Супер-пользователь Root

Аутентификация управления доступом в Unix

Каждому пользователю Unix ставят учетную запись, которая характеризуется именем пользователя и идентификатором (они должны быть уникальны в пределах всей системы).

С учетной записью пользователя связан его домашний каталог, куда он по умолчанию записывает файлы.

При входе пользователь автоматически переходит в свой каталог. Пользователи объединены в группы, каждая из которых имеет имя и идентификатор. Процессы, запускаемые пользователями, в общем случае обладают правами того же пользователя.

Для доступа к идентификатору пользователя, равно как и к группе, предусмотрены специальные системные вызовы.

 

Root обладает нулевым идентификатором и может выполнять в системе любые действия без ораничений. Существование единого супер-пользователя в системе Unix считается основной слабостью в системе безопасности Unix. Кроме того, существует рад процессов, которые, будучи запущены под супер-пользователем могут нанести вред системе, т.к. изначально были расчитаны на простого пользователя и на увеличение возможности области защиты ОС.

Для стандартной аутентификации в Unix исполузуется метод односторонней ф-ции с добавлением соли. При этом шифровались нулевая строка, в качестве ключа использовался пароль с солью.

Сейчас используется MD2. При входе пользователя в систему утилита getty инициализирует терминал который выдает запрос на логин и пароль. После чего проводит аутентификацию и начинает сессию пользователя.

Информация о пользователях Unix сохраняется по адресу: /etc/passwd, который является БД учетных записей. Каждый пользователь имеет строку в этом файле следующего формата:

<Имя пользователя> : <шифр пароль: идентификатор пользователя> : <идентификатор группы> : <дополнительные ведомости о пользователе> : <путь к домашнему каталогу> : <командный интерпретатор запущенный для пользователя>

Информация о группах хранится в файле group по адресу: /etc/group. Строка в файле имеет следующий формат: имя группы: пароль группы: идентификатор группы: Список имен всех пользователей которые входят в группу (через ,) Для доступа приложений к файлу паролей существуют специальные POSIX функции.