Betriebssysteme SS 2013. Hans-Georg Eßer Dipl.-Math., Dipl.-Inform. Foliensatz E SB 5 (11.04.2013) ACLs und Capabilities

Ähnliche Dokumente
Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Benutzer, Gruppen, Zugriffsrechte

Netzlaufwerke verbinden

Gibt Daten im erweiterten Format aus. Dies beinhaltet die Angabe von Zugriffsrechten, Besitzer, Länge, Zeitpunkt der letzten Änderung und mehr.

Tutorial -

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

Migration NVC 5.x auf NEM/NPro (Migration eines bestehenden, produktiven NVC Verteilservers auf NEM/NPro)

Benutzer- und Rechte-Verwaltung Teil 3

Benutzer- und Rechte-Verwaltung Teil 3

Archiv - Berechtigungen

Professionelle Seminare im Bereich MS-Office

Step by Step Webserver unter Windows Server von Christian Bartl

my.ohm Content Services Autorenansicht Rechte

GISA. Definition Spoolfiles

Installationsanleitung für pcvisit Server (pcvisit 12.0)

Einführung Wissenschaftliches Rechnen. René Lamour. Sommersemester 2015

Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender FHNW, Services, ICT

SFTP SCP - Synology Wiki

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Adventskalender Gewinnspiel

Windows 7 - Whoami. Whoami liefert Informationen wie z.b. die SID, Anmelde-ID eines Users, sowie Gruppenzuordnungen, Berechtigungen und Attribute.

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

! " # $ " % & Nicki Wruck worldwidewruck

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Installationsanleitung für pcvisit Server (pcvisit 15.0)

Outlook-Daten komplett sichern

Bauteilattribute als Sachdaten anzeigen

Umleiten von Eigenen Dateien per GPO

MailUtilities: Remote Deployment - Einführung

Durch Drücken des Buttons Bestätigen (siehe Punkt 2) wird Ihre an Ihr Outlookpostfach weiterleiten.

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Leichte-Sprache-Bilder

Übersicht... 2 Dateiupload... 3 Administratorfunktionen... 4

Benutzerrechte: Filesystem Access-Control-List (FACL) unter Linux

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Benutzerhandbuch - Elterliche Kontrolle

Dokumentenverwaltung im Internet

Lizenz Verwaltung. Adami Vista CRM

1. Einführung. 2. Die Mitarbeiterübersicht

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

Kleines Handbuch zur Fotogalerie der Pixel AG


Kurzeinführung Excel2App. Version 1.0.0

Speichern. Speichern unter

Übung: Verwendung von Java-Threads

Outlook Vorlagen/Templates

OPERATIONEN AUF EINER DATENBANK

IAWWeb PDFManager. - Kurzanleitung -

Handbuch Groupware - Mailserver

Geben Sie "regedit" ein und klicken Sie auf die OK Taste. Es öffnet sich die Registry.

Übung - Freigabe eines Ordners und Zuordnung eines Netzwerlaufwerks in Windows XP

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

VARONIS DATADVANTAGE. für Directory Services

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Dokumentation FileZilla. Servermanager

1. Loggen Sie sich mit Ihrem Benutzernamen in den Hosting-Manager (Confixx) auf Ihrer entsprechenden AREA ein.

GISA. Berechtigungs-Modul

TIMERATE AG Tel Falkenstrasse Zürich Joomla Templates Kursunterlagen

Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich

Info-Veranstaltung zur Erstellung von Zertifikaten

SharePoint Demonstration

Benutzerverwaltung mit Zugriffsrechteverwaltung (optional)

In diesem Thema lernen wir die Grundlagen der Datenbanken kennen und werden diese lernen einzusetzen. Access. Die Grundlagen der Datenbanken.

Clients in einer Windows Domäne für WSUS konfigurieren

Kurzanleitung OOVS. Reseller Interface. Allgemein

Übung - Datensicherung und Wiederherstellung in Windows 7

Einführung... 3 MS Exchange Server MS Exchange Server 2007 Jounraling für Mailboxdatabase... 6 MS Exchange Server 2007 Journaling für

Die Captimizer BTZ-Datei 2015

multisign Signatur-Prüfwerkzeug Handbuch Security Networks AG Stand:

OUTLOOK-DATEN SICHERN

Benutzeranleitung Superadmin Tool

Der große VideoClip- Wettbewerb von Media Markt.

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Erstellen einer digitalen Signatur für Adobe-Formulare

HTML5. Wie funktioniert HTML5? Tags: Attribute:

Datensicherung und Wiederherstellung

Anwendungsbeispiele Buchhaltung

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Installation des Zertifikats. Installationsanleitung für Zertifikate zur Nutzung des ISBJ Trägerportals

Benutzergruppen anlegen... 2 Freigabe erstellen... 3 Sicherheitseinstellungen... 4

FTP-Server einrichten mit automatischem Datenupload für

PhotoFiltre: Fotos -tauglich verkleinern

Berechtigungsgruppen TimeSafe Leistungserfassung

SelfLinux cron

<Insert Picture Here>

Vorkurs Informatik WiSe 15/16

CodeSaver. Vorwort. Seite 1 von 6

Benutzerverwaltung Business- & Company-Paket

Online Newsletter III

Java: Vererbung. Teil 3: super()

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

BUILDNOTES TOPAL FINANZBUCHHALTUNG

How to do? Projekte - Zeiterfassung

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Betriebssysteme Arbeiten mit dem Windows Explorer

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Anleitung Postfachsystem Inhalt

PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um

Comtarsia SignOn Familie

Transkript:

Betriebssysteme SS 2013 Hans-Georg Eßer Dipl.-Math., Dipl.-Inform. Foliensatz E SB 5 (11.04.2013) ACLs und Capabilities 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-1

ACLs und Capabilities aus Studienbrief 5 (5.8.4, 5.8.5) alternative Erklärung Referenzen: Jonathan Shapiro: What is a capability, anyway? http://www.eros-os.org/essays/capintro.html, 1999 Michael Bacarella: Taking Advantage of Linux Capabilities, Linux Journal, 2002, http://www.linuxjournal.com/article/5737 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-2

Einführung Zugriffsschutz für Dateien funktioniert traditionell (z. B. Unix) so: Datei hat einen Besitzer Datei ist einer Benutzergruppe zugeordnet Der Besitzer legt für sich selbst und für die Gruppe Zugriffsrechte fest (klassisch: rwx) 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-3

Beispiel: anton darf: lesen, schreiben Einführung lesen = lesen kopieren darf: lesen Datei: planung.doc Besitzer: anton Gruppe: b_users (darf nichts) schreiben = anhängen verändern löschen Attribute ändern b_users: berta, brian, boris, bernd, bruno sonstige: chris, thomas, georg, philipp 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-4

Einführung Zugriffsrechte dieser Art speichert man an der Datei (Unix: rw-r----- für das Beispiel) Allgemein nennt man solche Strukturen ACLs (Access Control Lists) komplexere Varianten speichern detailliertere Rechte Rechte aufsplitten (lesen, Dateiexistenz abfragen, Dateigröße abfragen, Dateiattribute abfragen, anhängen, verändern, löschen, Zugriffsrechte ändern, ) Rechte für mehr Benutzer berta: r,append; bernd: r; bruno: rw,del etc. Rechte für mehrere Gruppen (b_users, c_users, ) 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-5

Linux ACLs Unter Linux: getfacl, setfacl Dateisystem muss mit Mount-Option -o acl eingebunden werden verweisen vom Inode aus auf zusätzliche Rechte [esser@quadamd:mnt]$ setfacl -m u:anton:rw [esser@quadamd:mnt]$ ls -l datei.doc -rw-rw-r--+ 1 esser users 0 2012-04-23 12:57 datei.doc [esser@quadamd:mnt]$ getfacl datei.doc # file: datei.doc # owner: esser # group: users user::rwuser:anton:rwgroup::r-- mask::rwother::r-- 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-6

Linux ACLs Rechte für weitere Gruppen: -m g:... [esser@quadamd:mnt]$ setfacl -m g:b_users:rw [esser@quadamd:mnt]$ getfacl datei.doc # file: datei.doc # owner: esser # group: users user::rwuser:anton:rwgroup::r-- group:b_users:rwmask::rwother::r-- berta@quadamd:/mnt/mnt$ id uid=1003(berta) gid=1004(berta) Gruppen=1004(berta),1003(c_users) berta@quadamd:/mnt/mnt$ ls -l datei.doc -rw------- 1 esser users 19 2012-04-23 13:08 datei.doc berta@quadamd:/mnt/mnt$ cat datei.doc Das ist ein Test. 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-7

ACL allgemein Idee bei ACL ist immer, zu einer bestimmten Datei oder einem Ordner Rechte zu vergeben Quelle: Matt Bishop 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-8

Capabilities Capabilities drehen diesen Ansatz um betrachte Zeilen in der Rechte-Matrix speichere Rechte beim Benutzer / Prozess Quelle: Matt Bishop 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-9

Capabilities werden oft mit Schlüsseln verglichen Schlüssel gewährt mir ein spezielles Nutzungsrecht valet parking key : öffnet beim Auto Türen und startet Motor, öffnet nicht Kofferraum Standardschlüssel: Vollzugriff nicht relevant, wer den Schlüssel benutzt 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-10

Schutzdomäne Schutzdomäne (protection domain): abstraktes Konzept für Zugriffsrechte Domain ist Sammlung von (Objekt, Zugriff)-Paaren, z. B. { (Datei1, r), (Datei1, w), (Datei2, r) } Domain 1 Domain 2 (Datei1, w) (Datei1, r) (Datei2, r) (Datei2, w) Domain kann Benutzern zugeordnet sein (UNIX), z. B.: anton Domain 1, berta Domain 2 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-11

Überblick Wir haben also Objekte (Datei1, Datei2, ) Zugriffsarten (r, w, x, ) Domänen, Benutzer Jedes Recht ist ein Tripel z. B. (Anton, Datei1, r) ACLs und Capabilities: verschiedene Ansätze, um solche Informationen zu speichern 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-12

ACLs vs. Capabilities Prinzipiell: ACLs und Capabilities gleichwertig kann zu einem Benutzer Liste aller erlaubten Datei/Zugriff-Kombinationen speichern (Benutzer darf mit welchen Dateien was tun?) kann zu einer Datei Liste aller zugelassenen Benutzer/Zugriff-Kombinationen speichern (Datei kann von wem wie manipuliert werden?) Verwaltung der Rechte, Entzug von Rechten unterschiedlich aufwendig 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-13

ACLs vs. Capabilities Beispiel: Benutzer sämtliche Rechte entziehen ACLs: gesamtes Dateisystem durchsuchen und bei jeder Datei Rechte entfernen (aufwendig) Cap.: bei Benutzer die Cap's entfernen (schnell) Beispiel: Zugriff auf Datei sperren ACLs: Zugriffsrechte an Datei entfernen (schnell) Cap.: Für alle Benutzer nach einer Cap. für diese Datei suchen und entfernen (eher aufwendig) (es gibt mehr Dateien als Benutzer) 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-14

Alternative Capabilities Der Begriff Capabilities wird nicht einheitlich verwendet z. B. POSIX-Capabilities (UNIX): steuert die Möglichkeit, Systemdienste zu nutzen: Dateizugriff, Netzwerkzugriff etc. Rechte werden an Programme vergeben (unabhängig vom Benutzer!) z. B. CAP_SYS_RAWIO: Zugriff auf Hauptspeicher nach Entfernen einer Cap. kein Wiederherstellen Cap.-basierte Betriebssysteme Weitergeben von Rechten an andere Nutzer 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-15

Klassische Probleme Unix: SUID-Bit für Kommando passwd (User braucht für Passwortänderung Zugriff auf Datei, die normal für ihn gesperrt ist; durch SUID-Bit kann er den Befehl passwd effektiv mit Root-Rechten ausführen muss auf perfekte Implementierung von passwd vertrauen Überprüfung der Berechtigung kein Ausbruch aus Programm möglich Recht Netzwerkkonfiguration ohne totale Root- Rechte? sudo POSIX Capabilities 11.04.2013 Modul 6: Betriebssysteme, SS 2013, Hans-Georg Eßer Folie E-16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback