Розробка програми виявлення порушення прав доступу до об’єктів файлової системи

Набори структур даних, використовуваних для управління файлами. Права доступу до файлу. Монітор файлової системи Process Monitor. Управління аудитом в ОС Windows та в ОС Linux. Доступ до служби каталогів. Практичне застосування Process Monitor.
Краткое сожержание материала:

Размещено на

РОЗРАХУНКОВО-ПОЯСНЮВАЛЬНА ЗАПИСКА

До курсової роботи з системного програмного забезпечення

Розробка програми виявлення порушення прав доступу до об'єктів файлової системи

Зміст

ВСТУП

1. ОГЛЯД ОБ'ЄКТУ ДОСЛІДЖЕННЯ

1.1 Опис предметної області

1.2 Постановка завдання

2. МОНІТОР ФАЙЛОВОЇ СИСТЕМИ PROCESS MONITOR

2.1 Опис утиліти

2.2 Практичне застосування Process Monitor

3. АУДИТ БЕЗПЕКИ В ОС WINDOWS ТА LINUX

3.1 Загальні поняття

3.2 Управління аудитом в ОС Windows

3.3 Управління аудитом в ОС Linux

ВИСНОВКИ

СПИСОК ЛИТЕРАТУРИ

ВСТУП

У широкому розумінні поняття "файлова система" включає: сукупність всіх файлів на диску, набори структур даних, використовуваних для управління файлами, такі, наприклад, як каталоги файлів, дескриптори файлів, таблиці розподілу вільного і зайнятого простору на диску; комплекс системних програмних засобів, що реалізують керування файлами, зокрема: створення, видалення, читання, запис, іменування, пошук та інші операції над файлами тощо.

У системах з декількома користувачами, одна з основних задач це захист файлів одного користувача від несанкціонованого доступу іншого користувача, а також забезпечення спільної роботи з файлами. Це питання може бути вирішено за допомогою системних утиліт, спеціалізованого програмного забезпечення або вмонтованих у операційну систему сервісів.

1. Огляд об'єкту дослідження

1.1 Опис предметної області

Файлова система

Файлова система - це частина операційної системи, призначення якої полягає в тому, щоб забезпечити користувачеві зручний інтерфейс при роботі з даними, що зберігаються на диску, і забезпечити спільне використання файлів кількома користувачами і процесами.

Типи файлів

Файли бувають різних типів: звичайні файли, спеціальні файли, файли-каталоги. Звичайні файли в свою чергу поділяються на текстові і двійкові. Текстові файли складаються з рядків символів, представлених в ASCII-коді. Це можуть бути документи, вихідні тексти програм тощо. Текстові файли можна прочитати на екрані і роздрукувати на принтері. Двійкові файли не використовують ASCII-коди, вони часто мають складну внутрішню структуру, наприклад, об'єктний код програми або архівний файл. Всі операційні системи повинні вміти розпізнавати хоча б один тип файлів - їх власні виконувані файли.

Спеціальні файли - це файли, асоційовані з пристроями вводу-виводу, які дозволяють користувачеві виконувати операції вводу-виводу, використовуючи звичайні команди запису у файл або читання з файлу. Ці команди обробляються спочатку програмами файлової системи, а потім на деякому етапі виконання запиту перетворюються ОС в команди управління відповідним пристроєм. Спеціальні файли, так само як і пристрої введення-виведення, діляться на блок-орієнтовані і байт-орієнтовані.

Каталог - це, з одного боку, група файлів, об'єднаних користувачем виходячи з деяких міркувань (наприклад, файли, що містять програми ігор, або файли, складові один програмний пакет), а з іншого боку - це файл, що містить системну інформацію про групу файлів, його складових. У каталозі міститься список файлів, що входять до нього, і встановлюється відповідність між файлами і їх характеристиками (атрибутами). У різних файлових системах можуть використовуватися в якості атрибутів різні характеристики, наприклад:

· інформація про дозволений доступ,

· пароль для доступу до файлу,

· власник файлу,творець файлу,

· ознака "тільки для читання",

· ознака "прихований файл",

· ознака "системний файл",

· ознака "архівний файл",

· ознака "двійковий / символьний",

· ознака "тимчасовий" (видалити після завершення процесу),

· ознака блокування,

· довжина запису,

· покажчик на ключове поле в записі,

· довжина ключа,часи створення,

· останнього доступу і останньої зміни,

· поточний розмір файлу,

· максимальний розмір файлу.

Каталоги можуть безпосередньо містити значення характеристик файлів, як це зроблено в файловій системі MS-DOS, або посилатися на таблиці, що містять ці характеристики, як це реалізовано в ОС UNIX (рисунок 1.1). Каталоги можуть утворювати ієрархічну структуру за рахунок того, що каталог нижчого рівня може входити в каталог більш високого рівня (рисунок 1.2).



Рисунок 1.1 Структура каталогів: а - структура запису каталогу MS-??DOS (32 байти); б - структура запису каталогу ОС UNIX.

Ієрархія каталогів може бути деревом або мережею. Каталоги утворюють дерево, якщо файлу дозволено входити тільки в один каталог, і мережа - якщо файл може входити відразу в кілька каталогів. У MS-DOS каталоги утворюють деревовидну структуру, а в Unix - мережеву. Як і будь-який інший файл, каталог має символьне ім'я і однозначно ідентифікується складовим ім'ям, що містить ланцюжок символьних імен всіх каталогів, через які проходить шлях від кореня до даного каталогу.

Рисунок 1.2 Логічна організація файлової системи - однорівнева, б - ієрархічна (дерево); в - ієрархічна (мережа).

Права доступу до файлу

Визначити права доступу до файлу - значить визначити для кожного користувача набір операцій, які він може застосувати до даного файлу. У різних файлових системах може бути визначений свій список диференційованих операцій доступу. Цей список може включати наступні операції:

· створення файлу,

· знищення файлу,

· відкриття файлу,

· закриття файлу,

· читання файлу,

· запис у файл,

· доповнення файлу,

· пошук у файлі,

· отримання атрибутів файлу,

· встановлення нових значень атрибутів,

· перейменування,

· виконання файлу,

· читання каталогу,

та інші операції з файлами і каталогами. У самому загальному випадку права доступу можуть бути описані матрицею прав доступу, в якій стовпці відповідають всім файлам системи, рядки - всім користувачам, а на перетині рядків і стовпців вказуються дозволені операції (рисунок 1.3). У деяких системах користувачі можуть бути розділені на окремі категорії. Для всіх користувачів однієї категорії визначаються єдині права доступу. Наприклад, у системі UNIX всі користувачі підрозділяються на три категорії: власника файлу, членів його групи і всіх інших.



Рисунок 1.3 Матриця прав доступу

Файлові системи з ACL

Access Control List або ACL - список контролю доступу, який визначає, хто або що може отримувати доступ до конкретного об'єкту, і які саме операції дозволено або заборонено цьому суб'єкту проводити над об'єктом.

У файлових системах для реалізації ACL використовується ідентифікатор користувача процесу (UID в термінах POSIX).

Список доступу являє собою структуру даних (зазвичайну таблицю), що містить записи, що визначає права індивідуального користувача або групи на спеціальні системні об'єкти, такі як програми, процеси або файли. Ці записи також відомі як ACE (англ. Access Control Entries) в операційних системах Microsoft Windows і OpenVMS. В операційній системі Linux і Mac OS X більшість файлових систем мають розширені атрибути, що виконують роль ACL. Кожен об'єкт в системі містить покажчик на свій ACL. Привілеї (або повноваження) визначають спеціальні права доступу, що дозволяють користувачеві читати, писати або виконувати об'єкт. У деяких реалізаціях ACE можуть визначати право користувача або групи на зміну ACL об'єкта.

Концепції ACL в різних операційних системах розрізняються, незважаючи на існуючий «стандарт» POSIX. (Проекти безпеки POSIX, .1 e і .2 c, були відкликані, коли стало ясно що вони зачіпають занадто велику область і робота не може бути завершена, але добре опрацьовані частини, що визначають ACL, були широко реалізовані і відомі як «POSIX ACLs».)

1.2 Постановка завдання

У цій курсовій роботі буде розглянута утиліта Process Monitor, яка контролює і слідкує за всією роботою операційної системи і відображає всі процеси, що відбуваються, працюючі бібліотеки, різні драйвери пристроїв, а також всі зміни, що відбуваються з файлами і виводить повідомлення про їх видалення або відкриття, а також ознайомимось з аудитом безпеки у операційних системах Windows та Linux.

2. Монітор файлової системи Process Monitor

2.1 Опис утиліти

Загальні відомості

Process Monitor - програма від компанії Sysinternals для спостереження в реальному масштабі часу за діями різних процесів в середовищі операційної системи Windows. Утиліта Process Monitor, включає в себе можливості програми моніторингу звернень до реєстру Regmon і програми моніторингу звернень до файлової системи Filemon, і додатково, дозволяє отримувати більш детальну інформацію про взаємодію процесів, використання ресурсів, мережевої активності та операціях введення-виведення.

...