Владение файлами и процессами
Категория: Сила привилегий | Автор: admin | 30-09-2009, 03:50

Каждый файл в UNIX принадлежит владельцу и группе. Владелец файла имеет только одну привилегию, которая другим пользователям системы недоступна: ему разрешено изменять права доступа к файлу. В частности, владелец может установить права доступа так, что никто, кроме него, не сможет обращаться к данному файлу. Мы еще вернемся к теме прав доступа в главе 5. Владелец файла — это всегда один человек. В группу могут входить несколько пользователей. Сведения о группах хранятся в файле /etc/group.


Просмотров: 3284 | Подробнее... | Комментариев: 0
  Суперпользователь
Категория: Сила привилегий | Автор: admin | 30-09-2009, 03:51

Определяющей характеристикой учетной записи суперпользователя является значение UID, равное 0. UNIX не запрещает менять имя этой учетной записи или создавать другую запись с нулевым идентификатором, но такие действия ни к чему хорошему не приведут. Их следствием будет возникновение новых брешей в системе защиты, а также растерянность других пользователей, которым придется разбираться с особенностями конфигурирования такой системы.

UNIX позволяет привилегированному пользователю (т.е. всякому процессу, у которого эффективный идентификатор пользователя равен 0) выполнять над файлом или процессом любую допустимую операцию. Кроме того, некоторые системные вызовы (обращения к ядру) может осуществлять только суперпользователь. Вот примеры операций, доступных лишь суперпользова­телю:

  • изменение корневого каталога процесса с помощью команды chroot;

  • создание файлов устройств;

  • установка системных часов;

  • увеличение лимитов использования ресурсов и повышение приоритетов процессов;

  • задание сетевого имени системы;

  • конфигурирование сетевых интерфейсов;

  • останов системы.

Процессы суперпользователя обладают способностью изменять свои идентификаторы. Один из таких процессов — это программа login, которая выдает приглашение ввести пароль при входе в систему. Если введенные пароль и имя пользователя правильны, то программа заменяет свои идентификаторы соответствующими идентификаторами указанного пользователя и запускает интерпретатор команд. После того как процесс суперпользователя, изменив свою принадлежность, станет обычным пользовательским процессом, восстановить свое предыдущее привилегированное состояние он не сможет.


Просмотров: 3329 | Подробнее... | Комментариев: 0
  Пароль суперпользователя
Категория: Сила привилегий | Автор: admin | 30-09-2009, 03:56

Пароль пользователя root должен состоять как минимум из восьми символов; семисимвольные пароли взламываются достаточно легко. В некоторых системах задавать более длинный пароль не имеет смысла, потому что обрабатываются только первые восемь символов.

Пароль суперпользователя следует выбирать так, чтобы его нельзя было определить методом перебора. Теоретически наиболее безопасный пароль состоит из случайной последовательности букв, знаков препинания и цифр. Такой пароль, однако, тяжело запомнить и, как правило, трудно вводить. Поэтому, если системный администратор записывает пароль или вводит его слишком медленно, об оптимальном уровне безопасности системы говорить не приходится.


Просмотров: 3522 | Подробнее... | Комментариев: 0
  Как стать суперпользователем
Категория: Сила привилегий | Автор: admin | 30-09-2009, 04:02

Поскольку пользователь root является таким же членом системы, как и другие пользователи, можно войти в систему непосредственно под этим именем. Однако оказывается, что это достаточно неудачное решение. Во-первых, не будет сделано никаких записей о том, какие действия выполнял суперпользователь. Согласитесь, не слишком-то приятно выяснить, что вчера ночью в 3:00 вы сделали что-то не так, но никак не можете вспомнить, что именно. Еще хуже, если такой доступ был неавторизованным и необходимо понять, какой ущерб системе нанес нарушитель. Во-вторых, сценарий регистрации суперпользователя не предполагает сбора никакой другой идентифицирующей информации. Когда под именем root в систему могут входить несколько пользователей, не существует способа определить, кто из них и когда это сделал.

По этим причинам в большинстве систем регистрация под именем root запрещена на терминалах и по сети, т.е. везде, кроме системной консоли. Мы рекомендуем придерживаться данного правила (см параграф 21.6, в котором рассказывается, какие системные файлы потребуется для этого отредактировать).


Просмотров: 6667 | Подробнее... | Комментариев: 0
  Другие псевдопользователи
Категория: Сила привилегий | Автор: admin | 30-09-2009, 04:05

Пользователь с именем root — единственный, кто имеет для ядра UNIX особый статус. Есть, однако, еще несколько неперсонифицируемых регистрационных имен, которые используются для системных целей. Пароли этих псевдопользователей в файле /etc/passwd обычно заменяют звездочкой, чтобы нельзя было войти в систему под их именем.


Просмотров: 4287 | Подробнее... | Комментариев: 0


 
Логин
Пароль
 

 
Locations of visitors to this page