13.0 (Russian conspect)
Поговорим про Дискреционный контроль прав доступа.
По отношению к тому, к кому принадлежат объекты это, собственно, и разделяет права доступа.
Условно разделяются мои и не мои файлы – моим файлам пользователь сам может выставлять права доступа.
Если пользовательский и групповой доступ, если процесс принадлежит такому пользователю, который не является ни хозяином файла, ни членом той группы которой принадлежит файл то используется третий треплет ugo.
Поскольку эти атрибуты являются просто битами, то достаточно популярно представление этих атрибутов в виде восьмеричного числа.
Почему восьмеричного? Потому что rwx – три бита хорошо укладываются в одну восьмеричную цифру.
Есть системный вызов setuid который позволяет процессу поменять свой собственный user id и внезапно запуститься с правами другого пользователя.
Чтение r из каталога это только доступ к списку файлов.
Использование каталога x это доступ непосредственно к содержимому файла и далее к его имени.
Пользователь, который запустил бинарник не предлежащий группе, то есть отдельный процесс будет вести себя как процесс, принадлежащий этой группе, и получит некоторые дополнительные права доступа.
Закон Мура такой антинаучный закон, трактующий от том, что быстродействия компьютеров и объем пожираемых ими ресурсов каждые два года удваивается.
Словарная атака — это очень эффективный способ разгадывания паролей (была программа, написанная на языке shell которая подставляла популярные имена вместе с популярными паролями которых у него было пример 100 штук, эта атака была очень эффективна)
Системны пользователь — это такой пользователь от лица которого запускаются некоторые системные службы для того, чтобы иметь доступ к некоторым файлам, принадлежащим этой службе, и чтобы никто другой кроме root не смог туда залезть.
- Например, _chrony, polkitd, message+.
Можно увидеть, что ни одна хеша от ни одного пароля в системе не лежит. Shell считает setuid файлы опасными.
Есть такая вещь как tcb которое содержит большое кол-во усложнений работы безопасности в системе.
В группе shadow нет никого, однако, некоторые программы при запуске получают доступ к этой группе, например passwd.
В системе есть довольно много вещей которые запрещены пользователю, однако есть один суперпользователь который не обращает внимание на разрешения.
Служба, которая занимается проверкой аутентичности запросов называется Policy Kit, а место, через которое все передается называется D-Bus (системная прикладная служба).
Табличные права доступа acl.