Администрирование сетей (стр. 14 из 15)

Таблица 24.4

NTFS - единственная файловая система в Windows, которая позволяет назначать права доступа к различным файлам. Устанавливая пользователям определенные разрешения для файлов и каталогов, пользователь может защищать конфиденциальную информацию от несанкционированного доступа. Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения. Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых или косвенных разрешений, назначенных ползователю для данного объекта с помощью логической функции "Или". Например, если пользователь имеет правоназначенное разрешение для каталога на чтение, а косвенно через членство в группах ему дано право на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные.

Для назначения пользователю или группе разрешения на доступ к определенномук файлу необходимо:

1. Указать файл мышью и нажать правую кнопку. Выбрать пункт Properties (Свойства) контексного меню. В появившемся окне свойств файла перейти на вкладку Security (Безопасность). По умолчанию данной вкладки там нет, чтобы она появилась необходимо в свойствах папки убрать галочку Simple File Sharing (использовать простой общий доступ к файлам);

2. В группе Name (Имя) показан список пользователей и групп, которым уже предоставлены разрешения для этого файла. Для того, чтобы добавить или удалить пользователей или новые группы, нажать кнопку Add/Remove (Добавить/Удалить) Появится окно диалога Select Users, Groups (Выбрать пользователей, группы).В поле Enter the object names to select (Ввелите имена выбираемых объектов) написать имя пользователя, кнопка Check Names (Проверить имена) позволяет проверить правильность написания имени.

3. В группе Permissions (Разрешения) устанавливаются разрешения. Присутствуют указатели Deny (запретить) и Allow (Разрешить). Устанавливаются флажки для следующих параметров: Full Control (полный контроль) - пользователь получает неограниченныей доступ к файлу, Modify (Изменение) - пользователь может изменять файл, Read & execute (Чтение и выполнение), Read (Чтение) - пользователь может только читать файл, Write (Запись) - пользователь может записывать в файл (рис. 24.1.).

рис. 24.1 права доступа

2.25. Файловая система (виды, отличия) и права доступа в ОС Linux.

Файловая система Linux, в отличие от файловых систем DOS и Windows, является единым деревом. Корень этого дерева — каталог, называемый root (рут), и обозначаемый символом /. Части дерева файловой системы могут физически располагаться в разных разделах разных дисков или вообще на других компьютерах — для пользователя это прозрачно. Процесс присоединения файловой системы раздела к дереву называется монтированием, удаление — размонтированием. Например, файловая система CD ROM в ALT Linux монтируется по умолчанию в каталог /mnt/cdrom (знак разделителя каталогов в путях Linux — /, а не \, как в DOS/Windows). Текущий каталог обозначается как ./.

Файловая система Linux содержит следующие каталоги первого уровня:

· /bin (командные оболочки shell, основные утилиты);

· /boot (содержит ядро системы);

· /dev (псевдофайлы устройств, позволяющие работать с ними напрямую);

· /etc (файлы конфигурации);

· /home (личные каталоги пользователей);

· /lib (системные библиотеки, модули ядра);

· /mnt (каталоги для монтирования файловых систем сменных устройств и внешних файловых систем);

· /proc (файловая система на виртуальном устройстве, её файлы содержат информацию о текущем состоянии системы);

· /root (каталог администратора системы);

· /sbin (системные утилиты);

· /usr (программы и библиотеки, доступные пользователю);

· /var (рабочие файлы программ, очереди, журналы);

· /tmp (временные файлы).

Файловое дерево формируется из отдельных частей, называемых файловыми системами, каждая из которых содержит один каталог и список его подкаталогов и файлов. Термин "файловая система", по сути, имеет два значения. С одной стороны, это составная часть файлового дерева, а с другой — все файловое дерево и алгоритмы, с помощью которых Linux управляет им. Как правило, значение термина становится ясным из контекста.

Файловые системы прикрепляются к файловому дереву с помощью команды mount. Эта команда берет из существующего файлового дерева каталог (он называется точкой монтирования) и делает его корневым каталогом присоединяемой файловой системы. На время монтирования доступ к содержимому точки монтирования становится невозможным. Как правило, точка монтирования — пустой каталог. Например, команда mount /dev/hda3 /users монтирует файловую систему, размещенную на устройстве /dev/hda3, под именем /users. После монтирования можно с помощью команды ls /users посмотреть, что содержит эта файловая система.

В файловой системе ext2 (и во многих других) поддерживается семь типов файлов:

· обычные файлы;

· каталоги;

· символические ссылки.

· файлы байт-ориентированных (символьных) устройств;

· файлы блок-ориентированных (блочных) устройств;

· сокеты;

· именованные каналы (FIFO).

Поскольку Linux - многопользовательская OS, в ней существует система прав доступа к файлам, служащая для защиты файлов каждого пользователя от влияния других пользователей системы.

Права доступа подразделяются на три типа:

-чтение(read),
-запись(write),
-выполнение (execute).

Разрешение на чтение позволяет пользователю читать содержимое файлов, а в случае каталогов - просматривать перечень имен файлов в каталоге (используя, например, ls). Разрешение на запись позволяет пользователю писать в файл, изменять его или удалять. Для каталогов это дает право cоздавать в каталоге новые файлы и каталоги, или удалять файлы в этом каталоге. Наконец, разрешение на выполнение позволяет пользователю выполнять файлы (как бинарные программы, так и командные файлы). Если на файле стоит атрибут Execute, то независимо от его расширения он считается программой, которую можно запустить. (Вот почему в *nix не принято ставить исполняемым файлам расширения по типу DOS'овских *.com, *.exe, *.bat. Вообще в Unix/Linux нет такого жесткого понятия 'расширение файла', как в Dos/Windows, и система сама определяет тип файлов независимо от их расширения, но это - уже другая история...). Так же атрибут выполнения может стоять у shell-скриптов, CGI-скриптов, и у всего, что можно хоть как-то запустить. Разрешение на выполнение применительно к каталогам означает возможность выполнять команды вроде cd.

Эти типы прав доступа могут быть предоставлены для трех классов пользователей:

- владельца - у каждого файла в Linux'e есть один владелец.
- группы - с каждым файлом связана группа пользователей этого файла. Наиболее общая группа для файлов пользователей называется users, в эту группу обычно включаются все пользователи системы (чтобы узнать группу конкретного файла, используйте команду ls -l file).
- всех остальных пользователей.

Владельцем файла становится юзер, который создал этот файл. Короче говоря, для файла все юзеры делятся на 3 типа: хозяин, или владелец, юзеры, состоящие в одной группе с владельцем, и все остальные юзеры. Для каждого типа - свои права. Владельцем всех системных файлов является Root. Он же имеет право забирать файлы у одного юзера и передавать их другому (менять владельца). Делается это так:

chown <имя нового владельца> <имя файла>.

Для передачи каталога надо вводить:

chown -R <ия нового владельца> <имя каталога>

Изменить права доступа к файлу может либо его владелец, либо сам Root. Делается это командой chmod. Существует две формы представления прав доступа: символьная и цифровая.

2.25.1. Символьная форма прав доступа.

Если войти в любой каталог, где есть файлы, и набрать "ls -l", то появится список всех файлов в этом каталоге и права доступа в символьной форме. Строка прав доступа состоит из 10 символов. Первый символ указывает на тип файла: "d"-директория, "-"-обычный файл(рис. 25.1.). Три последующих - права доступа владельца к этому файлу. Если первый символ из этих трех - "r", владелец имеет право читать этот файл, а если "-", то не имеет. Следующие 2 символа - "w"-писать и "x"-запускать. Если вместо них стоит "-", значит, владелец этого права не имеет. Еще 3 символа - права доступа группы, еще три - права всех остальных пользователей.

рис. 25.1 кодирование типов файлов в листинге команды ls.