Ктитров Администрирование ОЦ УНИХ 2007
.pdf
2.10. Средства информирования пользователей
Информирование пользователей необходимо при изменении конфигурации системы или режима её работы. Средства информирования пользователей представлены в табл. 2.4.
|
|
|
|
Таблица 2.4 |
wall [message] |
|
|
Для немедленного сообщения |
|
wall |
|
|
|
всем пользователям, зарегистри- |
сообщение |
|
|
ровавшимся в системе |
|
^D |
grpname |
- |
для |
Обычно используется перед shut- |
-g |
||||
указанной группы |
|
|
down |
|
write user [terminal] |
|
Конкретному зарегистрировавше- |
||
|
муся пользователю |
|||
|
|
|
|
|
mail, mailx и т.п. |
|
Определенным пользователям, в |
||
|
т.ч. отключенным от системы |
|||
файл /etc/motd |
|
|
||
|
|
Сообщение дня |
||
/var/news/* |
|
|
Система новостей |
|
/etc/issue |
|
|
Приглашение login из файла ин- |
|
|
|
формирует об особенностях рабо- |
||
|
|
|
|
ты в системе |
Упражнения
1.Определите, сколько пользователей зарегистрировано в системе.
2.Определете UID пользователя sys.
3.Определите домашний каталог пользователя root.
4.Определите, какие пользователи принадлежат группе bin .
5.Определите, принадлежит ли пользователь sys группе bin.
6.Определите, принадлежит ли пользователь root группе other.
7.Создайте нового пользователя c помощью утилиты admintool.
Характеристики пользователя:
Username demoX1 UID 1001
GID 10
Home directory /home/demoX1
21
Login shell bash
8. Создайте нового пользователя с помощью утилиты useradd.
Характеристики пользователя:
Username demoX2 UID 1002
GID 10
Login shell /usr/bin/ksh
Проверьте, все ли работает (зарегистрируйтесь от имени вновь созданного пользователя, создайте файл в домашнем каталоге).
9.Установите личный каталог пользователю demoX2 с помощью команды usermod: /home/demoX2. Измените интерпретатор команд по умолчанию.
10.Измените пароль пользователю demoX2 с помощью команды passwd.
11.Создайте нового пользователя, редактируя файл /etc/passwd.
Характеристики пользователя:
Username demoX3 UID 1003
GID 10
Home directory /home/demoX3 Login shell /usr/bin/ksh
12. Разбейтесь на пары. Войдите в другую систему удаленно ($telnet адрес-системы) под пользователем demoХЗ. Выполните команду who на своей системе и на удаленной.
13. Попробуйте войти удаленно в систему под пользователем root. Определите, почему пользователь root не может войти в систему удаленно.
14.Для пользователя demoX3 установите новую переменную ORACLE_HOME=/space/oracle , так чтобы она была доступна всем процессам, запускаемым этим пользователем.
15.Определите файл, в который вносятся записи журнала аудита команды su.
16.Определите требования к минимальной длине пароля. Измените умолчание на минимальную длину пароля.
22
17.Как обеспечить наличие пути до компилятора gcc в профилях создаваемых пользователей?
18.Установить созданным пользователям ограничения на время бездействия, устаревания пароля и т.п. Проверьте работу механизма управления паролями, временно изменив дату и попробовав зарегистрироваться этими пользователями.
19.Выявите всех пользователей, не имеющих пароля.
20.Создайте пользовательскую группу, добавьте в неё отдельных пользователей.
21.Заблокируйте пользователя. Разблокируйте его.
22.Удалите пользователя. Нет ли в системе бесхозных файлов?
23.Определить, в какое время созданные пользователи регистрировались и работали в системе.
24.Зарегистрируйтесь несколькими пользователями одновременно. Проверьте средства информирования интерактивных пользователей и останов системы с оповещением.
25.Создайте сообщение дня. Проверьте для нескольких пользователей.
26.Создайте несколько новостей. Проверьте возможность их чтения для нескольких пользователей.
23
Практическое занятие 3
ПРАВА ДОСТУПА И ЗАЩИТА ФАЙЛОВ
Наличие в ОС Unix множества пользователей с разными правами требует от системы присутствия механизмов разграничения прав доступа. Рассмотрим штатные средства разграничения прав доступа. В большинстве систем Unix используется матричная политика разграничения прав доступа.
Права доступа к файлам и каталогам задаются для трех категорий пользователей:
-владелец файла,
-группа, которой принадлежит файл,
-все остальные.
3.1. Права доступа к файлам
Права доступа к файлам можно задавать в символьной или в числовой форме. Соответствие символов и цифр правам приведено в табл.3.1.
|
|
Таблица 3.1 |
Символ |
Цифра |
Описание |
r |
4 |
Пользователь имеет право открытия и чтения |
|
|
содержимого файла |
w |
2 |
Пользователь имеет право записи в файл |
x |
1 |
Пользователь имеет право запуска файла (про- |
- |
0 |
граммы, скрипта) |
Пользователь не может прочесть, записать или |
||
|
|
запустить файл |
Пример
ls –l /export/home/vova
-rwxrw-r-- 1 vova other 109056 Aug 03 15:27 my_file.txt
В приведенном примере владелец файла my_file.txt (пользователь vova) имеет права rwx (право на чтение, запись и исполнение), члены группы other имеют права rw- (права на чтение и запись), а все остальные пользователи имеют права r-- (только на чтение).
24
3.2. Права доступа к каталогам
Задание прав доступа к каталогам аналогично заданию прав доступа к файлам, но сами права для каталогов имеют несколько другой смысл (см.табл.3.2).
Таблица 3.2
Символ Цифра Описание
r4 Пользователь имеет право просматривать список файлов в каталоге
w2 Пользователь имеет право создавать или удалять файлы из каталога
x1 Пользователь имеет право запуска файла (программы, скрипта)
-0 Пользователь не может просматривать содержимое каталога, создавать или удалять файлы в каталоге
3.3. Изменение прав доступа к файлам
Изменение прав доступа может проводиться только владельцем файла (только для тех групп, которым принадлежит владелец) или суперпользователем. Команды изменения прав доступа приведены в табл. 3.3.
|
Таблица 3.3 |
|
|
Команда |
Описание |
ls |
Вывод информации о файлах и каталогах |
chown |
Смена владельца файла |
chgrp |
Смена группы файла |
chmod |
Смена прав доступа |
Пример |
|
ls –l /export/home/vova |
|
-rwxrw-r-- 1 |
vova other 109056 |
Aug |
03 |
15:27 |
my_file.txt |
|
chmod |
600 |
my_file.txt |
|
|
|
|
ls |
–l /export/home/vova |
Aug |
03 |
15:27 |
my_file.txt |
|
-rw------- 1 |
vova other 109056 |
|||||
25
3.4. Маскирование прав
Все вновь создаваемые обычные файлы в ОС Unix получают права доступа rw-, а каталоги – rwx. Можно изменить права, назначаемые вновь создаваемым файлам и каталогам, с помощью команды umask. Маска, назначаемая командой umask, вычитается из
маски по умолчанию.
Команда umask без опций позволяет узнать текущее значение маски.
Примеры задания маски приведены в табл.3.4.
|
|
Таблица 3.4 |
|
|
Символьный |
Число- |
|
Маска по умолчанию для файла |
вид |
вой вид |
|
rw-rw-rw- |
666 |
||
Маска по умолчанию для ката- |
rwxrwxrwx |
777 |
|
лога |
|||
Значение umask |
----w—wx |
023 |
|
Права на вновь созданный |
rw-r--r-- |
644 |
|
файл |
|||
Права на вновь созданный ка- |
rwxr-xr-- |
754 |
|
талог |
|||
|
|
3.4.Дополнительные атрибуты файлов
Кдополнительным атрибутам защиты файлов относятся setuid bit (смена эффективного идентификатора пользователя), setgid bit (смена эффективного идентификатора группы) и sticky bit (“липкий” бит). Описание дополнительных атрибутов приведено в табл. 3.5.
|
Таблица 3.5 |
Атрибут |
Описание |
setuid |
Бит смены эффективного идентификатора пользова- |
bit |
теля. При запуске исполняемого файла с установ- |
|
ленным setuid bit программа будет выполнять- |
|
ся с правами того пользователя, которому принад- |
|
лежит файл |
26
|
|
Продолжение таблицы 3.5 |
Атрибут |
Описание |
|
setgid |
Бит смены эффективного идентификатора группы. |
|
bit |
При запуске исполняемого файла с установленным |
|
|
setgid bit программа будет выполняться с пра- |
|
sticky |
вами той группы, которой принадлежит файл |
|
“Липкий” бит. Если на каталог установлен sticky |
||
bit |
bit, то файлы в каталоге может удалить или пере- |
|
|
именовать только тот пользователь, кто имеет право |
|
|
на запись в каталог и является (одним из): |
|
|
- |
владельцем файла, |
|
- |
владельцем каталога, |
|
- |
суперпользователем. |
|
Если значение sticky-bit равно t, то бит испол- |
|
|
нения для всех пользователей включен, если значе- |
|
|
ние sticky-bit равно T, то бит исполнения для |
|
|
всех пользователей выключен. |
|
Дополнительные атрибуты устанавливаются с помощью команды chmod.
Пример
chmod +t my_file.txt ls –l myfile.txt
-rw------t 1 vova other 109056 Aug 03 15:27 my_file.txt
3.5. Списки управления доступом
Списки управления доступом (Access Control List) позво-
ляют расширить модель разграничения прав доступа. С помощью ACL можно устанавливать отдельные права доступа для любого
пользователя и для любой группы.
Просмотреть права, установленные с помощью ACL, можно с помощью команды getfacl, установить, изменить или удалить права – с помощью команды setfacl.
27
3.6. Делегирование полномочий
Наделение пользователя правами доступа к ресурсам осуществляется через включение пользователя в группу и назначение прав доступа к файлам. Более гибкий способ – использование SUID-программ, что позволяет наделить пользователей правами владельца программы.
Для временной смены бюджета может быть использована su. Если используется форма «su –», окружение будет соответство-
вать новому пользователю.
Права выполнения ряда административных действий могут быть назначены с использованием системы RBAC – системе регулирования прав доступа, основанной на ролях (специфична для ОС Solaris).
В большинстве систем UNIX может быть использовано средство sudo. Для предоставления прав запуска программ редактируется файл /etc/sudoers, который следует редактировать программой visodo. Ключевые слова, используемые в файле, приведены в табл. 3.6.
|
Таблица 3.6 |
Ключевое слово |
Смысл |
Host_Alias |
Список компьютеров |
Cmnd_Alias |
Список команд |
User_Alias |
Список пользователей |
Runas_Alias |
От имени кого запускать |
Пример файла /etc/sudoers (фрагмент)
Пользователю pete разрешено менять пароль всех пользова-
телей, кроме root:
Host_Alias HPPA=moon,sun
pete HPPA=/usr/bin/passwd [a-z]*,!/usr/bin/passwd\ root
28
Упражнения
1.Удалите полностью содержимое каталога /work
2.Определите, какие права доступа определены для файла /usr/bin/su
3.Определите, какие права доступа определены для файла
/etc/passwd
4.Определите, какие права доступа определены для файла
/etc/shadow
5.Создайте текстовый файл /work/file01, который может чи-
тать и изменять только пользователи, принадлежащие группе staff.
6.Создайте текстовый файл /work/file02, который не могут читать и изменять пользователи, принадлежащие группе staff, а все остальные могут.
7.Создайте текстовый файл /work/file03, который могут читать и изменять все пользователи системы.
8.Создайте каталог /work/dir01, в котором любой пользователь может создавать, удалять и запускать файлы.
9.Создайте каталог /work/dir02, в который пользователи группы staff не могут входить, а все остальные могут.
10.Установите значение umask так, чтобы файлы создавались с правами 600, а каталоги – 700.
11.Установите значение umask так, чтобы файлы создавались с правами 640, а каталоги – 740.
12.Объясните, для чего на программу passwd установлены атрибуты setuid bit и setgid bit.
13.Определите все программы в каталоге /usr/bin, на которые установлены атрибуты setuid bit и setgid bit.
14.Объясните, для чего на каталог /tmp установлен атрибут sticky bit.
29
15. Установите права на новый файл /work/file05 таким образом, чтобы у членов группы noaccess не было никаких прав на файл, у группы staff были бы все права, а у группы other – только права на чтение.
16.Уберите ограничение на доступ к файлу /work/file05 для группы noaccess.
17.От имени нескольких пользователей создайте файлы в их домашних каталогах. У пользователей должна быть разная группа по умолчанию. Файлы одного из пользователей не должны быть видны другим пользователям, за исключением одного (используйте списки управления доступом).
18.Пошлите сообщение от одного пользователя другому в заданное время. Наделите этим правом только некоторых пользователей.
19.Делегируйте одному из пользователей право изменять пароль других пользователей, кроме суперпользователя. Право изменять пароль конкретного пользователя, двух избранных пользователей.
20.Разрешите одному из пользователей создавать пользователей и менять их учетную информацию (Указание: имена пользователей могут начинаться на одну букву, например, a).
21.Наделите одного пользователя правом на резервное копирование (архивирование) домашних каталогов, а другого – правом на восстановление из резервных копий (см. практическое занятие 5, табл. 5.7).
30