Tudd Intuíció, előadás, hitelesítési és hozzáférési jogok unix
Teljes név rövidült GECOS mert az ókorban, néhány UNIX fejlesztők számára a nyomtatószerver ellenőrzése alatt a General Electric átfogó operációs rendszer. Egy-egy területen. amelynek tartalmát nem használt UNIX. Volt, hogy tárolja a jelszót az iratok a nyomtatáshoz. Információk az / etc / passwd - osztályozatlan, ez a fájl hozzáférhető bárki számára olvasható.
Felmerül a kérdés: hol van a rendszerben tárolt jelszót? A válasz: sehol. UNIX nem tárol jelszavakat egyszerű szövegként vagy titkosított. Ehelyett tárolja a jelszót gombot (hash) - szimbólumok sorozatát kapott jelszó titkosítás helyrehozhatatlan. Hosszú ideig, a kulcs a második terén / etc / passwd. Minden jelszó egyedileg megfelelő gombot. és ellenőrizze, hogy a felhasználó belépett, elég csak gyártani a bemenete a második kulcsot, és hasonlítsa össze a megfelelő mezőbe az / etc / passwd. Számolja ki a jelszót. Miután csak egy kulcs. lehetetlen; minden marad a feltételezett támadó -, hogy megpróbálja, hogy vedd fel (felér lehetőség a jelszó összehasonlítani kulcsokat).
Jó, ez a kulcs senkinek, de maga a rendszer, hogy tudja, és ez nem szükséges. Ezen kívül, ha van némi ismerete a jelszó szerkezet (születésnap, a tartalmát a GECOS, a nevét egy kisállat macska, és így tovább. P.), Pick akkor nagyon egyszerű. Csak akkor veheti igénybe egy nagyon erős számítógép (pl számítástechnikai klaszter), egyszerűen vegye be a jelszót „a homlokán.” Hogy kizárja annak lehetőségét elvben a kiválasztás, a modern változat a FreeBSD és a Linux kulcsot a / etc / passwd fájlban távolítani. olvashatatlan senkinek, de a root felhasználó számára. Ott is általában írt meghosszabbítja a standard passwd. mint például a jelszó lejárati és a számla vagy felhasználói osztály. A BSD socket rendszer, ez a fájl neve /etc/master.passwd, benne tényleg minden információt a felhasználó. Sok más rendszerek használata a rendszer / etc / shadow. amely kizárólag a kiegészítő információkat.
Rendszergazdacsoport. Elcserélt ID
Root felhasználóként (más néven „superuser”) nulla UID GID és szerepét játssza egy megbízható entitás UNIX. Ez azt jelenti, hogy nem tartozik a törvények szabályozzák, hogy a hozzáférési jogokat. és saját belátása szerint módosíthatja a szabályokat. A legtöbb rendszer beállítások csak a superuser (akkor is, ha a fájl jogosultságokat 0444, gyökér lehet még írni hozzá). Általában, gyökér - egy szörnyű ember! Ez eltávolítja az összes fájlt, akár tetszik, akár nem. Ez a / etc / passwd, és általában mindent tud. Általános szabály, hogy a root jelszót tudom csak a rendszergazda. Teljes egyetértésben O. ő a felelős mindenért, ami történik a rendszerben - most, hogy olyan állapotban van, a változás. Rendszergazdacsoport birtokolja a / etc / group. amely meghatározza, milyen egyéb csoportok. amellett, hogy a fent említett a / etc / passwd. magában foglalja a rendszer felhasználói számára.
Ez nulla felhasználói azonosítók és a csoport fut bejelentkezést. ez lehetővé teszi számára, hogy tovább „lesz minden felhasználó”, a változó saját UID GID. Sok más rendszert intézkedések is szükségessé jogok gyökere. de a hang érvelés lehet bízni egy közönséges (nem szuper) felhasználó. Például kezelheti a sorban küldi e-mailek és küldje ezeket a leveleket a cél lehet egy folyamat, amely nem rendelkezik root jogosultságokkal. de fel kell teljes hozzáférést a betűket a sorban. Másrészt, ez jó, hogy nincs igazi rendszer felhasználói - a személy nem is bepillanthatunk ezt a helyet. Tehát vannak olyan hamis felhasználó - számlák. amely nem illik bele semmilyen jelszót. SHELL mezőben az ál-felhasználó gyakran egyenlő a / sbin / nologin (programot kérdések Ez a fiók jelenleg nem érhető el azonnal és befejezett), és a mező HOME - / nem létező (a könyvtár, amely már ott). De a rendszer indítási folyamat „nevében” az ál-felhasználó. Biztos vagyok benne, hogy semmi lázító kívül joghatóságát, ez a folyamat nem követ még véletlenül.
A felhasználó megváltoztathatja a jelszót magad (és néha SHELL és GECOS) a passwd paranccsal. Ez egyszerű és meglehetősen hétköznapi cselekvés, figyelembe véve a fenti, ez lehetetlen. Valóban, az elindított folyamat a felhasználó, akkor azt az UID, és a root tulajdonában passwd fájlt. és csak feldolgozza nulla UID írható. Tehát szükségünk van egy olyan mechanizmus ID hamisítást. lehetővé teszi a hétköznapi felhasználók futtatni eljárások „nevében”, a másik, különösen nevében a gyökér.
Ehhez a fájl rendszer két tulajdonság - setuid és setgid. Fájl megnyitásakor, amelynek setuid attribútummal. a rendszer létrehoz egy eljárást, ami megegyezik az UID UID a fájl. helyett UID-szülő folyamat. Ez a passwd programot. fut, akkor a felhasználó a root. de tevékenységét lehetőségek korlátozottak, a program.
Mint látható, ls megjeleníti setuid mintha helyett a felhasználó x-bit (x- bit nem szűnt meg, csak nem setuid még nincs értelme). Hasonlóképpen, a munka és a setgid. örökölte a GID folyamatot a futtatható fájl. Elcserélt GID szükséges azokban az esetekben, amikor ki kell nyitni, és hozzáférést biztosít a fájlt, és mentse a felhasználó valódi személyazonosságát - például rögzíti a rekordok a játék gazember. By the way, értelmetlen beállítani setuid vagy setgid szkripteket. mert a folyamat kezdődik egy fájlt, amely a tolmács. és a script fájl csak parancssori.
Még ha a passwd (vagy más közüzemi, részt vesz a hitelesítés) nem tud semmit provokálni túl az előírt, akkor legalább olvassa el a fájlt a kulcsokat összes jelszó (shadow vagy master.passwd). Ha valahogy, hogy hozzáférjen a memória ez a folyamat, akkor kelj fel, hogy más emberek segítségével. De valójában a felhasználó megváltoztathatja a jelszavát. csak kell egy sor saját számlájára. Ennek elkerülése érdekében - feltételezett - kockázati rendszer, ami vonatkozik a Trusted Computing Base (például ALT Linux), minden egyes felhasználó számára külön tartják az / etc / TCB / felhasználónév / árnyék.
Érdemes megjegyezni, hogy a szigorú szabályok végrehajtása egyszerű biztonsági modellje (NoRU / NoWD - titoktartási vagy NoWU / Nord - megbízhatóság), UNIX nem lehetséges eszközzel. És még csak nem is jelenlétében egy megbízható személy - gyökér. és hogy a szabályok a forma „Nem valami Down” ellent O. szerint O és domain felelősségi rendszer. a tulajdonos a fájl határozza meg, hogy nyissa hozzáférést. amely egyenértékű az áramlás WD.