[ Pobierz całość w formacie PDF ]
.c% ls -l *.c-rw-r--r-- 1 wojtek okisrc 28092 Aug 9 9:52 cdrom.c-rw-r--r-- 1 wojtek okisrc 5496 Aug 9 9:52 cfs_subr.c-rw-r--r-- 1 wojtek okisrc 5752 Aug 9 9:52 cfs_vfsop.c-rw-r--r-- 1 wojtek okisrc 11998 Aug 9 9:53 cfs_vnode.c-rw-r--r-- 1 wojtek okisrc 3031 Aug 9 9:53 load_unld.c-rw-r--r-- 1 wojtek okisrc 1928 Aug 9 9:54 Unix_rw.c-rw-r--r-- 1 wojtek okisrc 153 Aug 9 9:54 vers.cAby zmienić uprawnienia do pliku, tak aby plik mógł być odczytywany lub modyfikowany przez każdego z grupy, ale nie mógł być odczytywany i zmieniany przeznikogo innego w systemie, należy napisać polecenie:% chmod 660 grupa_badawcza% ls -l grupa_badawcza-rw-rw---- 1 wojtek okisrc 153 Aug 9 9:54 grupa_badawcza%Lista kontroli dostępuNiektóre wersje Unixa obsługują Listy kontroli dostępu (ACL - ang.Access Control List).Stanowiąone rozszerzenie standardowych trybów uprawnień do plików.Posługując się nimi, możemydefiniować dodatkowe prawa dostępu do wszystkich plików i katalogów dla wielu poszczególnychużytkowników, a nie dla bliżej nieokreślonej zbiorowości innych" użytkowników.Można równieżokreślać prawa dla członków różnych grup.Wydaje nam się, że listy ACL są wspaniałympomysłem i tym, czego będziemy używać w przyszłości.Niestety każdy producent implementujeje w inny sposób, co czyni ich opisywanie procesem dość skomplikowanym.Listy kontroli dostępu są udoskonaleniem mechanizmów uprawnień do plików.Umożliwiają oneokreślenie dostępu dla całkowicie arbitralnych podzbiorów użytkowników i grup.Listy te sądostępne w systemach AIX i HP-UX.Solaris i Linux przewidują ich zastosowanie w przyszłychwydaniach.Ma je również Distributed Computing Emdronment grupy Open Software Foundation.Z wielu względów listy ACL przewyższają mechanizmy grup Unixa w przypadku małych projektów.Jeśli na przykład Hanna chce udzielić dostępu do pewnego pliku Marii i tylko Marii, może touczynić, zmieniając listę ACL dla pliku.Bez list kontroli dostępu Hanna musiałaby udać się doadministratora systemu, prosić go o utworzenie nowej grupy zawierającej Marię i Hannę (i tylkoje), a następnie zmienić grupę pliku na nowo utworzoną.OSTRZE%7łENIEPonieważ listy kontrolne nie są standardem we wszystkich wersjach Unixa, nie należy oczekiwać,że będą one w jakimś środowisku sieciowego systemu plików.Firma Sun planuje na przykładobsługiwać listy ACL, stosując własne rozszerzenia do systemu NFS3, a nie wbudowując listy dospecyfikacji sieciowego systemu plików.Dlatego należy upewniać się, czy wszystko, co jesteksportowane przez NFS, jest odpowiednio zabezpieczone przez standardowe zabezpieczeniaUnixa w postaci ustawień właściciela i uprawnień do plików.Listy kontroli dostępu w systemie AIXLista ACL systemu AIX zawiera następujące pola (tekst pochyły z prawej strony stanowi opis pól):attributes: tryby specjalne, takie jak SUIDbase permissions normalne tryby plików Unixnowner (bajkow): rw- prawa dostępu właścicielagroup (chem): rw- prawa dostępu grupyothers: r-- prawa dostępu innych użytkownikówextended permissions bardziej szczegótowe uprawnieniaenabled czy uprawnienia są używane, czy niespecify r-- u:heniek prawa dostępu użytkownika heniekdeny -w- g:organiczna prawa dostępu grupy organicznapermit rw- u:artur, g:bio prawa dostępu użytkownika artur, jeśli ten należy do grupy bioW pierwszym wierszu podano zostały specjalne atrybuty odnoszące się do pliku (lub katalogu).Możliwe słowa kluczowe określające atrybuty to: SETUID, SETGID, SVTX (ustawiony bit klejący).Zestawy wielu atrybutów umieszcza się w jednym wierszu, oddzielając je przecinkami.Kolejną część listy ACL stanowi wykaz uprawnień bazowych (basie permissions) do pliku lubkatalogu.Korespondują one dokładnie z trybami dostępu do plików Unixa.W przedstawionympliku właściciel (którym jest bajkow) ma prawa odczytu i zapisu, członkowie grupy chem (którajest w grupą tego pliku) mają również prawa do odczytu i zapisu, natomiast pozostali użytkownicymają prawo do odczytu.Ostatnia część określa uprawnienia rozszerzone odnoszące się do pliku, czyli informacje oprawach dostępu użytkowników i grup wymienionych z nazwy.Pierwszy wiersz tej części zawierawyraz enabled lub disabled, za pomocą którego określa się, czy uprawnienia rozszerzoneumieszczone poniżej są stosowane do wyznaczania dostępu do pliku czy nie.W naszymprzykładzie uprawnienia rozszerzone są używane.Pozostałe linie to rekordy kontroli dostępu (ACE - ang.access control entry), które mająnastępujący format: operacja typ-dostępu danegdzie operacja to jedno ze słów kluczowych permit, deny lub specify, które korespondująodpowiednio z operatorami polecenia chmod: +, - i =.Słowo permit powoduje dodaniewskazanych uprawnień do już istniejących, deny ujęcie istniejących, a specify - zdefiniowanie nanowo wszystkich praw.Pole typ-dostępu określa typowe dla Unixa tryby dostępu do plików.Poledane składa się z nazwy użytkownika poprzedzonej literą u" i dwukropkiem i/lub jednej lub wielunazw grup poprzedzonych literą g" i dwukropkiem.Zestawy wielu danych są oddzielaneprzecinkami
[ Pobierz całość w formacie PDF ]