система безопасности unix (помогите ответами на вопросы, пожалуйста)

[izuit]

Здравствуйте! я студент-дипломник (программист) ЛЭТИ,. то есть буду дипломником, когда закрою допсу, на которой имел несчастье оказаться. Помогите, пожалуйста, ответьте на пару вопросов по системе безопасности Linux

- маска доступа

Насколько я понял, эта маска представляет собой значение, которое вычитается. из 777 (кстати, именно вычитается, а не представляет собой верхнюю границу? ) для тех файлов и директорий, в которых пользователь напрямую командой chmod не указал права. Но чем тогда объясняется разница в значениях доступа по умолчанию для файлов и директорий (typically 666 in the case of files, and 777 in the case of directories.) Маска для всех одна? При этом блин еще иногда пишут, что значение маски по умолчанию 022. Какое в действительности значение маски по умолчанию?


- Насчет того, где в файле хранятся параметры доступа. Одни пишут что в неком ярлыке, другие – в заголовке. Если в ярлыке, то что это за ярлык и каким образом он приписывается к файлу? Кроме того, что из себя представляет структура для хранения атрибутов файла по доступу к нему. Это набор переменных типа UID = 148, GID = 149 ?
и вот еще сами параметры доступа. кто-то пишет, что это набор из 9 (10) битов, но в заголовке (ярлыке) это, получается, три числа в восьмеричной системе?



- И еще насчет системы проверки. Каждый ли раз, когда один и тот же пользователь (процесс) обращается к файлу (директории) , запускается проверка на определение его уровня доступа?


- И нет ли еще случаем какого-то подобия маски, когда пользователь сознательно пытается установить командой chmod параметры, но эта маска ограничивает. Понимаю, что вроде не должно быть, но в инете наткнулся тоже (Значения ACL_MASK определяет лимит значения режима доступа для дополнительных пользователей и групп. Т.е. если режим доступа к файлу у пользователя rwx (чтение, запись, запуск), а маска - r--(только чтение), то у пользователя реально будет только доступ на чтение) - но это видимо относится к какому-то специальному инструменту ACL

[drBatty]

Маска для всех одна? При этом блин еще иногда пишут, что значение маски по умолчанию 022. Какое в действительности значение маски по умолчанию?

022
man umask

- Насчет того, где в файле хранятся параметры доступа. Одни пишут что в неком ярлыке, другие – в заголовке. Если в ярлыке, то что это за ярлык и каким образом он приписывается к файлу? Кроме того, что из себя представляет структура для хранения атрибутов файла по доступу к нему. Это набор переменных типа UID = 148, GID = 149 ?
и вот еще сами параметры доступа. кто-то пишет, что это набор из 9 (10) битов, но в заголовке (ярлыке) это, получается, три числа в восьмеричной системе?

права хранятся на диске, для EXT в структурах называемых inode. Каждая такая структура имеет номер, который часто тоже называют inode. Отсюда путаница. Размер inode в EXT3 равен 128байт, в EXT4 может быть больше. Имя файла хранится НЕ в inode, а в каталоге.
Кроме основных прав (4 восмеричные цифры, 12 бит) имеются дополнительные man chattr.

Ярлыков НЕ БЫВАЕТ.

- И еще насчет системы проверки. Каждый ли раз, когда один и тот же пользователь (процесс) обращается к файлу (директории) , запускается проверка на определение его уровня доступа?

нет. когда файл ОТКРЫВАЕТСЯ. Конечно, если процесс открыл поток в 100Гб, то система не будет проверять права для каждого байта этого потока.

но это видимо относится к какому-то специальному инструменту ACL

ACL это списки контроля доступа, применяются для сложных многоюзерских систем, отключены по умолчанию (обычно).

[Bizdelnick]

Маска вычитается из 777 для директорий и из 666 для обычных файлов. См. http://ru.wikipedia.org/wiki/Umask
Параметры доступа хранятся не в файле, а в его иноде. См. http://ru.wikipedia.org/wiki/Inode#.D0.9E....B0_.D0.B2_POSIX

[t.t]

Маска вычитается из 777 для директорий и из 666 для обычных файлов.

Для ясности: здесь имеются ввиду двоичное вычитание (a and not b) и восьмеричные числа.

[izuit]

блин, спасибо! ни в одной статье что я прочитал, не сказали про иноды. всё какие-то ярлыки (хотя может они так иноды назвали) и заголовки файла. по той ссылке в википедии все оч понятно написано. а вот насчет маски это конечно моя вина-невнимательность. хоть и в английской википедии в том числе читал (там почему-то не отобразилась ссылка на русскую) , но про двоичное вычитание и про то, из чего что вычитается для файлов и директорий, должен был заметить..


А насчет третьего вопроса: я про то, что если процесс открыл файл (там же есть небольшая схема проверки, типа сначала совпадение идентификаторов по UID (владелец) , если нет, то GID (группа), если нет то остальные) так вот процесс открыл файл, потом его закрыл. И если процесс открывает в этом сеансе этот файл во второй-третий-десятый раз, будет ли опять проходить эта схема проверки, или система как-то помнит, что для такого-то процесса к этому файлу такой-то, выясненный ранее, доступ.

Не просто так задаю вопрос) мне его препод задал (в укороченном виде, но вроде имел ввиду это) а он имеет обыкновение отправлять на повторную, если слышит неправильный ответ


В остальном все полностью понятно

[drBatty]

там же есть небольшая схема проверки, типа сначала совпадение идентификаторов по UID (владелец) , если нет, то GID (группа), если нет то остальные

там всё несколько сложнее. внимательнее почитайте литературу. (вика - это конечно хорошо, но лишь как отправная точка для поиска).

И если процесс открывает в этом сеансе этот файл во второй-третий-десятый раз, будет ли опять проходить эта схема проверки, или система как-то помнит, что для такого-то процесса к этому файлу такой-то, выясненный ранее, доступ.

Это можно проверить (:

Но на самом деле, что вы понимаете под "сеансом"? если ответ - от входа в учётку, до выхода, тогда, да, будет каждый раз проверять. Потому как например администратор может заблокировать доступ юзера к какому-то файлу не прерывая сеанса этого юзера.