6 Дослiдження особливостей файловой системи та впливу на механiзми захисту iнформацiї
В даний час у всіх дистрибутивах Linux активно використовує файлову систему ext4 (за замовчуванням). Ext4 є файлової системою з безліччю функціональними можливостями. В Ext4 максимальний розмір ФС дорівнює одному екзабайт (1,048,576 TB). В Ext4 також відсутнє обмеження на кількість підкаталогів. Також замість вказівки всіх блоків на яких розташований файл ФС використовує екстенти, тобто вказує проміжки блоків, на яких розташований файл. Всі ці особливості роблять Ext4 відмінною ФС для великих кластерів серверів.
Файлова політика безпеки в Linux побудована на тому, що будь-який файл має 3 категорії доступу: власника файлу, групи до якої належить власник, а також всіх інших. Таким чином власник файлу може змінювати права доступу для всіх інших користувачів і груп в системі. Права доступу описуються трьома вісімковими цифрами де ліва цифра, це права власника, середня - права групи, права - права всіх інших. Ця восьмерична цифра є бітову маску, в якій ці біти відповідають за право на читання, запис і виконання (rwx в буквеному варіанті).
Право на читання дозволяє читати вміст файлу. Для каталогу дозволяє читати файли, що знаходяться в цьому каталозі.
Право на запис дозволяє змінювати його вміст. Для каталогу - створювати файли всередині цього каталогу.
Право на виконання дозволяє відправляти послідовність на виконання процесору в якості програми. Для каталогу установка цього права дає можливість користувачеві входити в каталог і переглядати його вміст.
Дізнатися права доступу для даного користувача можливо командою ll в терміналі.
На рис.6.1 показані права доступу.
Рисунок 6.1 – Визначення прав доступа в консолi
На рис. 6.1 показаний перегляд прав доступу. У першій колонці показані права доступу до об'єкта (10 знаків). Перший знак зліва це тип об'єкту (файл, каталогом, посиланням і тд), далі представлені права доступу до об'єкта. Друга відображає кількість жорстких посилань, третя вказує на ім'я власника, четверта - на ім'я групи-власника, пятая- розмір файлу, шоста - дата створення, сьома - ім'я файлу. Зміна прав доступу можливо за допомогою команди chmod. Права доступу при виклику команди можуть задаватися бітової маскою або за допомогою символів rwx. Подробиці роботу команди викликаються командою man.
ОС існують файли, які не повинні змінюватися під час роботи системи, наприклад, виконувані файли або конфігураційні файли. Наявність можливостей, які гарантують виконання даних умов дуже сильно підвищує цілісність і безпеку системи під час роботи. Дані можливості були додані в ядро linux в v1.1. В даний час в ОС присутні такі атрибути:
Atime. Забороняє оновлення часу останньої зміни файлу. Підвищує продуктивність ФС знижуючи навантаження на носій. Однак використання даного атрибута до великої кількості файлів знижує безпеку системи від загроз модифікації файлів.
Sync. Атрибут, при якому зміни файлу відразу записуються на носій. Підвищується безпека (при записуванні логів), але знижується продуктивність системи.
Append. Атрибут, дозволяється тільки доповнення файлу (корисно для ведення логів). При застосуванні для каталогу, дозволяє для нього тільки створювати і редагувати вже існуючі файли.
•mmutable. Атрибут, що забороняє будь-яка зміна файлу. Для каталогу дозволяє тільки редагувати вже наявні в каталозі файли.
No Dump. Ігнорування файлу при створенні резервної копії.
На рис. 6.2 показано додавання атрибутів.
Рисунок 6.2 – Редагування атрибутів
На рис. 6.2 показаний процес додавання атрибутів файлу. Для додавання атрибутів використовувалася команда chattr, а для перегляду встановлених lsattr. На прикладі файлу testfile.txt я додав атрибут immutable і файл став захищений від будь-яких змін. Даний атрибут накладає обмеження для всіх процесів незалежно від їх прав доступу і рівня привілеїв. Цей атрибут служить в якості ефективної простий захисту проти змін файлу. Однак хоча цей атрибут і запобіжить зміни файлів, але root користувач і процес може перевірити наявність даного атрибута, і прибрати його, повернувши можливість працювати з файлами.