделать одну из них основной и скопировать с нее /etc/passwd, /etc/shadow, /etc/groups, /etc/gshadow на остальные системы.

Изменение пользователя/группы

Есть несколько команд, при помощи которых пользователь может управлять своим именем и/или группой, к которой он принадлежит, или именем или группой, от лица которых выполняется программа. Одна из таких программ уже упоминалась ранее. Это newgrp.

Как уже говорилось, команда newgrp может быть выполнена любым пользователем. Она позволяет ему присоединиться к группе, к которой он доселе не принадлежал, но только если этой группе назначен пароль. Данная команда не позволит вам присоединиться к группе без пароля, если вы не являетесь членом этой группы.

Однако команду newgrp можно использовать в отношении группы, членом которой вы уже являетесь. В этом случае newgrp делает указанную группу группой входа в систему. Группы пользователя подразделяются на два типа: группа входа в систему и все остальные группы, к которым принадлежит этот пользователь. Пользователь может принадлежать к нескольким группам, однако группой-владельцем файлов, создаваемых пользователем, всегда будет назначаться группа входа в систему этого пользователя.


ССЫЛКА

В главе 4 рассказывается о том, как можно изменить такое поведение для какого-либо каталога.

Помимо newgrp для управления принадлежностью файла тому или иному пользователю или группе можно использовать также команды chown и chgrp. Предпочтительней, тем не менее, использовать именно newgrp, так как при использовании команд chown и chgrp легче допустить ошибку. Предположим, например, что пользователь silvia намеревается создать несколько файлов типа GIF. Группой входа в систему для нее является группа silvia, однако созданные ею файлы должны быть доступны не только ей, но и другим членам группы gifs (но больше никому). Если пользователь silvia окажется забывчивой и не выполнит команду newgrp, ей придется явно менять владельца созданных ею файлов командами chown или chgrp. Выполнение их для каждого файла по отдельности чревато пропуском одного или нескольких файлов. Проблему можно решить, использовав шаблон имени файла (*.gif), однако помимо созданных только что в каталоге могут находиться и другие файлы GIF, которые silvia ранее преднамеренно сделала недоступными для остальных пользователей. Для запуска программы, создающей файлы GIF, silvia может воспользоваться командой sg. Команда sg на самом деле представляет собой символическую ссылку, указывающую на newgrp. Будучи вызвана как sg, она делает пользователя членом новой для него группы не перманентно, а лишь на время выполнения указанной программы. Свое название команда получила от словосочетания «substitute group» (подстановка группы). С эквивалентом этой команды, применяемым в отношении имени пользователя, мы познакомимся в следующем разделе.

Если вашей группой входа в систему является группа readers, а помимо этой группы вы также принадлежите к группе users, то по умолчанию выполнение программ и сохранение файлов будет происходить в контексте группы readers. Чтобы файлам, создаваемым программой xv, в качестве владельца назначалась группа users, можно запустить с использованием команды sg. Например, чтобы файлам, созданным в программе xv, в качестве владельца назначалась группа users, запустите эту программу следующим образом:

sg - users -с xv

При наличии у запускаемой программы параметров команда запуска этой программы заключается в кавычки:

sg - users -с "xv my.gif"

Заметьте также, что при работе в среде X Window нужно разрешить этой группе использование дисплея с помощью команды xhost.

Область действия команды newgrp в среде X Window ограничивается программой xterm, в которой она была выполнена: в контексте новой группы будут выполняться лишь программы, запущенные через этот терминал, а значит, пользователь не может изменять с ее помощью группу входа в систему для программ, запущенных посредством диспетчера окон. Программу, которую всегда нужно выполнять в контексте вторичной группы, можно запускать через сценарий, устанавливающий для нее требуемую группу входа в систему.

Далее про X

Система X Window всегда привносит в жизнь пользователей дополнительные трудности. В данном случае трудности эти не связаны напрямую с X, а следуют из логики работы /etc/groups и /etc/gshadow. Тем, кто не использует теневые пароли для групп, беспокоиться особенно не о чем. В случае с X установить группу, защищенную паролем, из простого сценария не получится, однако для вторичных групп пользователя, не требующих ввода пароля, смена группы осуществляется предельно просто. Достаточно следующего сценария:

#!/bin/bash

sg - gifs -с /usr/X11R6/bin/xv &

В результате запуска этого сценария будет запущена программа xv, первичной группой которой будет сделана группа gifs. Что и требовалось получить.

Труднее тем, кто использует теневые групповые пароли, поскольку в этом случае при выполнении данного сценария на экране появится сообщение об ошибке. Когда в файле /etc/groups перечислены входящие в группу пользователи, любой из них автоматически считается ее членом непосредственно после входа в систему. Однако в случае теневых паролей список пользователей группы перемещен в файл /etc/gshadow, так что вошедший в систему пользователь не зачисляется автоматом в ее члены, но может присоединяться к ней посредством команды newgrp или же выполнять от ее имени какую-либо программу при помощи команды sg. Проблема в том, что с точки зрения X данный пользователь (который не обязательно является пользователем, инициировавшим рабочий сеанс X) не имеет права на установку соединения. Поэтому для незащищенных паролем групп приведенный ранее сценарий изменяется следующим образом:

#!/bin/bash

xhosts +lосаlhost

sg - gifs -c /usr/X11R6/bin/xv &

Добавленная строка позволяет получать доступ к экрану новой группе (gifs). Для большинства рабочих станций это не должно привести к каким-либо существенным проблемам с безопасностью, поскольку данная строка всего лишь разрешает доступ к экрану пользователям локального узла (для получения дополнительной информации об X и xhost обратитесь к хорошему руководству системного администратора Linux).


ПРИМЕЧАНИЕ

Использование Х-сервера (в особенности совместо с xdm или kdm) влечет за собой целый ряд своих тонкостей, еще более усугубляемых графическими приложениями, поскольку их можно запускать не только через командную строку, но и при помощи значка на графическом рабочем столе.