No Image

Управление доступом к файловым ресурсам

СОДЕРЖАНИЕ
4 просмотров
10 марта 2020

Настройка доступа к файловым ресурсам

По умолчанию, даже если вы уже подключены к сети, возможность доступа к вашим ресурсам заблокирована, что сделано ради повышенной безопасности системы.

Чтобы предоставить файловый ресурс в общее пользование, необходимо сделать следующее.

Выполнить команду Пуск ? Панель управления ? Сеть и Интернет ? Центр управления сетями и общим доступом – откроется окно (рис. 17.5), в котором следует нажать кнопку со стрелкой напротив надписи Общий доступ к файлам.

Рис. 17.5. Настраиваем общий доступ к файлам

В результате требуемая секция расширится, что приведет к появлению двух параметров. Чтобы активировать функцию общего доступа к файлам, нужно установить переключатель в положение Включить общий доступ к файлам и нажать кнопку Применить – данная функция активируется, о чем будет свидетельствовать зеленый свет индикатора рядом с надписью Общий доступ к файлам.

Рассмотрим, как настроить общий доступ к конкретной папке.

Используя Проводник, найдите папку, которую планируется предоставить в общее пользование. Щелкнув на ней правой кнопкой мыши, в появившемся меню выберите пункт Общий доступ – откроется окно (рис. 17.6), которое отображает пользователей и группы, имеющие доступ к вашему ресурсу.

Рис. 17.6. Добавляем права доступа

По умолчанию, кроме владельца компьютера, доступа никто не имеет, но это очень легко исправить. Например, открыв список, можно выбрать группу Все, что позволит всем видеть ваш доступ. Для добавления этой группы в список используйте кнопку Добавить.

Непонятно почему, но создатели Windows Vista не позволяют в этом окне настраивать права понятнее, чем выбором одного из вариантов доступа: Читатель, Соавтор или Совладелец. Тем не менее это можно сделать позже. По умолчанию группа или пользователь добавляются с правами Читатель. Если вы уже знаете более детально, что означает каждый из вариантов, то можно сменить права доступа прямо здесь, щелкнув правой кнопкой мыши на группе или пользователе.

После нажатия кнопки Общий доступ система выполнит некоторые манипуляции, в результате которых будет открыт общий доступ к папке, о чем и сообщает появившееся окно (рис. 17.7).

Рис. 17.7. Общий доступ к папке открыт

Если нужно настроить права некоторым пользователям более точно, то необходимо снова воспользоваться Проводником, щелкнув в нем правой кнопкой мыши на нужной папке и выбрав в появившемся меню пункт Свойства, – откроется окно, в котором следует нажать кнопку Дополнительный доступ (рис. 17.8).

Рис. 17.8. Настраиваем дополнительный доступ

В результате появится окно (рис. 17.9), в котором можно настраивать разрешения для каждого из пользователей и групп, которым разрешен доступ к данной папке.

Рис. 17.9. Настройка разрешений доступа

Прежде чем настраивать эти права, обратите внимание на то, что можно ограничить количество одновременных подключений. Этот параметр пригодится, когда вы увидите заметное торможение компьютера, что означает злоупотребление ресурсом. В этом случае просто уменьшите количество одновременных подключений до минимума, например до двух-трех человек.

Чтобы настроить разрешения для конкретных пользователей или групп, используется кнопка Разрешения – откроется окно (рис. 17.10), содержащее список всех пользователей, которым разрешен доступ к данному ресурсу.

Рис. 17.10. Настраиваем разрешения для каждой позиции

Чтобы добавить новых пользователей, нужно нажать кнопку Добавить. О процессе добавления пользователей см. главу 14 раздел «Настройка доступа к файловым ресурсам».

Отключить доступ к общей папке можно несколькими способами. Например, убрать флажок Открыть общий доступ к этой папке (см. рис. 17.9) или нажать кнопку Общий доступ (см. рис. 17.8) – откроется окно общего доступа (рис. 17.11), в котором нужно будет выбрать параметр Прекратить доступ.

Рис. 17.11. Отключаем доступ к папке

Данный текст является ознакомительным фрагментом.

Наиболее распространённый способ доступа пользователей к данным — доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.

Права доступа к файловой системе NTFS позволяют определять уровень доступа пользователей к размещённым в сети, или локально на вашем компьютере Windows 7 файлам.

Что такое права доступа к NTFS.

Права доступа — разрешение на выполнение операций с определённым объектом, например файлом. Права могут быть предоставлены владельцем или другим имеющим на это право пользователем. Как правило, это администраторы в системе. Если вы являетесь владельцем объекта, то можете предоставить права доступа к этому объекту любому пользователю или группе пользователей.

К каждому контейнеру и объекту в сети прилагается набор информации о контроле доступа к нему. Эта информация называемая дескриптором безопасности управляет типом доступа пользователям и группам. Права доступа, которые определены в дескрипторе безопасности объекта, связаны или назначаются конкретным пользователям и группам.

Права доступа к файлам и папкам определяют тип доступа, который предоставляется пользователю, группе или конкретному компьютеру на файл или папку. Например, можно позволить одному пользователю читать содержимое файла, другому вносить в него изменения, а всем остальным пользователям запретить доступ к файлу. Так же можно устанавливать права доступа к папкам.

Читайте также:  Asus geforce gtx 980 ti strix gaming

Существует два уровня прав доступа:

  • Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
  • Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

Существует два типа доступа по NTFS:

  • Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
  • Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

Права на наследование.

Существует два типа прав доступа:

  • Прямые права доступа: если объект создаётся действием пользователя, доступ, установлен по умолчанию на не дочерние объекты.
  • Унаследованный доступ: доступ распространяется на объект от родительского объекта. Наследованный доступ облегчает управление разрешениями и обеспечивает единообразие доступа для всех, находящихся в данном контейнере, объектов.

Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.

Также, не изменяя оригинального назначения доступом, можно установить разрешения на папки и файлы ниже начального пункта наследования. Это сделано для того, чтобы иметь возможность предоставить определённому пользователю или группе пользователей другой доступ к файлу, отличающийся от основного унаследованного доступа.

Существует три способа изменения унаследованного доступа:

  • Внести изменения в родительской папке, а затем файлы или папки, унаследуют эти права доступа.
  • Изменить доступ на противоположный (разрешить или запретить), чтобы отменить унаследованный доступ.
  • Выбрать "не наследовать права доступа от родительского объекта", а затем внести изменения в права или удалить группу или пользователя из списка прав доступа к файлу или папке.

В большинстве случаев, если папка наследует конфликтующие параметры от разных родителей, команда "Запретить" переопределяет команду "Разрешить". В этом случае, ближайший к объекту в поддереве наследуемый от родительского элемента параметр, будет иметь приоритет.

Дочерними объектами наследуются только наследуемые права доступа. Когда установлены права доступа к родительскому объекту, в дополнительных настройках безопасности вам нужно установить, могут ли папки или подпапки их наследовать.

Примечание: Если объект имеет прямое право – "Разрешить", запрет на унаследованное право доступа не препятствует доступу к объекту. Прямые права доступа имеют приоритет над унаследованными правами, даже над унаследованным запретом.

Блокировка наследуемых прав доступа.

После установки прав доступа на родительскую папку, созданные в ней новые файлы и папки, наследуют эти права. Для ограничения доступа к этим файлам и папкам наследование прав доступа может быть заблокировано. Например, все пользователи бухгалтерии могут иметь права на папку УЧЕТА "Изменить". На подпапке ЗАРАБОТНАЯ ПЛАТА, наследуемые права доступа могут быть заблокированы, и предоставлены только некоторым определённым пользователям.

Примечание: Когда наследованные права доступа заблокированы, есть возможность скопировать существующие права, либо создать новые. Копирование существующих прав доступа упрощает процесс настройки ограничений для определённой группы или пользователя.

Программа обеспечения автоматизации управления режимом доступа к ресурсам файловой системы

Кварацхелия Леонид Дмитриевич

Студент СарФТИ НИЯУ МИФИ, факультет Информационных технологий и электроники г.Саров, Россия

Аннотация

Статья посвящена файловым системам, правам доступа к её ресурсам и разработке приложения для автоматизации получения этих прав. Работа содержит в себе основные понятия о файловых системах и дается общий обзор представителей, для работы с которыми выполнена программа. В статье рассматриваются основные права доступа к файлам, также представлена практическая реализация проекта.

Целью данной статьи является разработка ПО для автоматизации управления режимом доступа к ресурсам файловой системы, что позволит сократить время установки прав доступа и уменьшить количество возможных ошибок. Из поставленной цели вытекают следующие задачи:

  • Изучение основ файловой системы Linux;
  • Изучение ACL и методов работы с ним;
  • Написание программного обеспечения для автоматизации работы с ACL.
  • Создание графического интерфейса пользователя.
  • Отладка реализованного ПО.

Ключевые слова: Файловая система, ACL, права доступа, средства разработки.

Читайте также:  Icewind dale создание партии

Введение

Операционная система Linux имеет ряд различных функций безопасности. Одна из них – система управления правами доступа. Linux, как последователь идеологии ядра Linux в отличие от Windows, изначально проектировался как многопользовательская система, поэтому в данной системе существуют механизмы разграничения доступа пользователей [2].

В настоящее время управление разграничением доступа к информации на файловых системах, таких как NFS и Lustre, является трудоемким процессом, который становится все сложнее и сложнее из-за роста количества пользователей, информации и задач, решаемых с помощью вычислительных комплексов. Для более гибкого управления параметрами доступа используется ACL, который имеет разные модификации на файловых системах NFS и Lustre.

Методы и принципы исследования

Общие сведения о файловых системах

Данные на диске хранятся в виде файлов. Файл — это именованная часть диска.

Для управления файлами предназначены системы управления файлами.

Возможность иметь дело с данными, хранящимися в файлах, на логическом уровне предоставляет файловая система. Именно файловая система определяет способ организации данных на каком-либо носителе данных.

Таким образом, файловая система (Рис.1) — это набор спецификаций и соответствующее им программное обеспечение, которые отвечают за создание, уничтожение, организацию, чтение, запись, модификацию и перемещение файловой информации, а также за управление доступом к файлам и за управлением ресурсами, которые используются файлами.

Рис. 1 Многоуровневая файловая система

Система управления файлами является основной подсистемой в абсолютном большинстве современных ОС.

С помощью системы управления файлами:

  • связываются по данным все системные обрабатывающие программы;
  • решаются проблемы централизованного распределения дискового пространства и управления данными;
  • предоставляются возможности пользователю по выполнению операций над файлами (создание и т.п.), по обмену данными между файлами и различными устройствами, по защите файлов от несанкционированного доступа.

В некоторых ОС может быть несколько систем управления файлами, что обеспечивает им возможность работать с несколькими файловыми системами.

Постараемся различать файловую систему и систему управления файлами.

Термин «файловая система» определяет принципы доступа к данным, организованным в файлы.

Термин «система управления файлами» относится к конкретной реализации файловой системы, т.е. это комплекс программных модулей, обеспечивающих работу с файлами в конкретной ОС.

Файловые системы, используемые для разработки

N etwork File System

NFS (Рис.2) — протокол сетевого доступа к файловым системам, первоначально разработан Sun Microsystems в 1984 году. За основу взят протокол вызова удалённых процедур (ONC RPC). Позволяет подключать (монтировать) удалённые файловые системы через сеть [7].

NFS абстрагирован от типов файловых систем как сервера, так и клиента, существует множество реализаций NFS-серверов и клиентов для различных операционных систем и аппаратных архитектур. Наиболее зрелая версия NFS — v.4, поддерживающая различные средства аутентификации (в частности, Kerberos и LIPKEY с использованием протокола RPCSEC GSS) и списки контроля доступа (как POSIX, так и Windows-типов).

Рис.2 Классическая архитектура NFS для UNIX систем.

NFS предоставляет клиентам прозрачный доступ к файлам и файловой системе сервера. В отличие от FTP, протокол NFS осуществляет доступ только к тем частям файла, к которым обратился процесс, и основное достоинство его в том, что он делает этот доступ прозрачным. Это означает, что любое приложение клиента, которое может работать с локальным файлом, с таким же успехом может работать и с NFS-файлом, без каких-либо модификаций самой программы.

NFS-клиенты получают доступ к файлам на NFS-сервере путём отправки RPC-запросов на сервер. Это может быть реализовано с использованием обычных пользовательских процессов — а именно, NFS-клиент может быть пользовательским процессом, который осуществляет конкретные RPC-вызовы на сервер, который так же может быть пользовательским процессом.

Требованиями при разработке NFS были:

  • потенциальная поддержка различных операционных систем (не только UNIX), чтобы серверы и клиенты NFS возможно было бы реализовать в разных операционных системах;
  • протокол не должен зависеть от каких-либо определённых аппаратных средств;
  • должны быть реализованы простые механизмы восстановления в случае отказов сервера или клиента;
  • приложения должны иметь прозрачный доступ к удаленным файлам без использования специальных путевых имён или библиотек и без перекомпиляции;
  • для UNIX-клиентов должна поддерживаться семантика UNIX;
  • производительность NFS должна быть сравнима с производительностью локальных дисков;
  • реализация не должна быть зависимой от транспортных средств.

Lustre

Lustre— распределённая файловая система массового параллелизма, используемая обычно для крупномасштабных кластерных вычислений. Реализованный под лицензией GNU GPL, проект предоставляет высокопроизводительную файловую систему для кластеров с десятками тысяч узлов сети и петабайтными хранилищами информации [7].

Файловые системы Lustre используются в компьютерных кластерах, начиная от небольших кластеров рабочих групп и заканчивая масштабными географически распределёнными кластерами. Пятнадцать суперкомпьютеров из мирового «Топ-30» используют файловые системы Lustre.

Файловые системы Lustre могут поддерживать десятки тысяч клиентских систем, десятки петабайт (PBs) памяти для хранения данных и пропускную способность ввода-вывода в сотни гигабайт в секунду (GB/s). Благодаря высокой масштабируемости Lustre, такие области бизнеса, как провайдеры Интернет, финансовые организации, индустрия нефти и газа устанавливают файловые системы Lustre в своих центрах обработки данных.

Читайте также:  Как застраховать телефон после покупки

Файловая система Lustre (Рис.3) состоит из следующих подсистем:

  • Сервер метаданных (MetaData Server (MDS)), который хранит имена файлов и каталогов и их права.
  • Серверы для хранения самих данных (Object Storage Servers (OSSes)). Общий объем доступного пространства Lustre вычисляется как сумма пространств на этих серверах.
  • Клиенты. Серверы, которые имеют доступ к файловой системе Lustre.

MDS, OSSes и клиенты могут располагаться как и на одном сервере, так и на разных серверах. Для взаимодействия Lustre поддерживает различные протоколы, включая Infiniband, TCP/IP поверх Ethernet, Myrinet и Quadrics.

OSS поддерживает файловую систему (на данный момент – ext3, в будущем – ZFS) для хранения локальных данных, которая экспортируется в кластер для операций чтения/записи.

Рис.3 Представление Lustre.

Списки контроля доступа

Access Control List (Рис. 4) или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом [1].

Рис.4 ACL по умолчанию.

По умолчанию работа с правами доступа в Linux довольно примитивна. Можно использовать только три категории для управления правами доступа: отдельно права для владельца файла, группы владельца и всех остальных пользователей. Этого вполне достаточно при работе с обычным домашним компьютером, где нет большого количества учетных записей пользователей и они не обмениваются между собой файлами. Но если нужно настроить систему большой организации с огромным количеством пользователей и потребностью обмена файлами по Samba и NFS понадобиться более сложная конфигурация.

Использование списков контроля доступа позволяет более гибко контролировать доступ к файлам, которыми вы хотите поделиться с другими пользователями.

Существуют два типа ACL:

  • ACL для доступа;
  • ACL по умолчанию.

ACL для доступа — это список управления доступом для заданного файла или каталога. Проще говоря — это сами права на объект, которые будут контролировать доступ к этому объекту.

ACL по умолчанию — может быть связан только с каталогом, и, если файл в этом каталоге не имеет ACL для доступа, он использует правила, определённые в ACL по умолчанию, связанном с каталогом.

Управления ACL списками осуществляется двумя командами:

  1. setfacl — используется для назначения, модификации и удаления ACL прав.
  2. getfacl — используется для просмотра установленных ACL.

Основные результаты

Далее представлены основные фрагменты реализация проекта.

Для полного понимания работы предоставлена ссылка на целый листинг программы [3]

В основе разрабатываемого ПО лежит класс, отвечающий за все события в коде:

    >Рассмотрим основные методы:

  • __init__(self, name) – Конструктор класса. При вызове класса в круглых скобках передаются значения, которые будут присвоены параметрам метода __init__(). Первый его параметр – self – ссылка на сам только что созданный объект.
  • add_privilege(self, path, permission) – выполняет функцию добавления прав.
  • get_privileges(self) – выполняет функцию проверки прав доступа пользователя.
  • get_name(self) – узнает имена пользователей.

__str__(self) — вызывается функциями str, print и format. Возвращает строковое представление объекта.

Реализация программы выполнена в двух вариациях: 1) консольная, 2) графический интерфейс пользователя. Далее представлен второй вариант, так как именно с ним будет работать конечный пользователь.

Графический интерфейс (Рис.5) реализуется с помощью PyQT5 и имеет вид:

Рис. 5 Графический интерфейс пользователя

Описание функционала программы:

Кнопка «Set file permissions from config» — выполняет основную программу и применяет указанные в конфигурационном файле значения.

Программа собирает всю информацию из файла conf (Рис.6):

Рис.6 Содержимое файла conf

Кнопка «Set permission manually» — вызывает часть ниже представленного кода (Рис.7) на изменение вручную и соответственно дает возможность пользователю изменить права доступа, которые не указаны в конфигурационном файле.

Рис.7 Код, вызываемый на изменения вручную

Кнопка «See info from config» — выводит на экран результат выполнения представленной в консольной реализации функции «print_users_info».

Кнопка «About» — выводит пользователю краткое описание, представленное выше.

Также при нажатии правой кнопки мыши по любому файлу вызывается контекстное меню (Рис.8) с возможностью увидеть права доступа к этому файлу и открыть его.

Рис.8 Контекстное меню

Заключение

В ходе выполнения работы были изучены основы файловых систем, а также прав доступа к файлам в Linux.

В данной работе были освоены способы работы с ACL, реализовано программное обеспечение для автоматизации управления режимом доступа к ресурсам файловой системы.

Использование библиотеки Qt позволило сделать приложение с дружественным интерфейсом пользователя. Интерфейс позволяет пользователю получать больше информации в более удобном виде, а также эффективнее взаимодействовать с программой.

Цель, поставленная в рамках работы, достигнута и задачи, вытекающие из нее, выполнены.

Комментировать
4 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
Adblock detector