Решение практических задач на разграничение доступа

Базовые возможности ОС Linux в плане разграничения доступа субъектов к объектам весьма скупы и рациональны. Администратору при создании учетных записей пользователей и определении первичных прав доступа к файлам и каталогам порой приходится решать нелегкие задачи. Тем не менее большинство практических задач может быть успешно решено, причем несколькими способами.

Администратор при разграничении доступа может оперировать группами, учетными записями пользователей (и отдельными полями этих записей), правами на файловые объекты, а также их дополнительными свойствами. К сожалению, сложность практических задач не позволяет предусмотреть строгие алгоритмы для манипуляции правами доступа. В каждом конкретном случае задача разграничения доступа является эвристической и имеет несколько решений. Сформулируем ряд таких задач по возрастанию сложности и для некоторых из них предложим варианты решений.

1. В системе, где обрабатывается только открытая информация, зарегистрировано N пользователей с одинаковыми правами. У каждого пользователя имеется собственный (принадлежащий его владельцу) подкаталог с файлами, который в свою очередь размещен в каталоге /home. Создание и удаление файлов в каталоге, а также модификация существующих файлов разрешены только владельцу каталога. Файлы не являются программами. Чтение и копирование любого пользовательского файла разрешено каждому пользователю. Перемещение и копирование файлов (своих или чужих) в каталог другого пользователя не допускается. Пользовательских файлов вне домашних каталогов существовать не должно. Требуется определить владельцев и права доступа к каталогу /home, подкаталогам и файлам пользователей. Существует ли возможность нарушения запрета? В чем она заключается?

Решение. В этом довольно простом случае можно обойтись без планирования групповых прав, которые для определенности будем просто исключать. Владельцем каталога /home должен являться root, а права доступа к каталогу определяются маской доступа drwx–––r–x. Будем считать, что все остальные каталоги файловой системы пользователям на запись недоступны. Этим допущением обеспечивается невозможность создания, перемещения или копирования файлов вне домашних каталогов (на самом деле обычным пользователям разрешен полный доступ в каталоги /tmp, /var/tmp, /dev/shm ).

Определимся с минимально необходимыми правами пользователей на их домашние каталоги. По условию владельцы каталогов должны иметь возможность выполнять все действия с файлами, исключая их запуск. Следовательно, владельцы каталогов должны иметь на них полные права. Поскольку нам неизвестно, в какие группы входят те или иные пользователи, групповые права на файлы и каталоги исключим. Другие пользователи имеют право входить в любой домашний каталог и читать (следовательно, копировать) из них файлы. Но создавать свои файлы, копировать и перемещать в них, а также удалять из них любые файлы пользователи не вправе. Весь этот набор запретов обеспечивается отсутствием одного из базовых прав – на запись. Установки дополнительного бита t в данном случае не требуется. Таким образом, права доступа к домашним каталогам определяются строкой rwx---r-x.

Права доступа пользователей на их файлы описываются строкой rw----r--. Следовательно, пользователи должны иметь по умолчанию маску доступа на файлы umask=0072.

Возможность нарушения запрета существует, поскольку пользователи могут по своему усмотрению изменить право доступа к своим каталогам и маску доступа для вновь создаваемых или копируемых файлов.

2. В системе, где обрабатываются открытые данные и информация, составляющая коммерческую тайну, зарегистрировано N пользователей. Из них M привилегированных пользователей (M < N) имеют равный доступ к коммерческой тайне. Функционально-зонального разграничения доступа не предусматривается (считаем, что все пользователи работают в одном подразделении, без какой–либо специализации). Подкаталоги и файлы всех пользователей размещены в каталоге /home, принадлежащем администратору. В каталогах привилегированных пользователей разрешено хранить только конфиденциальные данные. Пользовательские файлы не являются программами. Все пользователи имеют доступ ко всей открытой информации без права модификации чужих файлов, а также создания и удаления файлов в чужих каталогах. Читать и копировать конфиденциальные файлы могут только привилегированные пользователи, но они не должны создавать своих файлов в каталогах других пользователей, а также изменять или удалять чужие конфиденциальные данные. Привилегированные пользователи не имеют прав на копирование и перемещение конфиденциальных файлов в каталоги других пользователей, в том числе при их содействии.

Требуется определить владельцев, группы и права доступа к домашним каталогам и файлам пользователей. Учесть, что при создании новых пользователей без явного указания групп они (группы) создаются по умолчанию. Существует ли возможность нарушения запрета пользователями? В чем она заключается?

Решение. В данном случае без использования групп и групповых прав уже не обойтись. Администатору достаточно создать одну группу private и включить в нее всех привилегированных пользователей. Все остальные пользователи могут быть членами собственных групп, куда входят только они сами. Однако по умолчанию не исключено их членство в общей группе users. Этот нежелательный фактор следует учесть и нейтрализовать.

Рассмотрим требования на доступ к каталогу и файлам на примере пользователя ivanov из группы private. Пользователь должен иметь возможность выполнять все действия со своими файлами, исключая их запуск. Следовательно, он должен иметь на свой каталог полные права. Члены его основной и единственной группы должны иметь право входа в каталог /home/ivanov и чтения из него. Поскольку открытой информации в каталогах привилегированных пользователей нет, всем остальным пользователям доступ к этим каталогам должен быть запрещен. Таким образом, права доступа пользователей к каталогу /home/ivanov должны определяться маской защиты rwxr-x---.

Права владельца на конфиденциальные файлы должны разрешать их чтение и запись. Члены группы private могут файлы читать, а следовательно, и копировать. Лишение их права записи не позволит модифицировать чужие файлы. Доступ остальных пользователей к конфиденциальным данным запрещен на уровне каталога, однако лишний запрет не помешает. Таким образом, права доступа пользователей к файлам, хранимым в каталоге /home/ivanov, должны определяться строкой rw-r-----.

Определим права доступа к каталогу и файлам обычного пользователя, работающего с открытой информацией, на примере имени petrov. Пользователь должен обладать на свой каталог полными правами, групповые права по причине неопределенности исключаются, а для всех пользователей требуются права входа и чтения в каталоге. Владелец открытых файлов имеет на них права чтения и записи, групповые права исключаются, а для всех пользователей должно предусматриваться только право чтения. Соответственно права пользователей на каталог /home/petrov определяются строкой rwx---r-x, а на хранимые в нем файлы – строкой rw----r--.

Если привилегированный пользователь намеренно или случайно попытается скопировать чужие конфиденциальные данные в каталог другого пользователя, ему будет отказано в доступе, т.к. правом записи в каталоги других пользователей он не обладает.

Как и в предыдущем случае, существует возможность нарушения запрета, поскольку пользователи могут по своему усмотрению изменить права на доступ к своим каталогам и файлам.

3. Дополнение к предыдущей задаче заключается в том, что в подкаталогах привилегированных пользователей могут храниться созданные ими открытые файлы, чтение и копирование которых разрешено всем, и конфиденциальные файлы, с которыми могут работать только их владельцы и члены группы private. Какие дополнительные меры по разграничению доступа необходимо предусмотреть администратору?

Решение. Права на каталоги и файлы обычных пользователей не изменятся, поэтому рассмотрим только права доступа к конфиденциальным данным пользователя ivanov. Поскольку в каталоге /home/ivanov появились открытые файлы, которые имеют право читать все пользователи, требуется открыть им этот каталог для поиска и чтения. Права на каталог /home/ivanov должны обеспечить свободный доступ на поиск и чтение как для членов конфиденциальной группы, так и для всех остальных пользователей, т. е. rwxr-xr-x. Права на конфиденциальные файлы будут выглядеть аналогично вышерассмотренному случаю rw-r-----, а права на открытые файлы – rw-r--r--. Как видно, использования прав на доступ к файлам вполне достаточно для решения задачи.

4. Отличие от предыдущего задания состоит в том, что в организации есть группа руководителей численностью K < M. Руководители имеют право читать и копировать в свои каталоги любые файлы, но лишены прав на создание, удаление или модификацию файлов в каталогах пользователей. Каталоги и файлы руководителей должны быть доступны только им самим. Требуется определить владельцев, группы и права доступа к домашним каталогам и файлам пользователей. Решить задачу читателям предстоит самостоятельно.

5. В организации, работающей с информацией ограниченного доступа, все пользователи имеют допуск к коммерческой тайне. Сведения, содержащие коммерческую тайну, обрабатываются в трех подразделениях, сотрудники которых образуют пользовательские группы alfa, beta и gamma. Внутри каждого из подразделений пользователи имеют право совместно работать с конфиденциальной информацией. Для конфиденциальных документов подразделения создается отдельный подкаталог с одноименным названием, в котором хранятся файлы, доступные для чтения и записи любому пользователю данной группы. Владельцами файлов становятся сотрудники, которые эти файлы создают. Файлы с открытой информацией не создаются. По возможности следует предусмотреть защиту от случайного стирания результата длительной коллективной работы, которую можно уничтожить – точнее, зачеркнуть простой командой

echo Привет! > <file_name>

Доступ к конфиденциальным данным со стороны сотрудников иных подразделений должен быть исключен.

Решение. Первым шагом должно стать создание трех групп:

groupadd alfa; groupadd beta; groupadd gamma

Для каждой группы администратор создает одноименный групповой каталог. Следовательно, все три таких каталога по умолчанию будут принадлежать администратору. Но администратор не должен быть владельцем созданных каталогов, поскольку это может привести к наследованию пользователями опасных групповых прав. Гораздо лучше создать в каждой группе одну фиктивную учетную запись пользователя, которому предстоит получить во владение групповой каталог. Допустим, что такими пользователями будут starkov, sidorov и smirnov. Действующих пользователей использовать для этой роли нельзя, так как владельцев каталогов предполагается лишить доступа к своему каталогу. Администратору необходимо предусмотреть блокирование учетных записей фиктивных пользователей, чтобы их правами никто не мог воспользоваться (например, для несанкционированного изменения прав доступа на каталоги).

Пока фиктивных учетных записей еще нет, администратор создает групповые каталоги от своего имени:

cd /home

mkdir –m 070 alfa

mkdir –m 070 beta

mkdir –m 070 gamma

Таким образом, полные права доступа на групповые каталоги имеют только члены соответствующих (одноименных) групп.

Затем создаются учетные записи пользователей с явным указанием их основных групп и групповых каталогов. Включение пользователей в дополнительные группы не планируется:

useradd –g alfa –m –d /home/alfa ivanov; passwd ivanov

useradd –g alfa –m –d /home/alfa petrov; passwd petrov

useradd –g alfa –m –d /home/alfa starkov; passwd starkov

............................................

useradd –g beta –m –d /home/beta sidorov; passwd sidorov

............................................

useradd –g gamma –m –d /home/gamma smirnov; passwd smirnov

............................................

После этого надлежит передать владение каталогами фиктивным пользователям starkov, sidorov и smirnov.

cd /home

Дата добавления: 2015-03-31; Просмотров: 735; Нарушение авторских прав?; Мы поможем в написании вашей работы!