Супер-пользователь Root
Аутентификация управления доступом в Unix
Каждому пользователю Unix ставят учетную запись, которая характеризуется именем пользователя и идентификатором (они должны быть уникальны в пределах всей системы).
С учетной записью пользователя связан его домашний каталог, куда он по умолчанию записывает файлы.
При входе пользователь автоматически переходит в свой каталог. Пользователи объединены в группы, каждая из которых имеет имя и идентификатор. Процессы, запускаемые пользователями, в общем случае обладают правами того же пользователя.
Для доступа к идентификатору пользователя, равно как и к группе, предусмотрены специальные системные вызовы.
Root обладает нулевым идентификатором и может выполнять в системе любые действия без ораничений. Существование единого супер-пользователя в системе Unix считается основной слабостью в системе безопасности Unix. Кроме того, существует рад процессов, которые, будучи запущены под супер-пользователем могут нанести вред системе, т.к. изначально были расчитаны на простого пользователя и на увеличение возможности области защиты ОС.
Для стандартной аутентификации в Unix исполузуется метод односторонней ф-ции с добавлением соли. При этом шифровались нулевая строка, в качестве ключа использовался пароль с солью.
Сейчас используется MD2. При входе пользователя в систему утилита getty инициализирует терминал который выдает запрос на логин и пароль. После чего проводит аутентификацию и начинает сессию пользователя.
Информация о пользователях Unix сохраняется по адресу: /etc/passwd, который является БД учетных записей. Каждый пользователь имеет строку в этом файле следующего формата:
<Имя пользователя> : <шифр пароль: идентификатор пользователя> : <идентификатор группы> : <дополнительные ведомости о пользователе> : <путь к домашнему каталогу> : <командный интерпретатор запущенный для пользователя>
Информация о группах хранится в файле group по адресу: /etc/group. Строка в файле имеет следующий формат: имя группы: пароль группы: идентификатор группы: Список имен всех пользователей которые входят в группу (через ,) Для доступа приложений к файлу паролей существуют специальные POSIX функции.