администратор передает mironova право владения каталогом. Наконец, пользователь mironova со своими полномочиями устанавливает права на доступ к этому каталогу в виде r-xrwx---. Задача заметно усложнится, если в основную группу mironova включены какие-либо иные пользователи. Вхождение пользователя semaforkin в группу mironova делает возможным его встречный доступ к ее файлам, а об этом в условиях задачи ничего не говорилось.
Второй вариант решения заключается в передаче личных файлов semaforkin во владение mironova, что можно сделать только с правами суперпользователя. При этом на эти файлы следует установить права r----rw-, а каталог /home/semaforkin/private по-прежнему будет доступен всем иным пользователям. Но передать во владение другому пользователю можно только уже существующие файлы, а что касается новых файлов, то они будут принадлежать создателю. Причем к этим файлам будет открыт доступ и иным пользователям, не входящим в группу beta.
Таким образом, для решения подобных задач требуется манипуляция группами и правами на файловые объекты. Предложенные варианты не отличаются строгостью решений.
7. Сотрудник отдела кадров mogolev по вопросам службы подчиняется начальнику отдела и включен в основную группу persona, которая связана с персональными данными сотрудников фирмы. В то же время он является ответственным членом профсоюзной организации, ведет ее документы и является членом дополнительной группы trade. Одновременно он является секретарем ячейки либерально-демократической партии и входит в дополнительную группу liberty. Разработка и редактирование служебных, профсоюзных и партийных документов производится на одном сетевом компьютере под управлением ОС Linux. Директор фирмы вынужден разрешить такое совмещение, но требует, чтобы утечки служебной информации по партийным и профсоюзным каналам не происходило. Этого же требуют и руководители общественных организаций. Члены групп пользователя должны иметь право входа только в определенные каталоги и чтения только предназначенных им файлов.
Решение. Допустим, что в домашнем каталоге пользователяmogolev создаются три отдельных подкаталога с именами persona,trade иliberty и файлами соответственно служебного, профсоюзного и партийного назначения.
По определению члены дополнительных групп пользователя по отношению к его файловым объектам имеют права всех остальных пользователей, иначе говоря, права членов дополнительных групп не разграничиваются. Групповые права на каталоги и файлы пользователя распространяются только на членов его основной группы. Следовательно, обычным способом задача разграничения доступа не решается.
Один из вариантов решения заключается в передаче подкаталогов persona,trade иliberty во владение каким-либо членам соответствующих групп (желательно – фиктивным). Тогда на каждый из подкаталогов можно установить права r-xrwx--- , обеспечивая тем самым пользователю mogolev и членам функциональных групп возможность свободной манипуляции с файлами.
8. За единственным в организации компьютером, категорированным для обработки и хранения информации ограниченного доступа и работающим под управлением операционной системы Linux, закреплено три пользователя: ivanov, petrov и kondakov. Пользователь ivanov допущен к обработке сведений, содержащих служебную тайну. Пользователь petrov работает с персональными данными, а kondakov – с коммерческой тайной. Пользователи работают за компьютером по временному графику, и одновременное присутствие за консолью более одного пользователя исключается. В случае временного отсутствия пользователя его виртуальная консоль блокируется. У каждого пользователя имеется свой одноименный домашний каталог, куда доступ других пользователей должен быть запрещен. Доступ к данным в обход файловой системы исключен с помощью организационных мер и путем блокирования возможности загрузки компьютера со сменного машинного носителя.
Решение. Рассмотрим решение на примере пользователя ivanov. В его владении находится каталог /home/ivanov с установленными правами rwx------. Групповые права на каталог исключены, так как вышеназванные пользователи на этапе создания учетных записей по умолчанию могут быть включены в одну группу. Права на каталог обеспечивают решение задачи, и других механизмов защиты не требуется.
9. В организации работают два пользователя: sergeevи nikolaev. Sergeev допущен к секретным сведениям, а nikolaev должен работать только с несекретными документами. Каждый из пользователей работает с фиксированным числом электронных документов (новые файлы не создаются, а существующие не удаляются). Файлы обоих пользователей хранятся в одном каталоге. Sergeev имеет право читать и редактировать свои файлы, а также читать файлы «несекретного» пользователя без возможности записи в них. Nikolaev может читать и редактировать свои файлы, а также имеет право дописывать (без возможности чтения и удаления существующих данных) свою информацию в файлы «секретного» пользователя. Группы пользователей включают только их самих. Ни один из пользователей не является администратором и не наделен особыми правами. Требуется составить матрицу доступа пользователей и обеспечить их разграничение средствами файловой системы Linux (табл. 1.1).
Таблица 1.1
Пользователь
Права доступа к объектам ФС
Секретные файлы
Несекретные файлы
Sergeev
rw
r
Nikolaev
a
rw
10. В дополнение к предыдущей задаче оба пользователя должны иметь возможность создавать новые файлы и удалять файлы, которые им принадлежат. Удаление чужих файлов, в том числе путем их полной перезаписи, запрещается. Требуется составить матрицу доступа пользователей и обеспечить их разграничение средствами файловой системы Linux (табл. 1.2). В целях разграничения доступа можно предусмотреть создание личных каталогов пользователей. Выполняются ли условия разграничения доступа, если файлы пользователей хранятся в одном каталоге?
Таблица 1.2
Пользователь
Права доступа к объектам ФС
Секретные файлы
Несекретные файлы
Sergeev
crwd
rt
Nikolaev
at
crwd
Символ c обозначает право создания файлов, d – право удаления своих файлов, а t – запрет на удаление чужих файлов. Подобные права устанавливаются не на файлы, а на каталоги.
Попробуем решить задачу с одним общим каталогом для секретных и несекретных файлов, который никому из них не принадлежит. В одну группу пользователи не входят, следовательно, их право на каталог такое же, как и для всех остальных зарегистрированных пользователей. Для создания файлов каждому из них требуется право на вход и запись в каталог. Для удаления существующих файлов потребуется знать их имена, что предполагает право чтения в каталоге. В дополнение к полным базовым правам на каталог требуется установить дополнительный стикки–бит, чтобы помешать пользователям в удалении чужих файлов.
Таким образом, каталог создается администратором и принадлежит ему. Права на каталог задаются битовой строкой ––––––rwt (администратору никаких прав не требуется). Права на файлы Sergeev записываются в виде rw-----w-, а права доступа к файлам Nikolaev представляются в виде rw----r--.
11. В организации работают три пользователя: «секретный» – smirnov, «конфиденциальный» – kostrov и «несекретный» – nikonov. Ни один из пользователей не является администратором и не наделен особыми правами. Пользователи создают и редактируют документы соответствующих уровней конфиденциальности. Они имеют право удалять принадлежащие им файлы. Пользователи не имеют права создавать файлы, доступные для чтения «снизу», и записывать данные в существующие файлы более низкого уровня конфиденциальности. Kostrov и nikonov имеют право дописывать свои данные в файлы на один уровень выше, но не имеют прав на чтение информации более «высокой» категории. Требуется изобразить матрицу доступа (табл. 1.3) и предложить исчерпывающие меры по его разграничению.
Таблица 1.3
Пользователь
Права доступа к объектам ФС
Секретные файлы
Конфиденциальные файлы
Несекретные файлы
smirnov
crwd
rd
rd
kostrov
w
crw
rd
nikonov
-
w
rw
12. В некоторой организации на компьютерах под управлением операционной системы Linux хранится и обрабатывается информация нескольких уровней конфиденциальности. Три пользователя (учетные имена можно задавать произвольно) имеют доступ к секретной информации. Четыре пользователя допущены к коммерческой тайне. Пять пользователей работают только с открытой информацией. Пользователи, имеющие допуск к информации одного уровня конфиденциальности, имеют право читать информацию из файлов своих коллег, а также из файлов более низкого уровня конфиденциальности, однако записывать информацию в файлы низшего уровня они не вправе.
13. Задание усложняется тем, что в каталогах, принадлежащих секретоносителям и обладателям коммерческой тайны, необходимо предусмотреть файлы, в которые разрешена запись (точнее – дописывание) «снизу». Возможность чтения «снизу» этих и иных файлов должна быть исключена. Файлы не являются программами, и право их исполнения исключается. Требуется изобразить матрицу доступа (табл. 1.4) и предложить меры по его разграничению.
