Chown smirnov gamma

Chown sidorov beta

Chown starkov alfa

Любой из пользователей может создавать свои файлы с правами доступа 660 (чтение и запись для себя и для членов своей группы). Единую маску доступа umask=007 администратор должен заранее, до создания учетных записей пользователей, предусмотреть в файле /etc/skel/.bash _profile.

Защиту групповых файлов от намеренной или случайной модификации и удаления со стороны членов группы с помощью базовых прав предусмотреть нельзя. Установка на файлы дополнительных атрибутов i и a лишена смысла, поскольку документы должны редактироваться и изменяться.

6. Пользователь semaforkin входит в группу beta и обязан предоставить ее членам возможность читать и копировать его служебные документы. Ему также разрешено в пределах дисковой квоты создавать и хранить в своем каталоге личные файлы, и он вправе сделать их недоступными для других. В коллективе также работает пользователь mironova, которая членом вышеуказанной группы не является и которой semaforkin доверяет свои личные тайны, но не должен доверять служебную информацию.

Решение. Допустим, что служебные и личные файлы пользователя semaforkin будут храниться в его домашнем каталоге, в отдельных подкаталогах, не вложенных друг в друга. Например, подкаталог /home/semaforkin/doc хранит служебные файлы. Права на этот каталог rwxr-x--- и на служебные файлы rw-r----- обеспечивают требуемый доступ членам его группы и запрещают допуск посторонних. Если semaforkin разместит личные файлы в подкаталоге /home/semaforkin/private с установкой прав rwx---r-x на каталог и rw----r-- на файлы, доступ пользователя mironova к файлам будет разрешен, а членам его группы – запрещен. Но, вместе с тем, открывается доступ к личным файлам со стороны всех иных зарегистрированных пользователей, не входящих в группу beta. Как видно, эта внешне простая задача одним только назначением прав доступа к файловым объектам не решается.

Один из вариантов решения задачи связан с дополнительными группами и сменой владельца каталога. Допустим, что пользователь mironova в единственном числе входит в собственную группу с таким же именем. Администратор при помощи команды

usermod –G mironova semaforkin

превращает пользователя semaforkin в члена этой группы. Второй командой

chown mironova /home/semaforkin/private

администратор передает mironova право владения каталогом. Наконец, пользователь mironova со своими полномочиями устанавливает права на доступ к этому каталогу в виде r-xrwx---. Задача заметно усложнится, если в основную группу mironova включены какие-либо иные пользователи. Вхождение пользователя semaforkin в группу mironova делает возможным его встречный доступ к ее файлам, а об этом в условиях задачи ничего не говорилось.

Второй вариант решения заключается в передаче личных файлов semaforkin во владение mironova, что можно сделать только с правами суперпользователя. При этом на эти файлы следует установить права r----rw-, а каталог /home/semaforkin/private по-прежнему будет доступен всем иным пользователям. Но передать во владение другому пользователю можно только уже существующие файлы, а что касается новых файлов, то они будут принадлежать создателю. Причем к этим файлам будет открыт доступ и иным пользователям, не входящим в группу beta.

Таким образом, для решения подобных задач требуется манипуляция группами и правами на файловые объекты. Предложенные варианты не отличаются строгостью решений.

7. Сотрудник отдела кадров mogolev по вопросам службы подчиняется начальнику отдела и включен в основную группу persona, которая связана с персональными данными сотрудников фирмы. В то же время он является ответственным членом профсоюзной организации, ведет ее документы и является членом дополнительной группы trade. Одновременно он является секретарем ячейки либерально-демократической партии и входит в дополнительную группу liberty. Разработка и редактирование служебных, профсоюзных и партийных документов производится на одном сетевом компьютере под управлением ОС Linux. Директор фирмы вынужден разрешить такое совмещение, но требует, чтобы утечки служебной информации по партийным и профсоюзным каналам не происходило. Этого же требуют и руководители общественных организаций. Члены групп пользователя должны иметь право входа только в определенные каталоги и чтения только предназначенных им файлов.

Решение. Допустим, что в домашнем каталоге пользователя mogolev создаются три отдельных подкаталога с именами persona, trade и liberty и файлами соответственно служебного, профсоюзного и партийного назначения.

По определению члены дополнительных групп пользователя по отношению к его файловым объектам имеют права всех остальных пользователей, иначе говоря, права членов дополнительных групп не разграничиваются. Групповые права на каталоги и файлы пользователя распространяются только на членов его основной группы. Следовательно, обычным способом задача разграничения доступа не решается.

Один из вариантов решения заключается в передаче подкаталогов persona, trade и liberty во владение каким-либо членам соответствующих групп (желательно – фиктивным). Тогда на каждый из подкаталогов можно установить права r-xrwx---, обеспечивая тем самым пользователю mogolev и членам функциональных групп возможность свободной манипуляции с файлами.

8. За единственным в организации компьютером, категорированным для обработки и хранения информации ограниченного доступа и работающим под управлением операционной системы Linux, закреплено три пользователя: ivanov, petrov и kondakov. Пользователь ivanov допущен к обработке сведений, содержащих служебную тайну. Пользователь petrov работает с персональными данными, а kondakov – с коммерческой тайной. Пользователи работают за компьютером по временному графику, и одновременное присутствие за консолью более одного пользователя исключается. В случае временного отсутствия пользователя его виртуальная консоль блокируется. У каждого пользователя имеется свой одноименный домашний каталог, куда доступ других пользователей должен быть запрещен. Доступ к данным в обход файловой системы исключен с помощью организационных мер и путем блокирования возможности загрузки компьютера со сменного машинного носителя.

Решение. Рассмотрим решение на примере пользователя ivanov. В его владении находится каталог /home/ivanov с установленными правами rwx------. Групповые права на каталог исключены, так как вышеназванные пользователи на этапе создания учетных записей по умолчанию могут быть включены в одну группу. Права на каталог обеспечивают решение задачи, и других механизмов защиты не требуется.

9. В организации работают два пользователя: sergeevи nikolaev. Sergeev допущен к секретным сведениям, а nikolaev должен работать только с несекретными документами. Каждый из пользователей работает с фиксированным числом электронных документов (новые файлы не создаются, а существующие не удаляются). Файлы обоих пользователей хранятся в одном каталоге. Sergeev имеет право читать и редактировать свои файлы, а также читать файлы «несекретного» пользователя без возможности записи в них. Nikolaev может читать и редактировать свои файлы, а также имеет право дописывать (без возможности чтения и удаления существующих данных) свою информацию в файлы «секретного» пользователя. Группы пользователей включают только их самих. Ни один из пользователей не является администратором и не наделен особыми правами. Требуется составить матрицу доступа пользователей и обеспечить их разграничение средствами файловой системы Linux (табл. 1.1).

Таблица 1.1

10. В дополнение к предыдущей задаче оба пользователя должны иметь возможность создавать новые файлы и удалять файлы, которые им принадлежат. Удаление чужих файлов, в том числе путем их полной перезаписи, запрещается. Требуется составить матрицу доступа пользователей и обеспечить их разграничение средствами файловой системы Linux (табл. 1.2). В целях разграничения доступа можно предусмотреть создание личных каталогов пользователей. Выполняются ли условия разграничения доступа, если файлы пользователей хранятся в одном каталоге?

Таблица 1.2

Символ c обозначает право создания файлов, d – право удаления своих файлов, а t – запрет на удаление чужих файлов. Подобные права устанавливаются не на файлы, а на каталоги.

Попробуем решить задачу с одним общим каталогом для секретных и несекретных файлов, который никому из них не принадлежит. В одну группу пользователи не входят, следовательно, их право на каталог такое же, как и для всех остальных зарегистрированных пользователей. Для создания файлов каждому из них требуется право на вход и запись в каталог. Для удаления существующих файлов потребуется знать их имена, что предполагает право чтения в каталоге. В дополнение к полным базовым правам на каталог требуется установить дополнительный стикки–бит, чтобы помешать пользователям в удалении чужих файлов.

Таким образом, каталог создается администратором и принадлежит ему. Права на каталог задаются битовой строкой ––––––rwt (администратору никаких прав не требуется). Права на файлы Sergeev записываются в виде rw-----w-, а права доступа к файлам Nikolaev представляются в виде rw----r--.

11. В организации работают три пользователя: «секретный» – smirnov, «конфиденциальный» – kostrov и «несекретный» – nikonov. Ни один из пользователей не является администратором и не наделен особыми правами. Пользователи создают и редактируют документы соответствующих уровней конфиденциальности. Они имеют право удалять принадлежащие им файлы. Пользователи не имеют права создавать файлы, доступные для чтения «снизу», и записывать данные в существующие файлы более низкого уровня конфиденциальности. Kostrov и nikonov имеют право дописывать свои данные в файлы на один уровень выше, но не имеют прав на чтение информации более «высокой» категории. Требуется изобразить матрицу доступа (табл. 1.3) и предложить исчерпывающие меры по его разграничению.

Таблица 1.3

12. В некоторой организации на компьютерах под управлением операционной системы Linux хранится и обрабатывается информация нескольких уровней конфиденциальности. Три пользователя (учетные имена можно задавать произвольно) имеют доступ к секретной информации. Четыре пользователя допущены к коммерческой тайне. Пять пользователей работают только с открытой информацией. Пользователи, имеющие допуск к информации одного уровня конфиденциальности, имеют право читать информацию из файлов своих коллег, а также из файлов более низкого уровня конфиденциальности, однако записывать информацию в файлы низшего уровня они не вправе.

13. Задание усложняется тем, что в каталогах, принадлежащих секретоносителям и обладателям коммерческой тайны, необходимо предусмотреть файлы, в которые разрешена запись (точнее – дописывание) «снизу». Возможность чтения «снизу» этих и иных файлов должна быть исключена. Файлы не являются программами, и право их исполнения исключается. Требуется изобразить матрицу доступа (табл. 1.4) и предложить меры по его разграничению.

Таблица 1.4

Дата добавления: 2015-03-31; Просмотров: 431; Нарушение авторских прав?; Мы поможем в написании вашей работы!