Примерыоперационныхсистем.ПонятиефайловойсистемывОС.

ОСWindowsXP-этосоврем.многозадачнаямногопользовательская32-разряднаяОСсграфическиминтерфейсомпользователя.ВсоставWindowsXPвключенспециальныймеханизм-быстроепереключениесеансов,сприменениемкот-гоможнобыстро,безрегистрацииподключатькработесоперационнойсистемойновыхпользователейигрупппользователей.Появиласьтакжевозможностьпереключатьсямеждунесколькимисеансамиработыбезнеобходимостисохранятьданныеилиперезагружатьсистему.ПриэтомкаждыйизпользователейможетсамостоятельноизменятьнастройкиWindowsиработатьссобственнымифайламиидокументами,создавать,изменятьисохранятькакие-либоданныенезав-моотдр.пользователейWindowsXP.

WindowsVista-операционнаясистемасемействаMicrosoftWindowsNT,предназначеннаядляпользовательскихперсональныхкомпьютеров.Содержитобновленныйграфическийпользовательскийинтерфейс,улучшенныепоисковыевозможности,новыемультимедийныеинструментызаписи,иполностьюперепроектировалорганизациюработусети,аудио,печати,иподсистемыдисплея.

Windows7-пользовательскаяоперационнаясистемасемействаWindowsNT,следующаяповременивыходазаWindowsVistaипредшествующаяWindows8.Windows7поддерживаетпсевдонимыдляпапокнавнутреннемуровне.ДополнительнымпреимуществомWindows7можносчитатьболеетеснуюинтеграциюспроизводителямидрайверов.ВWindows7былатакжеулучшенасовместимостьсостарымиприложениями,некоторыеизкоторыхбылоневозможнозапуститьнаWindowsVista.

ОСUNIXизначальноразрабат-ськаксетеваяимногопользовательская,апотомусразужесодержалавсебесредстваинформационнойбезопасности.ОтличительныесвойстваUNIX-высокаянадежность,возможностьлегкогомасштабированиясети.

Достаточносебязарекомендовали:LINUX(S.U.S.E.),OpenBSD,FreeBSD,SunSolaris.Основныеошибкивэтихсистемахотносятсяуженекядру,аксистемнымиприкладнымутилитам.Наличиеошибоквнихчастоприводиткпотеревсегозапасапрочностисистемы.

Windows8иреволюцияиэволюция.Все,чтобылодостигнутовWindows7никуданеисчезло.ВтожевремяновыйинтерфейсMetroпрекраснопроявляетсебянапланшетникахсWindows8,атакжеувеличиласьскоростьзагрузкисистемы.Такжепоявилисьоблачныефункцииидругиеулучшения,облегчающиеудобствоперехода.ОднакоинтерфейсMetroсоздандлясенсорныхмониторовчтонеоченьудобнонаобычномПК.

Файловаясистема-эточастьоперационнойсистемы,назначениекоторойсостоитвтом,чтобыобеспечитьпользователюудобныйинтерфейсприработесданными,хранящимисянадиске,иобеспечитьсовместноеиспользованиефайловнесколькимипользователямиипроцессами.

Вширокомсмыслепонятие"файловаясистема"включает:

–совокупностьвсехфайловнадиске,

–наборыструктурданных,используемыхдляуправленияфайлами,такие,например,каккаталогифайлов,дескрипторыфайлов,таблицыраспределениясвободногоизанятогопространстванадиске,

–комплекссистемныхпрограммныхсредств,реализующихуправлениефайлами,вчастности:создание,уничтожение,чтение,запись,именование,поискидругиеоперациинадфайлами.

ВозможностипредоставляемыеФСопределяютэксплутационныекачестваФС.ОтоптимальностиорганизациизависитобластьприменимостиФС.

ФС–компонентОСобеспечивающийименованныйдоступкданным.Данныеназываютсяфайлами,ихимена-именамифайлов.

Основныефункциифайловойсистемыможноразделитьнадвегруппы:

Функциидляработысфайлами(создание,удаление,переименованиефайловит.д.)

Функциидляработысданными,которыехранятсявфайлах(запись,чтение,поискданныхит.д.)

Структурированиемножествафайловнамашинныхносителяхосуществляетсяспомощьюкаталогов,вкоторыххранятсяатрибуты(параметрыиреквизиты)файлов.Каталогможетвключатьмножествоподкаталогов,врезультатечегонадискахобразуютсяразветвленныефайловыеструктуры.Организацияфайловввидедревовиднойструктурыназываетсяфайловойсистемой.Принципорганизациифайловойсистемы–табличный.Данныеотом,вкакомместенадискезаписанфайл,хранитсявтаблицеразмещенияфайлов(FileAllocationTable,FAT).

16Авторизация,разграничениедоступакобъектамОС.Краткийобзорсовременныхоперационныхсистем.

Послетого,каклегальныйпользовательвошелвсистемунеобходимоосуществитьавторизацию-предоставлениесубъектуправнадоступкобъекту.Средстваавторизацииконтролируютдоступлегальныхпользователейкресурсамсистемы,предоставляякаждомуизнихименнотеправа,кот.былиопределеныадминистратором.

Какужеговорилось,компьютернаясистемаможетбытьсмоделированакакнаборсубъектов(процессы,пользователи)иобъектов.Подобъектамимыпонимаемкакресурсыоборудования(процессор,сегментыпамяти,принтер,дискииленты),такипрограммные(файлы,программы,семафоры).Каждыйобъектимеетуникальноеимя,отличающееегоотдругихобъектоввсистеме,икаждыйизнихможетбытьдоступенчерезхорошоопределенныеизначимыеоперации.Объекты-абстрактныетипыданных.

Операциизависятотобъектов.Hапример,процессорможеттольковыполнятькоманды.Сегментыпамятимогутбытьзаписаныипрочитаны,тогдакаксчитывателькартможеттолькочитать.Файлыданныхмогутбытьзаписаны,прочитаны,переименованыит.д.

Очевидно,чтопроцессуможетбытьразрешендоступтолькоктемресурсам,ккоторымонимеетавторизованныйдоступ.Желательнодобитьсятого,чтобыонимелдоступтолькоктемресурсам,которыеемунужныдлявыполненияегозадачи.Этотребованиеимеетотношениетолькокпринципуминимизациипривилегий,полезномусточкизренияограниченияколичестваповреждений,которыепроцессможетнанестисистеме.Hапример,когдапроцессPвызываетпроцедуруА,ейдолженбытьразрешендоступтолькокпеременнымиформальнымпараметрам,переданнымей,онадолжнабытьневсостояниивлиятьнадругиепеременныепроцесса.Аналогичнокомпиляторнедолженоказыватьвлияниянапроизвольныефайлы,атольконаиххорошоопределенноеподмножество(типаисходныхфайлов,листинговидр.),имеющихотношениеккомпиляции.Сдругойстороны,компиляторможетиметьличныефайлы,используемыедляоптимизационныхцелей,ккоторымпроцессРнеимеетдоступа.

Различают:дискреционный(избирательный)способуправлениядоступомиполномочный(мандатный).Придискреционномдоступеопределенныеоперациинадопределеннымресурсомзапрещаютсяилиразрешаютсясубъектамилигруппамсубъектов.Полномочныйподходзаключаетсявтом,чтовсяинформацияделитсянауровнивзависимостиотстепенисекретности,авсепользователитакжеделятсянагруппы,образующиеиерархиювсоотв.суровнемдопускакэтойинформации.

Полномочныйподходзаключаетсявтом,чтовсяинформацияделитсянауровнивзависимостиотстепенисекретности,авсепользователитакжеделятсянагруппы,образующиеиерархиювсоответствиисуровнемдопускакэтойинформации.

Большинствооперационныхсистемреализуютименнодискреционноеуправлениедоступом.Главноеегодостоинство-гибкость,главныенедостатки-рассредоточенностьуправленияисложностьцентрализованногоконтроля,атакжеоторванностьправдоступаотданных,чтопозволяеткопироватьсекретнуюинформациювобщедоступныефайлы.

Доменыбезопасности

Чтобыразвитьэтусхемумывведемконцепциюдоменабезопасности(protectiondomain).Процессоперируетсдоменомбезопасности,которыйспецифицируетресурсы,ккоторымпроцессможетиметьдоступ.Каждыйдоменопределяетнаборобъектовитиповопераций,которыемогутбытьосуществленынадкаждымобъектом.Возможностьвыполнятьоперациинадобъектоместьправадоступа.Доменестьнаборправдоступа,каждоеизкоторыхестьупорядоченнаяпара<object-name,rights-set>.Hапример,еслидоменDимеетправадоступа<fileF,{read,write}>,этоозначает,чтопроцесс,выполняемыйвдоменеD,можетчитатьилиписатьвфайлF,нонеможетвыполнятьдругихоперацийнадэтимобъектом.

Связьпроцессовсдоменамиможетбытьстатическойидинамической.Организациядинамическойсвязисложнее.

Заметим,чтодоменможетбытьреализованразличнымиспособами:

Каждыйпользовательможетбытьдоменом.Вэтомслучаенаборобъектов,ккоторымможетбытьорганизовандоступ,зависитотидентификациипользователя.Переключениемеждудоменамиимеетместо,когдаменяетсяпользователь(одинвходитвсистему,другойвыходитизнее).

Каждыйпроцессможетбытьдоменом.Вэтомслучаенабордоступныхобъектовопределяетсяидентификациейпроцесса.Переключениемеждудоменамипроисходит,когдаодинизпроцессовпосылаетсообщениедругомуиждетотклика.

Каждаяпроцедураможетбытьдоменом.Вэтомслучаенабордоступныхобъектовсоответствуетлокальнымпеременным,определеннымвнутрипроцедуры.Переключениемеждудоменамипроисходит,когдапроцедуравыполнена.

РассмотримстандартнуюдвухрежимнуюмодельвыполненияОС.Когдапроцессвыполняетсяврежимесистемы(kernelmode),онможетвыполнятьпривилегированныеинструкцииииметьполныйконтрольнадкомпьютернойсистемой.Сдругойстороны,еслипроцессвыполняетсявпользовательскомрежиме,онможетвызыватьтольконепривилегированныеинструкции.Следовательно,онможетвыполнятьсятольковнутрипредопределенногопространствапамяти.НаличиеэтихдвухрежимовпозволяетзащититьОС(monitordomain)отпользовательскихпроцессов(выполняющихсявuserdomain).Вмультипрограммныхсистемахдвухдоменовнедостаточно,таккакпоявляетсянеобходимостьзащитыпользователейдруготдруга.Поэтомутребуетсялучшеразработаннаясхема.

ВОСUnixдоменсвязанспользователем.Переключениедоменовсоответствуетсменепользователя.Этоизменениереализуетсячерезфайловуюсистему.

Матрицадоступа. Модельбезопасности,такимобразом,выглядиткакматрица,называемаяматрицейдоступа.

Каковаможетбытьэффективнаяреализацияматрицыдоступа.Вобщемслучаеонабудетразреженной,тоестьбольшинствоклетокбудутпустыми.Хотясуществуютструктурыданныхдляпредставленияразреженнойматрицы,онинеслишкомполезныдляприложений,использующихвозможностизащиты.

Списокправдоступа.Accesscontrollist.

Каждаяколонкавматрицеможетбытьреализованакаксписокдоступадляодногообъекта.Очевидно,чтопустыеклеткимогутнеучитываться.Врезультатедлякаждогообъектаимеемсписокупорядоченныхпар<domain,rights-set>,которыйопределяетвседоменыснепустыминаборамиправдляданногообъекта.

Списокправдоступаможетбытьдополнендефолтнымнаборомправ.

ПримерUnix.Всесубъектыразделенынатригруппы,длячленовкаждойгруппыконтролируютсятриоперации(rwx),витогеимеемACL9-битныйкод.

Capabilitylist

Еслиматрицудоступахранитьпострокам,тоестькаждыйсубъектхранитсписокобъектовидлякаждогообъектасписокдопустимыхопераций,тотакойспособхраненияназываетсяcapabilitylist.

ПримерамисистемтакогородаявляютсяHydra,CambridgeCAPSystem.

Иногдаприменяетсякомбинированныйспособ.Например,втомжеUnixнаэтапеоткрытияфайлапроисходитанализACL.Вслучаеблагоприятногоисхода(упроцессабылисоответствующиеправа)файлзаноситсявсписокоткрытыхфайлов,иприпоследующихоперацияхчтенияизаписипроверкиправдоступанепроисходит.Списокоткрытыхфайловможнорассматриватькакcapabilitylist.

Существуютдругиеобщиеметоды,используемыедлясменыдоменавОС,вкоторойидентификаторыпользователейиспользуетсядляопределениядомена.Почтивсесистемынуждаютсявтакоммеханизме.Этотмеханизмиспользуется,когданекаяпривилегированнаявозможностьнеобходимабольшомуколичествупользователей.Hапример,можетбытьжелательноразрешитьпользователямиметьдоступксетибезтого,чтобызаставлятьихписатьсобственныесетевыепрограммы.ДляэтогослучаявОСUnixустанавливаетсябитsetuidвсетевойпрограмме,заставляяменятьсядоменнавремяеевыполнения.Такимобразом,рядовойпользовательможетполучитьнужныепривилегиидлядоступаксети.

МеханизмLock-Key.Схемаlock-key-компромиссмеждуaccesslistsиcapabilitylists.Каждыйобъектимеетсписокуникальныхбитовыхшаблонов(patterns),называемыхlocks.Аналогично,каждыйдоменимеетсписокуникальныхбитовыхшаблонов,называемыхключами.Процесс,выполняющийсявдомене,можетиметьдоступкобъекту,толькоеслидоменимеетключ,которыйсоответствуетодномуизlocksобъекта.

Какивслучаеcapabilitylists,списокключейдлядоменадолженуправлятьсяОС.Пользователямнеразрешенопроверятьилимодифицироватьспискиключей(илиlocks)непосредственно.

Недопустимостьповторногоиспользованиеобъектов. Контрользаповторнымиспользованиемобъектапредназначендляпредотвращенияпопытокнезаконногополученияконфиденциальнойинформации,остаткикотороймоглисохранитьсявнекоторыхобъектах,ранееиспользованныхиосвобожденныхдругимпользователем.Безопасностьповторногоиспользованиядолжнагарантироватьсядляобластейоперативнойпамяти(вчастности,длябуферовсобразамиэкрана,расшифрованнымипаролямиит.п.),длядисковыхблоковимагнитныхносителейвцелом.Очисткадолжнапроизводитьсяпутемзаписимаскирующейинформациивобъектприегоосвобождении(перераспределении).Hапример,длядисковнапрактикеприменяетсяспособдвойнойперезаписиудаленныхфайловслучайнойбитовойпоследовательностью.