КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Как стать привилегированным пользователем
|
|
|
|
Привилегированный пользователь
Принадлежность процессов
Ядро назначает каждому процессу 4 идентификатора: реальный и эффективный UID, реальный и эффективный GID. Реальные ID используются для учета системных ресурсов, а эффективные – для определения прав доступа. Владелец процесса может посылать в процесс сигналы, а также понижать приоритет процесса. Повышать же приоритет процесса может только привилегированный пользователь.
В большинстве случаев, реальные и эффективные ID совпадают, т.е. процесс имеет в системе те же права, что и пользователь, запустивший его. Однако в ряде специфических случаев существует возможность задать процессу более широкие права, чем права пользователя, путем установки бита смены идентификатора пользователя/группы, когда эффективному идентификатору присваивается значение идентификатора владельца/группы исполняемого файла (например, администратора).
Системным администраторам часто приходится отменять действие защитных механизмов UNIX. Для обеспечения такой возможности система выделяет среди всех идентификаторов пользователей один особый, нулевой, который принадлежит только привилегированному пользователю. По соглашению UNIX-системы определяют для этого UID пользовательский бюджет под именем “root” (это имя выбрано произвольно и могло бы быть любым, например “vasia”).
ОС UNIX позволяет привилегированному пользователю над файлов или процессом любую операцию (ядро системы даже не проверят права доступа к файлам, если UID пользователя равен 0). Кроме того, некоторые системные вызовы (обращения к ядру) может выполнять только привилегированный пользователь. Например, такие операции как: монтирование / демонтирование файловых систем, создание файлов устройств, установка системных часов, изменение принадлежности файлов (в BSD-системах), останов системы и многое другое может выполнять только привилегированный пользователь.
|
|
|
Существует несколько способов доступа к бюджету привилегированного пользователя. Самый простой из них, очевидно, - зарегистрироваться под именем "root". К сожалению, выход из собственного бюджета и регистрация в качестве привилегированного пользователя часто очень не удобны, а постоянно входить в систему под именем root крайне не желательно с точки зрения безопасности, ибо можно очень просто повредить систему. Второй, наиболее удобный и практически менее опасный способ получить права пользователя root – использовать команду su. Если команду вызвать без аргументов, то она запросит ввести пароль привилегированного пользователя, и если он окажется правильным – запустит shell (интерпретатор команд) с правами пользователя root. Привилегии этого интерпретатора команд остаются в силе до завершения его работы.
С помощью команды su можно входить в бюджеты других пользователей, просто дав в качестве аргумента этой команде имя некого пользователя, т.е. выполнить su имя_пользователя. При этом программа запросит пароль пользователя имя_пользователя.
Во многих системах использовать команду su могут только члены группы wheel (в более старых системах группа wheel носила имя root). Это в некоторой степени может обезопасить систему от попыток несанкционированно получить права привилегированного пользователя.
Самым безопасным способом в получении прав привилегированного пользователя является ограниченный вариант su – команда sudo. Полномочия привилегированного пользователя распределить нельзя. Скажем нельзя некому пользователю разрешить пользоваться только определенной программой, которая может быть выполнена только от имени привилегированного пользователя, не давая при этом ему свободной работы в системе от имени привилегированного пользователя и тем самым полностью отдать систему в его распоряжение.
|
|
|
Чтобы решить эти проблемы следует использовать команду sudo. Программу sudo написал Тодд Миллер – администратор университета в штате Колорадо и один из разработчиков UNIX-like системы OpenBSD. Команда sudo обращается к файлу /etc/sudoers, содержащему список пользователей, имеющих полномочия на ее применение, и перечень команд, которые они имеют право использовать на конкретной машине. Если предлагаемая команда разрешена, sudo приглашает пользователя ввести его собственный пароль, и выполняет команду с правами привилегированного пользователя.
Использование команды sudo имеет массу преимуществ. Однако здесь есть свои недостатки. Самый большой их них заключается в том, что взлом бюджета пользователя, который может выполнять программы, используя sudo, может стать эквивалентным взлому бюджета root. Второй опасный недостаток – пользователь, имеющий право использовать sudo может получить возможность работы с правами root.
|
|
|
|
|
Дата добавления: 2014-12-07; Просмотров: 538; Нарушение авторских прав?; Мы поможем в написании вашей работы!