Ext3

Основные сведения

Файловая система Ext3 является переделкой файловой системы Ext2, так что многие программы воспринимают эти файловые системы как нечто единое.

По отношению к каждому объекту (файлу, папке, символической ссылке и т.д.) вводится три вида доступа:

• r - read (чтение)
• w - write (запись)
• x - eXecute (выполнение)

Эти виды доступа определяются для:

• ПОЛЬЗОВАТЕЛЯ (в терминологии NTFS - ВЛАДЕЛЬЦА, в терминологии Linux Пользователя -Создателя).
• ГРУППЫ пользователей
• ВСЕХ (всех прочих пользователей компьютера, не являющихся владельцем и не относящихся к ГРУППЕ)

Обращение с Windows системы (из привычного описания прав доступа) к ext3 ресурсу:

1. рисунок - Права пользователя
2. рисунок - Права Группы
3. рисунок - Права Всех

Закрыть

Самое интересное - это ГРУППА. Как правило, в отношении папок, содержащих важную информацию, создают новую ГРУППУ. Чтобы каким-то пользователям дать доступ к этой папке, в настройках пользователя его заносят в эту ГРУППУ. В итоге в Linux пользователь, как правило, состоит в большем количестве групп, чем он же состоял бы в Windows.

Такой подход позволяет Ext3 сохранив столь же высокий уровень безопасности при разграничении доступа, как и в NTFS (можно чётко указать какой пользователь имеет какой доступ к файлам, содержащимся в конкретной папке), сделать саму файловую систему меньшей по размеру и намного более простой в обработке.

Особое значение для папок имеет арибут "x". Если он не задан для данного конкретного пользователя, то пользователь теряет право на смену атрибутов rwx вложенных папок и файлов.

Задание А1.

• На рабочем столе пользователя User (в Linux) создайте папку PRAVA.FIO.
• Внутри этой папки создайте документы Prav1.txt, Prav2.doc, Prav3.xls и папку VLOJEN.FIO.
• Внутри папки VLOJEN.FIO создайте документ Prav4.txt, Prav5.doc, Prav6.xls .
• В настройках прав папки PRAVA.FIO снимите галочку "w". Для папки VLOJEN.FIO эту галочку не трогайте.
• Попробуйте открыть, изменить и сохранить документ Prav1.txt. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ, текстовый документ дозаписывается.
• Попробуйте открыть, изменить и сохранить документ Prav2.doc. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ, документ Word/Writer при закрытии создаётся заново, поэтому операция не идёт.
• Попробуйте открыть, изменить и сохранить документ Prav4.txt. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ, текстовый документ дозаписывается.
• Попробуйте открыть, изменить и сохранить документ Prav5.doc. Откройте его заново. измените и закройте с сохранением. ВНИМАНИЕ, документ Word/Writer при закрытии создаётся заново, поэтому операция не идёт.
• В настройках прав папки VLOJEN.FIO снимите галочку "w". В настройках прав папки PRAVA.FIO снимите галочку "x". Попробуйте сменить права папки VLOJEN.FIO. Поймите суть снятой галочки "x" для папки верхнего уровня.

Задание А2.

• Заблокируйте доступ к папке PRAVA.FIO и всем вложенным объектам для всех, кроме себя.
• Чтобы проверить, что это удалось
  • создайте нового пользователя ({Start}-> {Система}-> {Администрирование}-> {Пользователи и группы}->) с именем user4.
  • Занесите его в группу TrainingUsers [в современной настройке машин нашей лаборатории это просто группа user].
  • Правой по рабочему столу-> {Открыть в терминале}.
  • Смените пользователя    su  user4
  • Запустите mc
  • Попробуйте зайти в папку VLOJEN.FIO
  • Закройте mc

Сравнение файловых атрибутов FAT, безопасности NTFS и безопасности EXT3

Настройка прав с помощью команд консоли

Если запустить командную строчку и дать команду   ls  -l  , то машина отобразит нечто вида

PRAVA.FIO  rwxr-xr--   user  TrainingUsers  ...

Эту строчку можно интерпретировать в виде:

Таблица 1

При этом форму rwx можно представить и в цифровом виде 1*2^2+1*2^1+1*2^0, где ^ - знак степени. Таблицу 1 можно представить в виде:

(rwx) (r-x) (r-- ) =

(1*2^2+1*2^1+1*2^0) (1*2^2+0*2^1+1*2^0) (1*2^2+0*2^1+0*2^0 )=

(1*4+1*2+1*1) (1*4+0*2+1*1) (1*4+0*2+0*1 )=

(4+2+1) (4+0+1) (4+0+0 )=

(7) (5) (4)=

754

Администраторы обычно запоминают наиболее частые комбинации:

• 700 - себе rwx, другим ничего (применяется к исполнимым файлам и папкам со скрываемым содержимым)
• 664 - себе и группе rw. остальным только чтение
• 754 - себе всё, группе чтение и выполнение, остальным только чтение. Применяется к исполнимым файлам. Вида Windows установить программу только для меня и моей группы.

Получается, что макcимальные права (всем всё разрешить) будут описываться числом 777 = rwxrwxrwx
Если это ошибочно применить к корню (/), то в результате linux больше не загрузится. при выполнении задания А3 не ошибитесь с КОСОЙ чертой, там точка, затем косая. находиться нужно исключетельно в указанной папке.

Задание А3.

• В консоли смените текущего пользователя на root  (sudo  su или просто su).
• Запустите mc
• Попробуйте зайти в папку VLOJEN.FIO
• Уберите панели mc (Ctrl-O)
• Группа команд смены прав:
  • chmod  -R  777 ./     -   поменять права   рекурсивно (то есть к открытой папке и ко всем вложенным папкам)  установить полные права начиная от текущего каталога 
  • chown -R user4 ./   -  поменять владельца рекурсивно (то есть к открытой папке и ко всем вложенным папкам) назначить владельцем пользователя user4 начиная от текущего каталога
  • chgrp -R TrainingUsers ./   -  поменять группу рекурсивно (то есть к открытой папке и ко всем вложенным папкам) назначить группу TrainingUsers начиная от текущего каталога
  • сменять имя для Всех прочих пользователей не надо, они и так подразумеваются.
• Верните панели mc (Ctrl-O)
• Попробуйте зайти в папку VLOJEN.FIO
• Закройте mc
• Вернитесь в пользователя user4 (exit)
• Запустите mc
• Попробуйте зайти в папку VLOJEN.FIO

На вырост: скрипт, который устанавливает разные права на файлы и на каталоги.

Дополнительные сведения по EXT3 на сомостоятельное прочтение (вне лекции) часть 7 и часть 8.

Прозрачное шифрование в Ext3 (EFS - Encrypted File System + графическая оболочка)

Аудиозаписи первоначальные. Оставлены для полноты картинки.

Непосредственно графическая утилита для облегчения процесса шифрования (скрипт написал Михайлов Николай). + Вторая версия той же утилиты (только часть ежедневного использования для монтирования и отмонтирования зашифрованного каталога).

Рисунки:

{Start}-> {Система}-> {Администрирование}-> {Менеджер пакетов Synaptic}-> {Найти} или {Поиск}   encfs

1. рисунок - поставить компанент encfs и все необходимые ему библиотеки (lib);
2. рисунок - разархивировать на Рабочий стол скрипт req-pass.sh, а затем переместить его в папку /usr/bin/;
3. рисунок - проверить, что стоит компанет kdebase (он выводит на монитор нужные окошки скрипта);
4. рисунок - разархивировать на Рабочий стол скрипт create-crypt-point.sh и запустить его в терминале;
5. рисунок;
6. рисунок;
7. рисунок;
8. рисунок - на рабочем столе появился компанент управления папкой (запрашивает пароль и монтирует папку);
9. рисунок;
10. рисунок - судя по всему это и есть ключ шифрования, дополнительно зашифрованный паролем пользователя;
11. рисунок;
12. рисунок;
13. пропущен номер;
14. рисунок - повторный запуск компанента управления отмонтирует папку;
15. рисунок;
16. рисунок;
17. рисунок;
18. рисунок - попытка повторно примонтировать папку (получить доступ к данным);
19. рисунок - набор заведомо неправильного пароля;
20. рисунок;
21. рисунок - набор верного пароля;
22. рисунок;
23. рисунок;
24. После этого я кнопкой Power выключил машину, зашёл в папку /home/user/vas_enc/ и к моему огромному удовольствию она была чиста.