Система защиты в операционной системе Linux

(версия Ubuntu)

Цель работы: знакомство со способами и реализующими их средствами защиты информации операционной системы Linux (Ubuntu), приобретение практических навыков их использования.

Часть 1. Права доступа в системе Linux и повышение прав пользователей

Права доступа в системе Linux

Пользователи и группы

Поскольку система Linuxс самого начала разрабатывалась как многопользовательская система, в ней предусмотрен такой механизм, как права доступа к файлам и каталогам. Он позволяет разграничить полномочия пользователей, работающих в системе. В частности, права доступа позволяют отдельным пользователям иметь «личные» файлы и каталоги. Например, если пользователь userсоздал в своѐм домашнем каталоге файлы, то он является владельцем этих файлов и может определить права доступа к ним для себя и остальных пользователей. Он может, например, полностью закрыть доступ к своим файлам для остальных пользователей, или разрешить им читать свои файлы, запретив изменять и исполнять их.

Правильная настройка прав доступа позволяет повысить надѐжность системы, защитив от изменения или удаления важные системные файлы. Наконец, поскольку внешние устройства с точки зрения Linuxтакже являются объектами файловой системы, механизм прав доступа можно применять и для управления доступом к устройствам.

У любого файла в системе есть владелец — один из пользователей. Однако каждый файл одновременно принадлежит и некоторой группе пользователей системы. Каждый пользователь может входить в любое количество групп, и в каждую группу может входить любое количество пользователей из числа определѐнных в системе.

Кроме учѐтных записей, которые используют люди для работы с системой, в Linuxпредусмотрены учѐтные записи для т. н. системных пользователей: сточки зрения системы это такие же пользователи, которые могут быть владельцами файлов, однако эти учѐтные записи используются только для работы некоторых программ-серверов. Например, стандартный системный пользователь mailиспользуется программами доставки почты.

Когда в системе создаѐтся новый пользователь, он добавляется по крайней
мере в одну группу. В дальнейшем администратор может добавить пользователя к другим группам.

Механизм групп может применяться для организации совместного доступа нескольких пользователей к определѐнным ресурсам. Например, на сервере организации для каждого проекта может быть создана отдельная группа, в которую войдут учѐтные записи (имена пользователей) сотрудников, работающих над этим проектом. При этом файлы, относящиеся к проекту, могут принадлежать этой группе и быть доступными для еѐ членов.

Добавление пользователей

Добавление и удаление пользователей — одни из основных задач, которые необходимо уметь выполнять.

1) Для начала откройте терминал, как вы видите терминал работает под пользователем user1, который не имеет root привелегий для добавления нового пользователя.

Рис. 149 Терминал

2) Чтобы пользователь получил привелегии root, необходимо выполнить команду sudosu. После ввода команды вам предлагается ввести пароль от текущего пользователя (введите – 1)

Рис. 150 Выполнение команды sudosu

3) После ввода пароля вы увидите, что теперь все действия будут выполняться от пользователя root

Рис. 151 Результат выполнения команды sudosu

4) Теперь введите следующую команду

В любом случае система задаст ряд вопросов.

· Нужно установить и подтвердить пароль нового пользователя.

· Затем нужно предоставить дополнительную информацию о новом пользователе. Это совершенно не обязательно, при желании все поля можно оставить незаполненными, нажав Enter.

· В завершение нужно подтвердить подлинность введенной только что информации. Для этого введите Y.

Новый пользователь готов к работе! Теперь можно открыть учетную запись нового пользователя, используя установленный ранее пароль.

Удаление пользователей

В случае если пользователь больше не нужен, его аккаунт лучше удалить. Можно удалить самого пользователя, не удаляя его файлов, набрав как root следующее:

Если текущим является пользователь с привилегиями sudo, наберите:

Чтобы удалить домашний каталог пользователя, когда пользователь удален, выполните как root следующую команду:

Если пользователь, которого нужно удалить, имеет привилегии sudo, нужно удалить соответствующую строку из конфигурационного файла, чтобы отнять привилегии:

· для пользователя root

· для пользователя с привилегиями sudo

Таким образом, если в дальнейшем в системе появится пользователь с таким же именем, он не сможет пользоваться случайно доставшимися привилегиями sudo.

Виды прав доступа

Права доступа определяются по отношению к трѐм типам действий: чтение(r), запись (w)и исполнение (x).Эти права доступа могут быть предоставлены 3-ем классам пользователей: владельцу файла (пользователю), группе, которой принадлежит файл, а также всем остальным пользователям, не входящим в эту группу. Право на чтение даѐт пользователю возможность читать содержимое файла или, если такой доступ разрешен к каталогам, просматривать содержимое каталога (используя команду ls). Право на запись даѐт пользователю возможность записывать или изменять файл, а право на запись для каталога — возможность создавать новые файлы или удалять файлы из этого каталога. Наконец, право на исполнение позволяет пользователю запускать файл как программу или сценарий командной оболочки (разумеется, это действие имеет смысл лишь в том случае, если файл является программой или сценарием). Владение правами на исполнение для каталога позволяет перейти (командой cd) в этот каталог.

Чтобы получить информацию о правах доступа, используйте команду ls с ключом -l. При этом будет выведена подробная информация о файлах и каталогах, в которой будут, среди прочего, отражены права доступа. Рассмотрим следующий пример:

$ls –l > ls.txt
$ls -l
-rw—r—r-- user user 430 Ноя 9 11:11 ls.txt

Первое поле в этой строке (-rw-r--r--) отражает права доступа к файлу. Третье поле указывает на владельца файла, четвѐртое поле указывает на группу, которая владеет этим файлом. Последнее поле — это имя файла (ls.txt). Другие поля описаны в документации к команде ls.

Первый символ из этого ряда (-) обозначает тип файла. Символ -означает, что это — обычный файл, который не является каталогом (в этом случае первым символом было бы d) или псевдофайлом устройства. Следующие три символа (rw-) представляют собой права доступа, предоставленные владельцу user. Символ r— сокращение от read (англ. читать), а w—сокращение от write (англ. писать). Таким образом, userимеет право на чтение и запись (изменение) файла.

После символа wмог бы стоять символ x, означающий наличие прав на исполнение (англ. execute, исполнять) файла. Однако символ-, стоящий здесь вместо x, указывает, что userне имеет права на исполнение этого файла. Это разумно, так как файл не является программой. В то же время, пользователь, зарегистрировавшийся в системе как user, при желании может предоставить себе право на исполнение данного файла, поскольку является его владельцем. Для изменения прав доступа к файлу или каталогу используется команда chmod.

Следующие три символа (r--) отражают права доступа группы к файлу. Наконец, последние три символа (это опять r--) отражают собой права доступа к этому файлу всех других пользователей, помимо собственника файла и пользователей из группы. Так как здесь указан только символ r, эти пользователи тоже могут читать файл. Вот ещѐ несколько примеров:

-rwxr-x—x

Пользователь-владелец файла может читать файл, изменять и исполнять его; пользователи, члены группы-владельца могут читать и исполнять файл, но не изменять его; все остальные пользователи могут лишь запускать файл на выполнение.

-rw-------

Только владелец файла может читать и изменять его.

-rwxrwxrwx

Все пользователи могут читать файл, изменять его и запускать на выполнение.

----------

Никто, включая самого владельца файла, не имеет прав на его чтение, запись или выполнение. Хотя такая ситуация вряд ли имеет практический смысл, с точки зрения системы она является вполне корректной. Разумеется, владелец файла может в любой момент изменить права доступа к нему.