Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
Каталоги (справочники) являются файлами, из которых строится иерархическая структура файловой системы. Они играют важную роль в превращении имени файла в номер индекса. Каталог — это файл, содержимым которого является набор записей, состоящих из номера индекса и имени файла,' включенного в каталог. Составное имя — это строка символов, завершающаяся пустым символом и разделяемая наклонной чертой («/») на несколько компонент. Каждая компонента, кроме последней, должна быть именем каталога, но последняя компонента может быть именем файла, не являющегося каталогом. Имя корневого каталога — «/». В ОС UNIX длина каждой компоненты определяется 14 символами. Таким образом, вместе с двумя байтами, отводимыми на номер индекса, размер записи каталога составляет 16 байт.
Традиционно в файловых системах ОС UNIX за доступ ко всем типам файлов (файлы, справочники и специальные файлы) отвечают девять бит, которые хранятся в і-узле.
Первая группа из трех бит определяет права доступа к файлу для его владельца, вторая — для членов группы владельца, третья — для всех остальных пользователей.
Например, права доступа «rwxr-xr--» к файлу означают, что владелец файла имеет полный доступ, члены группы имеют воз-
263
можность чтения и выполнения, все остальные имеют возможность только читать данный файл. Для справочника установка бита выполнения «х» означает возможность поиска (извлечения) файлов из этого справочника.
Такая система защиты файлов существует достаточно давно и не вызывает существенных нареканий. Действительно, для того чтобы вручную, т.е. не используя системные вызовы и команды, изменить права доступа к файлу, необходимо иметь доступ к области і-узлов. Для того чтобы иметь доступ к области і-узлов, необходимо изменить права доступа специального файла (например, /dev/root), биты доступа которого также хранятся в области і-узлов.
Иными словами, если случайно или умышленно не испортить права доступа ко всем файлам системы, установленные по умолчанию (обычно правильно) при инсталляции, то можно с большой степенью вероятности гарантировать безопасность работы системы (в смысле выполнения ПБ).
По принципам построения ОС UNIX необходим еще четвертый бит, определяющий права на выполнение исполняемого файла.
Четвертый бит в самом общем случае интерпретируется как возможность смены идентификатора пользователя. Его смысловая нагрузка меняется в зависимости от того, в какой группе бит доступа он установлен.
Если четвертый бит установлен в группе бит прав доступа владельца (setuid), то данная программа выполняется для любого пользователя с правами владельца этого файла.
В любой UNIX-системе таких команд достаточно много. Приведем тривиальный пример использования незарегистрированного файла с установленным битом setuid.
1. Один раз, узнав пароль какого-либо пользователя, злоумышленник создает копию командного интерпретатора в своем домашнем справочнике или еще где-нибудь, чтобы его не узнали, например в глубоком дереве в /usr/tmp (заметим, что рекурсивная работа с деревом весьма ограничена по глубине и составляет величину порядка 15).
2. Делает владельцем файла другого пользователя и его правами устанавливает бит setuid.
3. До тех пор пока данный файл не будет уничтожен, злоумышленник будет пользоваться правами другого пользователя.
Очевидно, что если в этом примере злоумышленник случайно один раз узнает пароль суперпользователя, то он будет обладать полностью его правами.
Поэтому необходимо регулярно проверять все файловые системы на наличие незарегистрированных файлов с установленным битом setuid.
264
Если четвертый бит установлен в группе бит прав доступа членов группы (setgid), то данная программа выполняется для любого пользователя с правами членов группы этого файла.
Использование бита setgid в UNIX-системах встречается гораздо реже, чем бита setuid, однако все сказанное относительно возможных угроз при установке бита setuid справедливо для бита setgid.
Если бит setgid установлен для справочника, то это означает, что для всех файлов, создаваемых пользователем в этом справочнике, групповой идентификатор будет установлен таким же, как у справочника.
Если четвертый бит установлен в группе бит прав доступа всех остальных пользователей (sticky), то это дает указание операционной системе делать специальный текстовый образ выполняемого файла. На сегодняшний день для выполняемого файла sticky бит обычно не используется. Он используется только для справочников. Его установка для справочника означает, что пользователи не имеют права удалять или переименовать файлы других пользователей в этом справочнике.
Это необходимо прежде всего для справочников /tmp и /usr/ tmp, чтобы один пользователь случайно или специально не смог повредить процессу работы другого пользователя. Самой распространенной ошибкой администратора является установка в переменную окружения PATH значения текущего справочника. Это делается для удобства, чтобы не набирать перед каждой командой текущего справочника символы «./». Хуже всего, если это значение установлено в начале (например: PATH=.:/bin:/usr/bin:/etc). В этом случае достаточно злоумышленнику поместить в справочник /tmp или /usr/tmp собственные образы наиболее распространенных команд (Is, ps и т.п.) и последствия набора безобидной последовательности команд (например, cd /tmp; Is) будут трудно предсказуемы. Обычно по умолчанию в переменной окружения PATH текущий справочник не установлен. Плохо для системы могут также закончиться попытки запуска неизвестных пользовательских программ из их домашних или общих справочников.
