Ext3
Основные сведения
Файловая система Ext3 является переделкой файловой системы Ext2, так что многие
программы воспринимают эти файловые системы как нечто единое.
По отношению к каждому объекту (файлу, папке, символической ссылке и т.д.)
вводится три вида доступа:
- r - read (чтение)
- w - write (запись)
- x - eXecute (выполнение)
Эти виды доступа определяются для:
- ПОЛЬЗОВАТЕЛЯ (в терминологии NTFS - ВЛАДЕЛЬЦА, в терминологии Linux Пользователя
-Создателя).
- ГРУППЫ пользователей
- ВСЕХ (всех прочих пользователей компьютера, не являющихся владельцем и не
относящихся к ГРУППЕ)
Обращение с Windows системы (из привычного описания прав доступа) к ext3 ресурсу:
- рисунок
- Права пользователя
- рисунок
- Права Группы
- рисунок
- Права Всех
Самое интересное - это ГРУППА. Как правило, в отношении папок, содержащих важную
информацию, создают новую ГРУППУ. Чтобы каким-то пользователям дать доступ к
этой папке, в настройках пользователя его заносят в эту ГРУППУ. В итоге в Linux
пользователь, как правило, состоит в большем количестве групп, чем он же состоял
бы в Windows.
Такой подход позволяет Ext3 сохранив столь же высокий уровень безопасности
при разграничении доступа, как и в NTFS (можно чётко указать какой пользователь
имеет какой доступ к файлам, содержащимся в конкретной папке), сделать саму
файловую систему меньшей по размеру и намного более простой в обработке.
Особое значение для папок имеет арибут "x". Если он не задан для
данного конкретного пользователя, то пользователь теряет право на смену атрибутов
rwx вложенных папок и файлов.
Задание А1.
- На рабочем столе пользователя User (в Linux) создайте папку PRAVA.FIO.
- Внутри этой папки создайте документы Prav1.txt, Prav2.doc, Prav3.xls и папку
VLOJEN.FIO.
- Внутри папки VLOJEN.FIO создайте документ Prav4.txt, Prav5.doc, Prav6.xls
.
- В настройках прав папки PRAVA.FIO снимите галочку "w". Для папки
VLOJEN.FIO эту галочку не трогайте.
- Попробуйте открыть, изменить и сохранить документ
Prav1.txt. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ,
текстовый документ дозаписывается.
- Попробуйте открыть, изменить и сохранить документ
Prav2.doc. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ,
документ Word/Writer при закрытии создаётся заново, поэтому операция не идёт.
- Попробуйте открыть, изменить и сохранить документ
Prav4.txt. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ,
текстовый документ дозаписывается.
- Попробуйте открыть, изменить и сохранить документ
Prav5.doc. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ,
документ Word/Writer при закрытии создаётся заново, поэтому операция не идёт.
- В настройках прав папки VLOJEN.FIO снимите галочку "w". В настройках
прав папки PRAVA.FIO снимите галочку "x". Попробуйте сменить права
папки VLOJEN.FIO. Поймите суть снятой галочки "x" для папки верхнего
уровня.
Задание А2.
- Заблокируйте доступ к папке PRAVA.FIO и всем вложенным объектам для всех,
кроме себя.
- Чтобы проверить, что это удалось
- создайте нового пользователя ({Start}-> {Система}-> {Администрирование}->
{Пользователи и группы}->) с именем user4.
- Занесите его в группу TrainingUsers [в современной
настройке машин нашей лаборатории это просто группа user].
- Правой по рабочему столу-> {Открыть в терминале}.
- Смените пользователя su user4
- Запустите mc
- Попробуйте зайти в папку VLOJEN.FIO
- Закройте mc
Сравнение файловых атрибутов FAT, безопасности
NTFS и безопасности EXT3
Настройка прав с помощью команд консоли
Если запустить командную строчку и дать команду ls -l ,
то машина отобразит нечто вида
PRAVA.FIO rwxr-xr-- user TrainingUsers ...
Эту строчку можно интерпретировать в виде:
Таблица 1
user
|
TrainingUsers
|
Все прочие
|
rwx
|
r-x
|
r--
|
При этом форму rwx можно представить и в цифровом виде 1*2^2+1*2^1+1*2^0, где
^ - знак степени. Таблицу 1 можно представить в виде:
(rwx) (r-x) (r--
) =
(1*2^2+1*2^1+1*2^0) (1*2^2+0*2^1+1*2^0) (1*2^2+0*2^1+0*2^0
)=
(1*4+1*2+1*1) (1*4+0*2+1*1) (1*4+0*2+0*1
)=
(4+2+1) (4+0+1) (4+0+0
)=
(7) (5) (4)=
754
Администраторы обычно запоминают наиболее частые комбинации:
- 700 - себе rwx, другим ничего (применяется к исполнимым файлам и папкам
со скрываемым содержимым)
- 664 - себе и группе rw. остальным только чтение
- 754 - себе всё, группе чтение и выполнение, остальным только чтение. Применяется
к исполнимым файлам. Вида Windows установить программу только для меня и моей
группы.
Получается, что макcимальные права (всем всё разрешить) будут описываться числом
777 = rwxrwxrwx
Если это ошибочно применить к корню (/), то в результате linux больше не загрузится.
при выполнении задания А3 не ошибитесь с КОСОЙ чертой, там точка, затем косая.
находиться нужно исключетельно в указанной папке.
Задание А3.
- В консоли смените текущего пользователя на root (sudo su
или просто su).
- Запустите mc
- Попробуйте зайти в папку VLOJEN.FIO
- Уберите панели mc (Ctrl-O)
- Группа команд смены прав:
- chmod -R 777 ./ - поменять
права рекурсивно (то есть к открытой
папке и ко всем вложенным папкам) установить
полные права начиная от текущего каталога
- chown -R user4
./ - поменять
владельца рекурсивно (то есть к открытой
папке и ко всем вложенным папкам) назначить
владельцем пользователя user4 начиная от текущего каталога
- chgrp -R TrainingUsers
./ - поменять
группу рекурсивно (то есть к открытой папке
и ко всем вложенным папкам) назначить группу
TrainingUsers начиная от текущего каталога
- сменять имя для Всех прочих пользователей не надо, они и так подразумеваются.
- Верните панели mc (Ctrl-O)
- Попробуйте зайти в папку VLOJEN.FIO
- Закройте mc
- Вернитесь в пользователя user4 (exit)
- Запустите mc
- Попробуйте зайти в папку VLOJEN.FIO
На вырост: скрипт, который устанавливает разные права
на файлы и на каталоги.
Дополнительные сведения по EXT3 на сомостоятельное прочтение (вне лекции) часть 7
и часть 8.
Прозрачное шифрование в Ext3 (EFS - Encrypted File System + графическая оболочка)
Аудиозаписи первоначальные.
Оставлены для полноты картинки.
Непосредственно графическая
утилита для облегчения процесса шифрования (скрипт написал Михайлов Николай). + Вторая версия той же утилиты (только часть ежедневного использования для монтирования и отмонтирования зашифрованного каталога).
Рисунки:
{Start}-> {Система}-> {Администрирование}-> {Менеджер пакетов Synaptic}->
{Найти} или {Поиск} encfs
- рисунок - поставить компанент
encfs и все необходимые ему библиотеки (lib);
- рисунок - разархивировать на
Рабочий стол скрипт req-pass.sh, а затем переместить
его в папку /usr/bin/;
- рисунок - проверить, что стоит
компанет kdebase (он выводит на монитор нужные
окошки скрипта);
- рисунок - разархивировать на
Рабочий стол скрипт create-crypt-point.sh и запустить
его в терминале;
- рисунок;
- рисунок;
- рисунок;
- рисунок - на рабочем столе появился
компанент управления папкой (запрашивает пароль и монтирует папку);
- рисунок;
- рисунок - судя по всему это и
есть ключ шифрования, дополнительно зашифрованный паролем пользователя;
- рисунок;
- рисунок;
- пропущен номер;
- рисунок - повторный запуск компанента
управления отмонтирует папку;
- рисунок;
- рисунок;
- рисунок;
- рисунок - попытка повторно примонтировать
папку (получить доступ к данным);
- рисунок - набор заведомо неправильного
пароля;
- рисунок;
- рисунок - набор верного пароля;
- рисунок;
- рисунок;
- После этого я кнопкой Power выключил машину, зашёл в папку /home/user/vas_enc/
и к моему огромному удовольствию она была чиста.