- •Назначение и функции ос. Ос как виртуальная машина
- •2. Назначение и функции ос. Ос как система управления ресурсами
- •3.Функциональные компоненты ос. Управление процессами.
- •4. Функциональные компоненты ос. Управление памятью
- •5.Функциональные компоненты ос. Управление файлами и внешними устройствами.
- •6. Функциональные компоненты ос. Защита данных и администрирование
- •7.Функциональные компоненты ос. Интерфейс прикладного программирования
- •8.Функциональные компоненты ос. Пользовательский интерфейс
- •9.Сетевые и распределенные ос
- •10. Функциональные компоненты сетевой ос Основные функциональные компоненты сетевой ос:
- •11. Одноранговые и серверные сетевые операционные системы
- •Ос в одноранговых сетях.
- •Ос в сетях с выделенными серверами
- •12. Требования к современным операционным системам
- •13. Ядро и вспомогательные модули ос
- •14. Ядро в привилегированном режиме
- •15. Многослойная структура ос
- •16. Аппаратная зависимость и переносимость ос
- •Типовые средства аппаратной поддержки ос:
- •17. Машинно-зависимые компоненты ос
- •18. Переносимость операционной системы
- •19. Коцепция микроядерной архитектуры
- •Преимущества и недостатки:
- •20. Совместимость и множественные прикладные среды
- •Двоичная совместимость и совместимость исходных текстов
- •Трансляция библиотек
- •Способы реализации прикладных программных сред
- •21. Мультипрограммирование в системах пакетной обработки
- •22. Мультипрограммирование в системах разделения времени
- •23. Мультипрограммирование в системах реального времени
- •24. Мультипроцессорная обработка
- •25. Планирование процессов и потоков
- •26. Создание процессов и потоков
- •27. Планирование и диспетчеризация потоков
- •28. Вытесняющие и невытесняющие алгоритмы планирования
- •29. Алгоритмы планирования, основанные на квантовании
- •30. Алгоритмы планирования, основанные на приоритетах
- •31. Смешанные алгоритмы планирования
- •32. Планирование в системах реального времени
- •33. Моменты перепланировки
- •34. Функции ос по управлению памятью
- •35. Типы адресов
- •36. Алгоритмы распределения памяти Распределение памяти фиксированными разделами
- •Распределение памяти динамическими разделами
- •Перемещаемые разделы
- •37.Страничное распределение
- •38.Сегментное распределение
- •39.Сегментно-страничное распределение
- •40.Разделяемые сегменты памяти
- •41. Кэширование данных
- •43. Кэш память. Проблема согласования данных
- •44.Способы отображения основной памяти на кэш
- •45. Схемы выполнения запросов в системах с кэш-памятью
- •46. Логическая организация файловой системы
- •47. Иерархическая структура файловой системы
- •48. Монтирование
- •49. Атрибуты файлов
- •50. Логическая организация файла
- •51. Физическая организация ntfs
- •52. Структура тома ntfs
- •53. Структура файлов ntfs
- •54. Каталоги ntfs
- •55. Файловые операции. Два способа организации файловых операций
- •56. Открытие файла
- •57. Обмен данными с файлом
- •58. Блокировки файлов
- •59. Стандартные файлы ввода и вывода, перенаправление вывода
- •60. Контроль доступа к файлам. Доступ к файлам как частный случай доступа к разделяемым ресурсам
- •61. Механизм контроля доступа
- •62. Организация контроля доступа в ос unix
- •63. Организация контроля доступа в ос Windows nt
61. Механизм контроля доступа
Каждый пользователь и каждая группа пользователей обычно имеют символьное имя, а также уникальный числовой идентификатор. При выполнении процедуры логического входа в систему пользователь сообщает свое символьное имя и пароль, а операционная система определяет соответствующие числовые идентификаторы пользователя и групп, в которые он входит. Вся идентификационные данные, в том числе имена и идентификаторы пользователей и групп, пароли пользователей, а также сведения о вхождении пользователя в группы хранятся в специальном файле (файл /etc/passwd в UNIX) или специальной базе данных (в Windows NT).
Вход пользователя в систему порождает процесс-оболочку, который поддерживает диалог с пользователем и запускает для него другие процессы. Процесс-оболочка получает от пользователя символьное имя и пароль и находит по ним числовые идентификаторы пользователя и его групп.
Определить права доступа к ресурсу — значит определить для каждого пользователя набор операций, которые ему разрешено применять к данному ресурсу. В разных операционных системах для одних и тех же типов ресурсов может быть определен свой список дифференцируемых операций доступа. Для файловых объектов этот список может включать следующие операции:
создание файла;
уничтожение файла;
открытие файла;
закрытие файла;
чтение файла;
запись в файл;
дополнение файла;
поиск в файле;
получение атрибутов файла;
установка новых значений атрибутов;
переименование;
выполнение файла;
чтение каталога;
смена владельца;
изменение прав доступа.
Набор файловых операций ОС может состоять из большого количества элементарных операций, а может включать всего несколько укрупненных операций. Приведенный выше список является примером первого подхода, который позволяет весьма тонко управлять правами доступа пользователей, но создает значительную нагрузку на администратора. Пример укрупненного подхода демонстрируют операционные системы семейства UNIX, в которых существуют всего три операции с файлами и каталогами: читать (read, г), писать (write, w) и выполнить (execute, x).
В ОС Windows NT разработчики применили гибкий подход — они реализовали возможность работы с операциями над файлами на двух уровнях: по умолчанию администратор работает на укрупненном уровне (уровень стандартных операций), а при желании может перейти на элементарный уровень (уровень индивидуальных операций).
В самом общем случае права доступа могут быть описаны матрицей прав доступа, в которой столбцы соответствуют всем файлам системы, строки — всем пользователям, а на пересечении строк и столбцов указываются разрешенные операции.
62. Организация контроля доступа в ос unix
В ОС UNIX права доступа к файлу или каталогу определяются для трех субъектов:
владельца файла (идентификатор User ID, UID);
членов группы, к которой принадлежит владелец (Group ID, GID);
всех остальных пользователей системы.
С учетом того что в UNIX определены всего три операции над файлами и каталогами (чтение, запись, выполнение), характеристики безопасности файла включают девять признаков, задающих возможность выполнения каждой из трех операций для каждого из трех субъектов доступа.
С каждым процессом UNIX связаны два идентификатора: пользователя, от имени которого был создан этот процесс, и группы, к которой принадлежит данный пользователь. Эти идентификаторы носят название реальных идентификаторов пользователя: Real User ID, RUID и реальных идентификаторов группы: Real Group ID, RGID. Однако при проверке прав доступа к файлу используются не эти идентификаторы, а так называемые эффективные идентификаторы пользователя: Effective User ID, EUID и эффективные идентификаторы группы: Effective Group ID, EGID.
Использование модели файла как универсальной модели разделяемого ресурса позволяет в UNIX применять одни и те же механизмы для контроля доступа к файлам, каталогам, принтерам, терминалам и разделяемым сегментам памяти.
Система управления доступом ОС UNIX была разработана в 70-е годы и с тех пор мало изменилась. Эта достаточно простая система позволяет во многих случаях решить поставленные перед администратором задачи по предотвращению несанкционированного доступа, однако такое решение иногда требует слишком больших ухищрений или же вовсе не может быть реализовано.