ОСНОВЫ УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА К ФАЙЛОВЫМ ИНФОРМАЦИОННЫМ РЕСУРСАМ В ОПЕРАЦИОННЫХ СИСТЕМАХ НА ОСНОВЕ ЯДРА LINUX

BASICS OF MANAGING ACCESS RIGHTS TO FILE INFORMATION RESOURCES IN LINUX KERNEL-BASED OPERATING SYSTEMS

Oksana Orlovskaya

student, Department of Computer Science and Technology, Vladimir State University,

Russia, Vladimir

Vladimir Karpovskiy

supervisor, Ph.D. tech. Sciences, Associate Professor, Vladimir State University,

Russia, Vladimir 

АННОТАЦИЯ

В статье представлены сведения об управлении правами доступа к файловым информационным ресурсам при использовании операционных систем Linux. Для иллюстрации приведены примеры распространенных команд.

ABSTRACT

The article provides information about the management of access rights to file information resources when using Linux operating systems. Examples of common commands are provided to illustrate.

Ключевые слова: Linux, группа, учетная запись пользователя, файловый информационный ресурс, права доступа, разрешение, команды управления разрешениями.

Keywords: Linux, group, user account, file information resource, access rights, permission, permission management commands.

Переход на отечественное ПО [1] требует от администраторов и пользователей информационных систем пристального внимания к обеспечению информационной безопасности при использовании отечественных операционных систем, большинство из которых построено на основе ядра Linux.

С целью обеспечения информационной безопасности на каждом предприятии необходимо регламентировать права доступа пользователей к корпоративным файловым информационным ресурсам, размещенным на компьютерах. Файловый информационный ресурс – совокупность файлов и папок (каталогов), хранящихся в каталоге файловой системы, доступ к которой разграничивается в соответствии с ролью пользователя в системе.

Доступ разграничивается как правило на уровне каталогов. Назначение прав доступа выполняется для групп безопасности, содержащих учетные записи пользователей, наделенных одним из вариантов полномочий доступа к файловому информационному ресурсу.

Основные способы разграничения доступа для систем на основе ядра Linux базируются на POSIX-совместимом стандарте определения разрешений на доступ к объектам, основанный на списках контроля доступа (ACL – Access Control Lists). Суть ее заключается в управлении доступом субъектов к объектам на основе списков управления доступом [2,3].

В рамках дискреционного управления доступом различают два варианта реализации POSIX ACL: Minimal POSIX ACL и Extended POSIX ACL.

В информационных системах общего назначения как правило реализуется вариант Minimal POSIX ACL, который и имеется ввиду в дальнейшем изложении материалов.

На рисунке 1 приведена схема отношений между пользователями, группами и файловыми ресурсами для операционных систем на основе ядра Linux.

Рисунок1. Отношения между файловым ресурсом, пользователями и группами

При создании учетной записи пользователя создается одноименная первичная группа. При необходимости пользователь может быть добавлен как член в другие (вторичные для него) группы.

В метаданных каждого объекта (файла/директории) содержится список разрешений на доступ к нему для разных категорий субъектов.

Minimal ACL использует три класса субъектов доступа к файлу/директории:

1. User access (u) – доступ для владельца файла;
2. Group access (g) – доступ для группы, владеющей файлом;
3. Other access (o) – доступ для остальных пользователей (кроме пользователя root).

Пользователь (u) создав файл или директорию становится владельцем, одноименная группа (g) становится группой владельцев, остальные пользователи и группы (o) (кроме пользователя root) могут также иметь разрешения на доступ к данному ресурсу, если их разрешит владелец.

Для удобства вводится класс All, объединяющий все три класса: All access (a) – доступ для всех субъектов доступа (u, g, o).

Для каждого из классов (u, g, o, a) определены три типа разрешений:

1. На чтение содержимого (read) – символ «r».
2. На запись или изменение содержимого (write) – символ «w».
3. На исполнение файла или вход в директорию – символ «x».

Список разрешений Minimal ACL представлен в метаданных девятью байтами (символами), по три байта (символа) для владельца, группы владельцев и остальных. Каждый байт определяет одно из разрешений (символы r, w, x) или их отсутствие (символ «-»).

Атрибуты отдельного файла или директории в символьном виде можно прочитать командой: ls –l <имя_файла>.

Пример вывода результатов выполнения команды для файла:

Самый первый символ (–) означает, что файл check_print.do.pdf обычного типа. Для владельца vladimir разрешены чтение, запись и исполнение (rwx), для владеющей группы vladimir – чтение и запись (rw-), для остальных пользователей – только чтение (r--).

Пример вывода результатов выполнения команды для директории:

Самый первый символ (d) означает, что директория. Для владельца директории Изображения vladimir разрешены чтение, запись и исполнение (rwx), для владеющей группы vladimir – чтение и исполнение (r-x), для остальных пользователей – также чтение и исполнение (r-x). Исполнение для директории означает возможность входа в нее.

Для изменения разрешений для определенного ресурса используется команда chmod с соответствующими аргументами, обеспечивающими гибкость управления разрешениями в различных ситуациях. Например, чтобы добавить разрешение чтения файла check_print.do.pdf для остальных пользователей в ранее приведенной ситуации, выполним команду: chmod o=r  check_print.do.pdf

Minimal ACL также позволяет использовать числовое представление разрешений в виде трех восьмеричных чисел: чтение = 4; запись = 2; выполнение =1. Например, полный доступ (rwx) – это: 4+2+1=7, а набор разрешений для всех субъектов (u,g,o) равный 754, будет соответствовать атрибутам rwxr-xr--.

Продвинутые операции управления разрешениями, используемые при администрировании, реализуются установкой специальных флагов в зарезервированном десятом байте списка Minimal POSIX ACL.

Таким образом, перед пользователями и администраторами ОС на основе ядра Linux, ранее применявшими ОС Windows, ставится задача освоения и применения на практике новых для них подходов управления правами доступа к файловым информационным ресурсам.

Список литературы:

1. Приказ Минкомсвязи России «Об утверждении плана импортозамещения программного обеспечения» [Электронный ресурс]. - Режим доступа: https://digital.gov.ru/ru/documents/4548/.  (Дата обращения: 11.08.2022).
2. Разграничение доступа в Linux. Знакомство с Astra Linux [Электронный ресурс]. - Режим доступа: https://codeby.school/blog/informacionnaya-bezopasnost/razgranichenie-dostupa-v-linux-znakomstvo-s-astra-linux. (Дата обращения: 11.08.2022).
3. POSIX ACLs. Установка и изменение прав доступа [Электронный ресурс]. - Режим доступа: https://www.opennet.ru/docs/ RUS/posixacl/posixacls5.html (Дата обращения: 11.08.2022).