В предишния урок вие научихте за разрешенията за достъп до файлове и добихте представа за тяхното предназначение. В примера имаше двама колеги от екипа на Питър. Какво ще стане, ако друг човек (или други хора) се присъединят към колектива? Тъй като те не са изброени в списъка с разрешения, те няма да имат никакви права за достъп.
Затова когато Питър иска те да могат да работят с файла, той трябва да ги добави един по един в списъка. Това решение е много неудобно.
По-лоша ситуация се получава, ако някой напусне колектива. Тогава Питър трябва да не забрави да забрани достъпа му до файла, като за целта премахне профила му от списъка с разрешения. В противен случай сигурността ще е застрашена.
Всички тези действия Питър трябва да извърши за всички файлове на колектива, които се съхраняват някъде. Но кой ще помни всички такива места и няма да пропусне някое? Решението на проблема се нарича потребителски групи.
Потребителски групи
Операционните системи позволяват потребителските профили да се поставят в групи. Те се наричат потребителски групи (понякога можете да видите и подобния термин роля).
Потребителските групи съдържат своите членове и са на разположение, когато трябва да бъдат защитени файловете (и другите обекти, за които се налага).
Следната фигура показва списък от потребителите в обща група, наречена The Best Team (Най-добрият екип). Всички членове на колектива са включени в нея.
Забележете, че ръководителят и собственикът на файла също са включени.
Следователно какво да правим с файловете? Ще ги защитим, използвайки тази група.
Сега гледайте внимателно. The Best Team има само право за четене, значи всички потребители могат да четат. Когато нови потребители се присъединят към колектива, ръководителят ги добавя в групата. Списъкът с членове се променя, но сега не е необходимо да се настройват никакви разрешения за достъп до файловете. Просто, нали?
Остана само един въпрос – когато The Best Team има само право на четене, може ли Питър да промени и съхрани файла? Отговорът е да, той може. Погледнете фигурата. Въпреки че той е част от групата (и получава правото за четене), той отделно присъства и самостоятелно в списъка с разрешения, като са му зададени пълни права. И разрешенията се събират.
По този начин потребителските групи улесняват компютърната сигурност.
Вградени потребителски групи и профили
Всеки компютър има някакви вградени потребителски профили и групи. Това трябва да е така, защото някой трябва да може да поддържа системата.
Всички операционни системи предоставят профил на привилегирован потребител (super user account). Това е потребителят, който може да прави всичко със системата. Той може да изтрие всички файлове, независимо от тяхната защита, може да инсталира приложения, да ги деинсталира, както и да разглежда, променя и изтрива данните на всички потребители. Този профил е необходим, когато някой иска да има цялостен контрол на компютъра в случай на авария или поддръжка (запомнете, че другите потребители могат да разглеждат или променят само техните собствени файлове, освен ако изрично не им е позволено друго).
В операционните системи Unix и Linux такъв профил е root.
В операционните системи Windows се нарича Administrator.
И двата профила са сравними (поне по отношение на предимствата, които имат).
Понякога може да се наложи и други потребители да имат тези възможности. За тази цел в Windows има потребителска група, наречена Administrators. Тя има същите разрешения като администратора. Предимството е, че лесно се добавя нов потребител към администраторската роля.
Сигурност на привилегированите потребителски профили
От споменатите факти трябва веднага да става ясно, че паролата на такива профили е много чувствителна – трябва да се пази в тайна и да се съхранява защитено в случай, че бъде забравена. Никой друг потребител (освен ако не е част от групата на администраторите) не трябва да може да прави нещата, които администраторът може.