Базовые возможности ОС Linux в плане разграничения доступа субъектов к объектам весьма скупы и рациональны. Администратору при создании учетных записей пользователей и определении первичных прав доступа к файлам и каталогам порой приходится решать нелегкие задачи. Тем не менее большинство практических задач может быть успешно решено, причем несколькими способами.
Администратор при разграничении доступа может оперировать группами, учетными записями пользователей (и отдельными полями этих записей), правами на файловые объекты, а также их дополнительными свойствами. К сожалению, сложность практических задач не позволяет предусмотреть строгие алгоритмы для манипуляции правами доступа. В каждом конкретном случае задача разграничения доступа является эвристической и имеет несколько решений. Сформулируем ряд таких задач по возрастанию сложности и для некоторых из них предложим варианты решений.
1. В системе, где обрабатывается только открытая информация, зарегистрировано N пользователей с одинаковыми правами. У каждого пользователя имеется собственный (принадлежащий его владельцу) подкаталог с файлами, который в свою очередь размещен в каталоге /home. Создание и удаление файлов в каталоге, а также модификация существующих файлов разрешены только владельцу каталога. Файлы не являются программами. Чтение и копирование любого пользовательского файла разрешено каждому пользователю. Перемещение и копирование файлов (своих или чужих) в каталог другого пользователя не допускается. Пользовательских файлов вне домашних каталогов существовать не должно. Требуется определить владельцев и права доступа к каталогу /home, подкаталогам и файлам пользователей. Существует ли возможность нарушения запрета? В чем она заключается?
Решение. В этом довольно простом случае можно обойтись без планирования групповых прав, которые для определенности будем просто исключать. Владельцем каталога /home должен являться root, а права доступа к каталогу определяются маской доступа drwx–––r–x. Будем считать, что все остальные каталоги файловой системы пользователям на запись недоступны. Этим допущением обеспечивается невозможность создания, перемещения или копирования файлов вне домашних каталогов (на самом деле обычным пользователям разрешен полный доступ в каталоги /tmp, /var/tmp, /dev/shm).
Определимся с минимально необходимыми правами пользователей на их домашние каталоги. По условию владельцы каталогов должны иметь возможность выполнять все действия с файлами, исключая их запуск. Следовательно, владельцы каталогов должны иметь на них полные права. Поскольку нам неизвестно, в какие группы входят те или иные пользователи, групповые права на файлы и каталоги исключим. Другие пользователи имеют право входить в любой домашний каталог и читать (следовательно, копировать) из них файлы. Но создавать свои файлы, копировать и перемещать в них, а также удалять из них любые файлы пользователи не вправе. Весь этот набор запретов обеспечивается отсутствием одного из базовых прав – на запись. Установки дополнительного бита t в данном случае не требуется. Таким образом, права доступа к домашним каталогам определяются строкой rwx---r-x.
Права доступа пользователей на их файлы описываются строкой rw----r--. Следовательно, пользователи должны иметь по умолчанию маску доступа на файлы umask=0072.
Возможность нарушения запрета существует, поскольку пользователи могут по своему усмотрению изменить право доступа к своим каталогам и маску доступа для вновь создаваемых или копируемых файлов.
2. В системе, где обрабатываются открытые данные и информация, составляющая коммерческую тайну, зарегистрировано N пользователей. Из них M привилегированных пользователей (M < N) имеют равный доступ к коммерческой тайне. Функционально-зонального разграничения доступа не предусматривается (считаем, что все пользователи работают в одном подразделении, без какой–либо специализации). Подкаталоги и файлы всех пользователей размещены в каталоге /home, принадлежащем администратору. В каталогах привилегированных пользователей разрешено хранить только конфиденциальные данные. Пользовательские файлы не являются программами. Все пользователи имеют доступ ко всей открытой информации без права модификации чужих файлов, а также создания и удаления файлов в чужих каталогах. Читать и копировать конфиденциальные файлы могут только привилегированные пользователи, но они не должны создавать своих файлов в каталогах других пользователей, а также изменять или удалять чужие конфиденциальные данные. Привилегированные пользователи не имеют прав на копирование и перемещение конфиденциальных файлов в каталоги других пользователей, в том числе при их содействии.
Требуется определить владельцев, группы и права доступа к домашним каталогам и файлам пользователей. Учесть, что при создании новых пользователей без явного указания групп они (группы) создаются по умолчанию. Существует ли возможность нарушения запрета пользователями? В чем она заключается?
Решение. В данном случае без использования групп и групповых прав уже не обойтись. Администатору достаточно создать одну группу private и включить в нее всех привилегированных пользователей. Все остальные пользователи могут быть членами собственных групп, куда входят только они сами. Однако по умолчанию не исключено их членство в общей группе users. Этот нежелательный фактор следует учесть и нейтрализовать.
Рассмотрим требования на доступ к каталогу и файлам на примере пользователя ivanov из группы private. Пользователь должен иметь возможность выполнять все действия со своими файлами, исключая их запуск. Следовательно, он должен иметь на свой каталог полные права. Члены его основной и единственной группы должны иметь право входа в каталог /home/ivanov и чтения из него. Поскольку открытой информации в каталогах привилегированных пользователей нет, всем остальным пользователям доступ к этим каталогам должен быть запрещен. Таким образом, права доступа пользователей к каталогу /home/ivanov должны определяться маской защиты rwxr-x--- .
Права владельца на конфиденциальные файлы должны разрешать их чтение и запись. Члены группы private могут файлы читать, а следовательно, и копировать. Лишение их права записи не позволит модифицировать чужие файлы. Доступ остальных пользователей к конфиденциальным данным запрещен на уровне каталога, однако лишний запрет не помешает. Таким образом, права доступа пользователей к файлам, хранимым в каталоге /home/ivanov, должны определяться строкой rw-r----- .
Определим права доступа к каталогу и файлам обычного пользователя, работающего с открытой информацией, на примере имени petrov. Пользователь должен обладать на свой каталог полными правами, групповые права по причине неопределенности исключаются, а для всех пользователей требуются права входа и чтения в каталоге. Владелец открытых файлов имеет на них права чтения и записи, групповые права исключаются, а для всех пользователей должно предусматриваться только право чтения. Соответственно права пользователей на каталог /home/petrov определяются строкой rwx---r-x , а на хранимые в нем файлы – строкой rw----r-- .
Если привилегированный пользователь намеренно или случайно попытается скопировать чужие конфиденциальные данные в каталог другого пользователя, ему будет отказано в доступе, т.к. правом записи в каталоги других пользователей он не обладает.
Как и в предыдущем случае, существует возможность нарушения запрета, поскольку пользователи могут по своему усмотрению изменить права на доступ к своим каталогам и файлам.
3. Дополнение к предыдущей задаче заключается в том, что в подкаталогах привилегированных пользователей могут храниться созданные ими открытые файлы, чтение и копирование которых разрешено всем, и конфиденциальные файлы, с которыми могут работать только их владельцы и члены группы private. Какие дополнительные меры по разграничению доступа необходимо предусмотреть администратору ?
Решение. Права на каталоги и файлы обычных пользователей не изменятся, поэтому рассмотрим только права доступа к конфиденциальным данным пользователя ivanov. Поскольку в каталоге /home/ivanov появились открытые файлы, которые имеют право читать все пользователи, требуется открыть им этот каталог для поиска и чтения. Права на каталог /home/ivanov должны обеспечить свободный доступ на поиск и чтение как для членов конфиденциальной группы, так и для всех остальных пользователей, т. е. rwxr-xr-x. Права на конфиденциальные файлы будут выглядеть аналогично вышерассмотренному случаю rw-r-----, а права на открытые файлы – rw-r--r--. Как видно, использования прав на доступ к файлам вполне достаточно для решения задачи.
4. Отличие от предыдущего задания состоит в том, что в организации есть группа руководителей численностью K < M. Руководители имеют право читать и копировать в свои каталоги любые файлы, но лишены прав на создание, удаление или модификацию файлов в каталогах пользователей. Каталоги и файлы руководителей должны быть доступны только им самим. Требуется определить владельцев, группы и права доступа к домашним каталогам и файлам пользователей. Решить задачу читателям предстоит самостоятельно.
5. В организации, работающей с информацией ограниченного доступа, все пользователи имеют допуск к коммерческой тайне. Сведения, содержащие коммерческую тайну, обрабатываются в трех подразделениях, сотрудники которых образуют пользовательские группы alfa, betaи gamma. Внутри каждого из подразделений пользователи имеют право совместно работать с конфиденциальной информацией. Для конфиденциальных документов подразделения создается отдельный подкаталог с одноименным названием, в котором хранятся файлы, доступные для чтения и записи любому пользователю данной группы. Владельцами файлов становятся сотрудники, которые эти файлы создают. Файлы с открытой информацией не создаются. По возможности следует предусмотреть защиту от случайного стирания результата длительной коллективной работы, которую можно уничтожить – точнее, зачеркнуть простой командой
echo Привет! > <file_name>
Доступ к конфиденциальным данным со стороны сотрудников иных подразделений должен быть исключен.
Решение. Первым шагом должно стать создание трех групп:
