Identita uživatelů, přístupová práva. Linux

Podobné dokumenty
Přednáška 5. Identita uživatelů, procesů a souborů. Přístupová práva a jejich nastavení. Úvod do Operačních Systémů Přednáška 5

Identita uživatele (procesu)

Identita uživatele. predn_04.odt :47:03 1

Otázka 28 Zadání Identita uživatelů, procesů a souborů v OS Unix, přístupová práva a jejich nastavení

Administrace OS Unix. Úvodní informace Principy administrace Uživatelé

Základní příkazy pro práci se soubory

LINUX SOUBORY. Zadejme příkaz ls l! V této lekci se odrazíme od dlouhého výpisu příkazu ls a uvidíme, kam nás to zanese. SPŠ Teplice - 3.

LINUX uživatelské účty (1)

UŽIVATEL, SKUPINA, PROCES

Přednáška 2. Systémy souborů OS UNIX. Nástroje pro práci se souborovým systémem. Úvod do Operačních Systémů Přednáška 2

Architektura systému GNU/Linux. Bohdan Milar

Univerzita Pardubice Fakulta elektrotechniky a informatiky ISOSY Matěj Trakal

Základy operačního systému LINUX část I

Linux-příkazový řádek

Příkaz find, práce s procesy a úlohami, plánování úloh

Operační systém GNU/Linux

Systém souborů (file system, FS)

Přednáška 8. Proměnné. Psaní a ladění skriptů. Parametry skriptu. Vstup a výstup. Konfigurační soubory shellu. Úvod do Operačních Systémů Přednáška 8

Úvod do Linuxu SŠSI Tábor 1

Unix je víceuživatelský a víceúlohový OS

LINUX ADRESÁŘOVÁ STRUKTURA. Co to, hrome, je? V této lekci se budeme brouzdat adresáři. SPŠ Teplice - 3.V

Úvod, jednoduché příkazy

KAPITOLA 3. Práva a co s nimi. Práva přístupu k souborům, adresářům

Práva a jejich použití, screenujeme, pracujeme v GNU/Linuxu

Systém souborů (File System)

Úvod do Unixu. man: příkaz pro zobrazení nápovědy k danému příkazu, programu (pokud je k dispozici), např. man cp. pwd: vypíše cestu k aktuální pozici

2.2 Typy súborov v OS Unix

Zprovoznění nových userů pro pure-ftpd server (s privátními adresáři)

Úvod do Operačních Systémů

Cvičení 2. Přesměrování vstupu a výstupu. Posloupnost příkazů. Příkazy pro informaci o uživatelích

Operační systémy. Cvičení 1: Seznámení s prostředím

1 Tabulky Příklad 3 Access 2010

Cvičení 3. Plán. Procesy. procesy, jobs Find Wildcards Příklad uživatelé. ZOS 2005, L. Pešička. eryx4> ps x

APS Web Panel. Rozšiřující webový modul pro APS Administrator. Webové rozhraní pro vybrané funkce programového balíku APS Administrator

Měřící systém se vzdáleným přístupem. Databáze

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian

Přednáška 7. Celočíselná aritmetika. Návratový kód. Příkazy pro větvení výpočtu. Cykly. Předčasné ukončení cyklu.

Úvod do Operačních Systémů

C2115 Praktický úvod do superpočítání

Úvod do Operačních Systémů

Úvod do Linuxu. SŠSI Tábor 1

Pro označení disku se používají písmena velké abecedy, za nimiž následuje dvojtečka.

Základní příkazy UNIXu (Linuxu)

Konfigurace Windows 7

Fides Software Storage Administrator

A7B38UOS Úvod do operačních systémů. 6. Cvičení. Příkazy sed a awk

Questionnaire příručka uživatele

Téma 2: Práce s commands. Téma 2: Práce s Commands

Proměnné a parametry. predn_08.odt :00:38 1

Po prvním spuštění Chrome Vás prohlížeč vyzve, aby jste zadali své přihlašovací údaje do účtu Google. Proč to udělat? Máte několik výhod:

Paralelní výpočty na clusteru KMD

EvMO postup při instalaci a nastavení programu

TDP RPort 1.0. uživatelská příručka. 12. července 2007 Na slupi 2a, Praha 2

EPLAN Electric P8 2.7 s databázemi na SQL serveru

Evidence požadavků uživatelů bytů a nebytových prostor

Střední úložiště. Uživatelská dokumentace Zřízení přístupu

more Program se zastaví vždy po vypsání jedné stránky textu. Ukončení Ctrl+C less Umožňuje pohybovat se v souboru dopředu i dozadu.

Přihlášení uživatele

Praktikum WIFI. Cíl cvičení:

Dokumentace k produktu IceWarp Notifikační nástroj

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

PŘÍKAZY PRÁCE SE SOUBORY

PŘÍKAZY OVLÁDÁNÍ SHELLU

PC Fand a Linux Budoucnost PC FANDu

Nastavení složek systému Atollon Server Platform

Informační manuál PŘIHLÁŠENÍ DO SÍTĚ NOVELL (ZAMĚSTNANEC, DOKTORAND)

Úvod do UNIXu. Jirka Boháč Gymnázium Jaroslava Seiferta 2003/2004

FIREMNÍ CERTIFIKÁT V APLIKACI PŘÍMÝ KANÁL NÁVOD PRO KLIENTY

Základy souborového systému NTFS

APS Administrator.ST

PRACUJEME S SHELLEM Ať žije BASH.

UŽIVATELSKÁ PŘÍRUČKA UČITEL

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro administrátora zřizované organizace

Dokumentace aplikace Chemon

PV157 Autentizace a řízení přístupu. Řízení přístupu

Tomáš Borland Valenta

Rozdělení operačních systémů

Pár odpovědí jsem nenašla nikde, a tak jsem je logicky odvodila, a nebo jsem ponechala odpověď z pefky, proto je možné, že někde bude chyba.

Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008

Nastavení zabezpečení

ČÁST 1 ÚVOD. Instalace operačního systému 21 Aktualizace operačního systému 57 Příkazový řádek 77 Windows Script Host 103 ČÁST 2 ŘEŠENÍ

Provozní dokumentace. Seznam orgánů veřejné moci. Přihlášení do Agendového informačního systému Registru práv a povinností

ČSOB Business Connector

Nový způsob práce s průběžnou klasifikací lze nastavit pouze tehdy, je-li průběžná klasifikace v evidenčním pololetí a školním roce prázdná.

1. Podmínky chodu aplikace

TC-502L TC-60xL. Tenký klient

Uživatelská příručka: Portál CMS. Centrální místo služeb (CMS)

Skripty - úvod. Linux - skripty 2

Poslední aktualizace: 14. května 2013

Uživatelská příručka

Pravidla a plánování

Nainstaloval jsem a jak dál? Michal Turek

Vytvoření bootovatelného média

Střední odborná škola a Střední odborné učiliště, Hořovice

Lekce 27 IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Webová aplikace Znalostní testy online UŽIVATELSKÁ PŘÍRUČKA

Přednáška 6. Procesy a vlákna (vznik, stavy, atributy). Signály. Nástroje pro práci s procesy a vlákny. Úvod do Operačních Systémů Přednáška 6

Instalace Microsoft SQL serveru 2012 Express

APS mini.ed programová nadstavba pro základní vyhodnocení docházky. Příručka uživatele verze

Transkript:

Identita uživatelů, přístupová práva Linux

Uživatel Při přihlášení do systému musí uživatel: identifikovat systém, na který se chce přihlásit fyzické umístění (lokální přihlášení) jméno systému/ IP adresa (vzdálené přihlášení) zadat uživatelské jméno prokázat se odpovídajícím heslem Pro úspěšné přihlášení musí být na daném systému vytvořen příslušný uživatelský účet.

Uživatelský účet Pro každý uživatelský účet musí být definováno: uživatelské jméno (jméno) přidělováno administrátorem, max. 8 znaků nesmí být tvořeno pouze velkými písmeny různé účty by měly mít různé jména identifikační číslo uživatele (UID) přidělováno administrátorem celé číslo (dříve max. 65535, nyní i více ale nedoporučuje se) UID=0 definuje tzv. privilegovaný účet (obvykle se jménem root) pod tímto UID bude po přihlášení uživatele spuštěn jeho shell různé účty by měly mít různá čísla identifikační číslo primární skupiny (GID) přidělováno administrátorem celé číslo (dříve max. 65535, nyní i více ale nedoporučuje se) pod tímto GID bude po přihlášení uživatele spuštěn jeho shell

Uživatelský účet úplné jméno uživatele podrobnější popis uživatele je posíláno jako úplné jméno v mailu přihlašovací interpret (shell) absolutní cesta k příkazu, který je spuštěn po přihlášení uživatele z řádkového terminálu obvykle shell, ale může být i jiný program domovský adresář (adresář) adresář, ze kterého je spuštěn přihlašovací interpret je na něj nastavena proměnná HOME zašifrovaná podoba hesla seznam sekundárních skupin uživatel může pomocí příkazu newgrp nastavit sekundární skupinu jako svou primární skupinu (tzn. bude mít právo skupinového přístupu k souborů této skupiny)

Uživatelský účet zašifrované heslo (heslo) mění se příkazem passwd uživatel musí znát původní heslo, root ne uživatel musí dodržovat pravidla (délky, znaky) root ne

Databáze uživatelských účtů Lokální databáze informace jsou uloženy v lokálních souborech /etc/passwd /etc/shadow /etc/group

Lokální databáze soubor /etc/passwd slouží k překladu UIDna jméno a naopak a k uložení informací nutných pro přihlášení uživatele pro každý uživatelský účet je jedna řádka rozdělená znaky : na sedm položek jméno:x:uid:gid:úplné jméno uživatele:adresář:shell soubor /etc/shadow obsahuje zašifrované heslo a parametry nastavení hesla pro každý uživatelský účet jedna řádka rozdělená znaky :na devět položek jméno:heslo:lastchg:min:max:warn:inactive:expire:flag

Lokální databáze soubor /etc/group slouží k překladu GIDna jméno skupiny a naopak a k definici tzv. sekundárních skupin pro každou skupinu jedna řádka rozdělena znaky : na čtyři pole jméno skupiny:x:gid:seznam uživatelů

soubor /etc/group jméno skupiny pravidla jako pro jméno uživatele, uživatel se může přihlásit, i když jeho primární skupina není v /etc/group heslo skupiny gid nebývá obvykle implementováno (prázdné) celé číslo podobně jako uid

soubor /etc/group seznam_uživatelů uživatelé uvedení v tomto seznamu mají právo skupinového přístupu k souborům této skupiny (tato skupina je jejich sekundární skupinou), uvedení uživatelé mají právo příkazem newgrp si nastavit tuto skupinu jako primární

Přihlášení do systému systém vypíše na příslušném zařízení prompt uživatel vloží uživatelské jméno a odpovídající heslo systém ověří vložené informace proti databázi uživatelských účtů systém spustí přihlašovací shell a nastaví pro tento proces: pracovní adresář na domový adresář daného účtu reálné číslo uživatele RUID= UID efektivní číslo uživatele EUID= UID reálné číslo primární skupiny RGID= GID efektivní číslo primární skupiny EGID= GID

Identita uživatele vnější identita tvořena přihlašovacím jménem a ověřována heslem slouží k: přihlášení do systému pojmenování domovského adresáře jméno pro e-mail Pravidla pro tvorbu jmen (8 znaků, obvykle malá písmena

Identita procesu, souboru vnitřní identita číselná identifikace uživatele a skupiny (uid, gid) sloužící k autorizaci procesu uvnitř systému (ověření práv k provádění operací se soubory a práv ke spouštění jiných procesů)

Identita procesu Každý proces má: uid (real, efective) primární gid (real, efective) Proces může mít přidělena další tzv. sekundární gid

Identita souboru Každý soubor má: uid gid

Identita procesu Reálná identita procesu (RUID, RGID) systém si pamatuje pod jakým uživatelským účtem jsme se původně přihlásili (např. lokálně nebo vzdáleně pomocí ssh,...) lze ji zobrazit např. pomocí následujících příkazů whoam i (whoami, who, last, groups) ps -o ruid,rgid,comm Efektivní (aktuální) identita procesu (EUID, EGID) slouží k autorizaci procesu uvnitř systému (např. při vyhodnocování přístupu k souborům,...) při přihlášení je reálná a efektivní identita totožná efektivní identitu lze změnit např. pomocí příkazu sunebo speciálních práv binárních souborů lze ji zobrazit např. pomocí následujících příkazů id (id a) ps o uid,gid,comm pcred číslo-procesu

Změna identity procesu Identitu procesu nastavuje kernel při startu procesu nebo ji mění na žádost procesu. Obvykle jsou RUID a EUID resp. RGID a EGID stejná a dědí se od rodičovského procesu. Ve zvláštních případech se nedědí, ale nastavují se : při přihlášení (pomocí procesů login/dtlogin, sshd) mění se vše pomocí příkazu su u binárních programů s nastaveným suid bitem se mění EUID u binárních programů s nastaveným sgid bitem se mění EGID

su Startuje nový shell pod novou identitou. Původní shell nekončí, po odhlášení z su se v něm pokračuje. Je-li su volán uživatelem, vyžaduje heslo, od roota ne. Je-li uveden přepínač -, provede přihlašovací skripty (nastaví prostředí). Je-li vynecháno přihlašovací jméno, doplní se jméno root. newgrp sekudární_skupina Startuje nový shell s novou skupinovou identitou.

Řízení přístupových práv Definování přístupových práv je součástí bezpečnosti systému (víceuživatelské systémy) každý soubor má svého vlastníka vlastník definuje přístupová práva pro ostatní uživatele: patřící do stejné skupiny uživatelů jako vlastník nepatřící do stejné skupiny jako vlastník Root může měnit přístupová práva ke všem souborům a může rovněž měnit vlastníka souboru Identifikace vlastníka: dle UID Identifikace skupiny : dle GID (primární, sekundární)

Přístupová práva Každý soubor/adresář má v i-node: vlastníka souboru (UID) vlastnickou skupinu (GID) přístupová práva čtení (read), zápis (write) a spuštění (execute) pro vlastníka (user), skupinu (group) a ostatní (other). Tyto informace můžeme vypsat např. pomocí příkazu ls l:

Řízení přístupových práv Vlastník souboru: ten, kdo jej vytvořil (automaticky) změna vlastníka: příkaz chownjméno_nového_vlastníka soubor(y) změna skupinového vlastníka: chgrp jméno nového vlastníka musí existovat (/etc/passwd) někdy chown a chgrp může provést pouze root

Změna vlastnictví souboru Může měnit pouze root(dříve i vlastník, to je ale bezpečnostní problém). Vlastnictví (i skupinové) lze měnit příkazem chown, skupinové příkazem chgrp. chown [-R] vlastník [:skupina] seznam_souborů chgrp [-R] skupinaseznam_souborů

Řízení přístupových práv Pro každý soubor jsou definována přístupová práva, která určují povolený druh přístupu k souboru/adresáři (povolené operace se souborem/adresářem) Jsou definovány tři typy přístupových práv: právo číst soubor (Read) r právo zapisovat do souboru (Write) w právo spustit soubor(execute) x pokud příslušné právo není přiděleno: -

Řízení přístupových práv uživatelé jsou z hlediska vztahu k souboru rozděleni do tří kategorií: vlastník soubor (user) u skupinový vlastník (skupina uživatelů, do které patří vlastník souboru)(group) g všichni ostatní uživatelé (others) o všechny kategorie vlastníků lze souhrnně označit (all) a Pro každou kategorii vlastníků jsou přístupová práva definována odděleně => dostáváme 3 x 3 = 9 údajů o přístupových právech k souboru

Řízení přístupových práv Těchto 9 údajů je reprezentováno 9 bity přístupových práv ve tvaru: rwx rwx rwx první trojice určuje přístupová práva pro vlastníka souboru, druhá pro skupinu vlastníků a třetí pro všechny ostatní uživatele pokud některé právo není přiděleno, je na příslušném místě pomlčka: rwx rw-r--

Přístupová práva Právo Význam u souborů Význam u adresářů r číst obsah souboru (cat) vypisovat obsah adresáře (ls) w měnit obsah souborů (vi) vytvářet a rušit soubory v adresáři (rm) x spouštět soubor jako program nastavovat a procházet adresář (cd)

Řízení přístupových práv Význam přístupových práv: soubory: read (r) : uživatel může otevřít soubor a číst jej (cat, more, editory) write (w) : uživatel může otevřít soubor a modifikovat jeho obsah (včetně jeho smazání) execute (x) : uživatel může soubor spustit (binární soubor nebo skript -u skriptu musí být navíc uvedeno právo čtení) adresářové soubory: execute (x) : adresář může být prohledáván (lze jej nastavit jako pracovní příkazem cd), obsah adresáře nelze vypsat, soubory lze užít write (w) : soubory v adresáři lze vytvářet a rušit read (r) : soubory v adresáři lze vypsat (lze prohlížet obsah adresáře)

Změna přístupových práv chmod [-R] práva seznam_souborů -R změnu práv se aplikuje na všechny soubory a podadresáře v daném adresáři Práva můžeme zadat symbolicky nebo absolutně (oktalově)

Řízení přístupových práv Změna přístupových práv: chmod parametry soubor(y) parametry:definují pro který typ uživatele a jaká práva používají se symbolické výrazy r,w,x,u,g,o,a a operátory =(přístupová práva přiřazena, nepřiřazená odebrána) +(přístupová práva přidána) -(přístupová práva odebrána)

Symbolický mód Příklad: $ ls -l a.txt -rw-r--r--1 trdlicka k336 1105 Oct 23 20:52 a.txt $ chmod u+x,g-r,o+w a.txt $ ls -l a.txt -rwx---rw-1 trdlicka k336 1105 Oct 23 20:52 a.txt

Řízení přístupových práv Pokud rozdělíme přístupová práva na tři trojice a každému přístupovému právu v dané trojici přiřadíme váhu v řadě mocnin čísla 2, dostaneme vyjádření přístupových práv v binární formě, sečtením čísel v každé trojici pak v oktalové (osmičkové) soustavě: rwx r-x r-- 111 101 100 (421)(421)(421) 7 5 4

Absolutní (oktalový) mód Příklad: $ ls -l a.txt -rw-r--r--1 trdlicka k336 1105 Oct 23 20:52 a.txt $ chmod 706a.txt $ ls -l a.txt -rwx---rw-1 trdlicka k336 1105 Oct 23 20:52 a.txt

Řízení přístupových práv Příklady: $ chmod u+x soubor $ chmod a=r soubor $ chmod ug-w soubor $ chmod a=rw soubor $ chmod u=rwx, g=rx, o=r soubor nebo oktalově: $ chmod 754 soubor rwx r-x r--

Maska přístupových práv Definuje přístupová práva nově zakládaných souborů/adresářů. Hodnota masky je součástí procesu (podobně jako EUID,EGID,...) a je dědičná. Lze ji vypsat a měnit příkazem umask. Přístupová práva vzniknou množinovým rozdílem výchozí hodnoty a masky. Výchozí hodnota je 666 pro soubory a 777 pro adresáře. maska soubor adresář poznámka 000 666 777 odpovídá výchozí hodnotě, nebezpečné 022 644 755 obvyklé nastavení 027 640 750 vyšší bezpečnost 077 600 700 největší restrikce 066 600 711 kompromisní řešení

Řízení přístupových práv Defaultní nastavení přístupových práv (v okamžiku vzniku souborů): pro adresáře: 755 rwx r-x r-x pro soubory: 644 rw- r-- r-- ovlivněno pomocí parametru příkazu umask(022)

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář