Operatsioonisüsteemid - Kursused - Arvutiteaduse instituut

Praktikum 5 - Failiõigused Linuxis

Käesoleva juhendi sooritamiseks on teil vaja Ubuntu Linux virtuaalmasinat. Juhul kui Virtualbox ja Ubuntu ei saa omavahel läbi ja ekraan virvendab häirivalt Ubuntu vaikimisi GNOME kasutajaliidesega, on soovitatav kasutada Lubuntut kui stabiilset alternatiivi. Käesoleva praktikumi tegevused ei ole seotud konkreetse Linuxi versiooni või kasutajaliidesega.

Kui võrrelda erinevate operatsioonisüsteemide turvalisust, siis Windows on läbi aegade olnud Linuxist kehvem. Enamik viiruseid tehti varasemalt peamiselt just Windowsile ja vaid üksikud Linuxile. Üks selle põhjusi peitub Linuxi ja Windowsi erinevas ülesehituses. Windows loodi algselt kui üksikkasutajasüsteem, kus kasutajal oli õigus teha kõike. Alles hilisemates versioonides eristati administraator tavakasutajatest, kuid nagu tarkvaras ikka, siis hiljem fundamentaalseid komponente ning kasutajate juurdunud harjumusi parandada on keeruline. Ka praegu esineb veel tavakasutajale mõeldud tarkvara, mida ilma administraatoriõigusteta installeerida ei saa.
Unix seevastu arendatigi välja kui mitmekasutajasüsteem, kus ülemkasutaja (root) eristus selgelt tavakasutajatest, ja Linux kasutab Unixi turvamudelit. Samas on Windowsi tänapäevane turvamudel alates Windows NT-st samuti võimas ja paindlik. Kurivara arendatakse eeldatavasti Windowsile rohkem, sest eelkõige tavakasutajaid on palju rohkem. Tänapäevane kurivara igasugustes operatsioonisüsteemides on pigem Trooja hobused, mille kasutaja ise sisse laseb või mis pääsevad sisse rakenduste turvaaukude, mitte puuduliku õiguste süsteemi tõttu.
See praktikum tutvustabki Linuxi võimalusterohket failide pääsuõiguste süsteemi, et kasutaja oleks teadlikum ja teadmatusest ise ei jagaks enda faile ning andmeid teistega.

Ülevaade Unixi failiõigustest

Failiõiguste tundma õppimiseks peate kõigepealt oskama luua uusi kasutajaid ning gruppe. Uue kasutaja loomiseks kasutatav käsk:

$ sudo adduser peeter

Uusi gruppe saab luua käsuga

$ sudo addgroup majasisene
$ sudo addgroup ylisalajane

Gruppidesse kasutajaid saab lisada käsuga

$ sudo usermod -a -G majasisene,ylisalajane peeter

Kindlasti uurige -a -G-võtme kohta (man usermod). Arutage sõbraga (Google) miks -a vajalik on. Kasutajat saab gruppi lisada ka käsuga

$ sudo adduser <kasutaja> <grupp>

Kontrollida, millistesse gruppidesse kasutaja kuulub, saate järgmise käsuga:

$ id peeter

Tehke endale mõned kasutajad ning grupid ning logige uute kasutajatena erinevates terminaliakendes sisse. Kasutaja vahetamise näited: su peeter, su - peeter ja sudo su - peeter. Arutage sõbraga (Google), mis on eelnevate käskude erinevus, et teil endal oleks hõlpsam katsetada järgnevas materjalis esinevaid näiteid.

NB! Tutvu Unixi failiõigustega. See materjal annab ülevaate, kuidas failiõiguste süsteem Unixi-põhistes operatsioonisüsteemides toimib ning kuidas seda kasutada.

Õigus	Bitt	Täheline	Tähendus failile	Tähendus kataloogile
Read	4	r	lugeda/kopeerida	saab näha nimekirja kataloogis olevatest failidest (ls)
Write	2	w	muuta faili sisu	kataloogi uute faile/kataloogide loomine, kustutamine, liigutamine ja ümbernimetamine
Execute	1	x	käivitada programmifaili	siseneda või läbida kataloogi (misiganes objekti poole pöördumine sealt kataloogist) (cd)

Tehke katsetusi (looge uusi faile ja katalooge, andke neile erinevate kasutajatega õigusi).

$ mkdir Kaust1 Kaust2 Kaust3
$ touch Kaust1/k1a1.txt Kaust1/k1a2.txt Kaust1/k1a3.txt Kaust2/k2a1.txt Kaust2/k2a2.txt Kaust2/k2a3.txt Kaust3/k3a1.txt Kaust3/k3a2.txt Kaust3/k3a3.txt
$ echo 'echo "Skript töötab!"' > Kaust3/skript.sh
$ sh Kaust3/skript.sh

Andke nüüd käsuga chmod loodud kaustadele ja failidele erinevaid õigusi ning katsetage, mida teha saate. Ideaalis võiks failidel olla nii vähe õigusi, kui võimalik, kuid kasutajad peaksid siiski omama õigusi vajalike failidega opereerida. Järgnevalt oleme teile püstitanud levinud Linuxi failiõiguste ülesande: milliseid õigusi on minimaalselt vaja mingi tegevuse sooritamiseks? Vihje: Lugege juhendis viidatud materjale või otsige internetist infot juurde ja veenduge katseliselt, et teil ei ole antud järgmise ülesande lahendamiseks rohkem õigusi kui vaja.

Looge kaust asukoha ja nimega /tmp/kaust ja sinna sisse fail minufail.txt Faili sisse kirjutage enda ees- ja perenimi.

$ cat /tmp/kaust/minufail.txt
$ chmod 000 /tmp/kaust/minufail.txt
$ chmod 000 /tmp/kaust
$ cat /tmp/kaust/minufail.txt

Ülesanne 5-1: Katsetage missuguseid minimaalseid õigusi (r,w,x) on Unixis omanikul (u) vaja (/tmp/kaust - directory, minufail.txt - fail) (Grupile ja teistele ei anna mitte mingeid õiguseid). Minimaalsed õigused tuua välja eraldi nii kataloogi kui faili kohta:

a) kataloogis /tmp/kaust oleva faili minufail.txt lugemiseks?
b) kataloogis /tmp/kaust oleva faili minufail.txt kustutamiseks?

Eelnevalt loodud skripti saate käivitada käsuga sh skript.sh. Järgnevalt andke loodud skriptile ainult käivitusõigus (esmalt vaadake, kus asute, käsuga pwd).

$ chmod a+x Kaust3/skript.sh

Nüüd võiks programm olla käivitatav ilma interpretaatorit eraldi näitamata, lihtsalt

$ Kaust3/skript.sh

$ chmod a=x Kaust3/skript.sh

Nüüd programm EI OLE enam käivitatav ilma interpretaatorit eraldi näitamata

$ Kaust3/skript.sh

Ülesanne 5-2: Miks chmod a=x skriptifail ei ole piisav õigus shelli skriptifaili käivitamiseks? Millist õigust lisaks käivitamisele veel vaja läheb skriptifaili käivitamiseks? Põhjendage lühidalt.

umask

Eespool saite lugeda selle kohta, kuidas failiõigusi muuta. Tekib küsimus, millised õigused määratakse vaikimisi failidele. See on kasutajapõhine ja selleks, et uurida, milline "mask" on parajasti kasutajal, kasutage käsku umask. Lihtsam on sellest aru saada ehk võtmega umask -S. Uurige erinevate kasutajate "maske".

$ umask
$ sudo su - peeter
$ umask
$ exit
$ sudo su -
# umask
# umask -S
$ exit

Seejärel andke oma tavakasutajale umask 037. Tekitage faile, mida märkate?
Uurige ka failide ja kasutajate id kasutajanimi gruppe.

Ülesanne 5-3: Miks on igal kasutajal omanimeline grupp?

Muutke umask tagasi vaikeväärtuseks umask 0002 (tavakasutajad näiteks peeter) või umask 0022 (root kasutaja) sõltuvalt kasutajast.

chown

Praktikumi alguses toimetasite kasutajate ja kasutajagruppidega. Lisaks õigustele on failide puhul olulised ka omanik ja omanikgrupp. Need määravad ära, missugust osa chmodi abil antud pääsuõigustest kontrollitakse. Faili omanikku ja omanikgruppi saab muuta chown-käsuga. Lisainfot ja süntaksit uurige man chown-käsuga.

Looge uus kaust nimega majasiseseks-kasutamiseks: mkdir majasiseseks-kasutamiseks.
Liikuge eelmises punktis loodud kausta: cd majasiseseks-kasutamiseks.
Looge mõni uus fail oma tavakasutajana (nano uusfail.txt) ja lisage sinna vabalt valitud paar lauset teksti.
Käsuga ls -la uurige, kes on faili omanik ja mis on faili grupp.
Käsuga cat uusfail.txt proovige faili lugeda. Kas õnnestus?
Käsuga chmod a= uusfail.txt eemaldame faililt kõik õigused.
Käsuga cat uusfail.txt proovige faili lugeda. Kas õnnestus?
Pange faili omanikuks mõni teine kasutaja (näiteks peeter: sudo chown peeter:majasisene uusfail.txt). Uurige, mis muutus ls -la väljundis.
Kausta majasiseseks-kasutamiseks omanikuks märkige root ja grupiks majasisesene: sudo chown root:majasisene . (PS! "." tähistab Linuxis aktiivset kataloogi, ".." ülemkataloogi.)
Lisage ennast gruppi majasisene (sudo adduser kasutaja grupp).
- Kontrollige käsuga id, ilma enda kasutajatunnuseta. (PS! Väljundis peaksite nägema gruppi majasisene.)
- Enamasti on vajalik välja logida ja uuesti sisse, et grupiõigused uueneksid. Võimalus on ka sama terminalisessiooni sees su enda kasutaja alla teha. Teatud tingimustel tuleb teha kogu masina restart (praktikumijuhendajal näiteks).

Ülesanne 5-4: Millised on minimaalsed õigused (rwx), mis on vajalikud teie tavakasutajal (kuulub gruppi majasisene) (mitte root- või peeter-kasutajal, kausta ja faili omanikud) faili uusfail.txt sisu kuvamiseks? Esitage ekraanivaade käskude id, ls -la ja cat uusfail.txt väljundist, tõestamaks lahendust.

Programmide käivitamine: setuid- ja setgid-failid

Mõnikord võib tekkida vajadus anda protsessidele rohkem õigusi kui kasutajatele.

Looge endale uus kasutaja nimega opetaja, seejärel sudo su - opetaja.
Edasised käsud käivitage opetaja kasutaja alt. Kõigepealt tehke kataloog nimega klass.

$ mkdir klass

See kataloog olgu avalikkusele loetav (andke vastavad õigused käsuga chmod).

Looge kataloogi klass fail nimega hinded.txt ning lisage sinna järgmised read:

Juku matemaatika 3-
Mari matemaatika 5+
Juku kehaline kasvatus 5
Mari kehaline kasvatus 4
Juku eesti keel 3
Mari eesti keel 5
...

Seejärel andke failile õigused nii, et tulemus oleks selline:

$ ls -l
-rw------- 1 opetaja opetaja  124 okt    1 09:10 hinded.txt

Seega faili saab lugeda ainult opetaja kasutaja.

Tehke kataloogi klass uus fail nimega hindedJukul.c, kuhu kopeerige alljärgnev sisu (C lähtekood).

#include <stdio.h>
#include <string.h>

int main()
{
        FILE *myfile;
        char buf[1000];

        myfile = fopen("hinded.txt", "r");
        if (!myfile) {
                perror("fopen()");
                printf("Ei leia faili hinded.txt või siis pole kasutajal õigust seda lugeda!");
                return 1;
        }

        while (fgets(buf, 1000, myfile) != NULL)
                if (strstr(buf, "Juku"))
                        printf("%s", buf);

        fclose(myfile);
        return 0;
}

seejärel paigaldage enda tavakasutajaga gcc kompilaator sudo apt install gcc ja minge tagasi opetaja kasutaja alla ning kompileerige programm:

$ gcc hindedJukul.c -o hindedJukul

Kataloogi klass tekkis nüüd binaarne fail nimega hindedJukul (Attach:hindedJukul). See programm võtab samas kaustas olevast failist hinded.txt välja Juku hinded ning väljastab need ekraanile.

Selleks, et tekkinud programm oleks käivitatav, peab tal olema käivitamise õigus, kontrollige ls käsuga (kompileeritud programmidele paneb kompilaator ise käivitamisõiguse):

$ ls -la hindedJukul
$ chmod a+x hindedJukul

Kui nüüd käivitate selle programmi opetaja kasutajana –

$ ./hindedJukul

– siis te jõuate tulemuseni, sest programm, joostes opetaja kasutajana, saab lugeda faili hinded.txt.

Tehke uus kasutaja nimega jukuisa. Logige temana sisse (su jukuisa) ning minge opetaja kasutaja kataloogi klass (/home/opetaja/klass). Arvatavasti te ei saa ilma opetaja kaustaõigusi muutmata ligi, nii et andke käsuga chmod o+x /home/opetaja teistele kasutatele ligipääs õpetaja kaustadele ja failidele, kui nad teavad täisteed. Proovige uuesti kaustale klass ligi saada käsuga cd /home/opetaja/klass ja seejärel ls. Nagu te aru saate, siis jukuisa on selle hinded.txti jaoks other ning seetõttu ei ole tal võimalik faili lugeda. Proovige hinded.txti lugeda kasutajana jukuisa: cat hinded.txt. Samuti vaadake, mis veateate annab ./hindedJukul.

Programm käivitub kasutajana jukuisa ning faili hinded.txt lugemiseks avamisel saab ta vea, et pole ligipääsu failile hinded.txt.

Määrata faili omaniku poolt programmile hindedJukul setuid-õigused.

Vahetage kasutaja tagasi opetaja (hinded.txt looja) õigusteks ja sisestage järgmine käsk.

$ chmod u+s hindedJukul

Uurige tulemust käsuga ls -l, mida märkate? Kui te nüüd käivitate selle programmi jälle jukuisa (su jukuisa) õigustes, siis seatakse protsessi userid skripti omaniku omaks ning programm saab edukalt faili hinded.txt lugeda.

Ülesanne 5-5: Tehke kuvatõmmis tulemusest, kus oleks näha faili hinded.txt õigused ja jukuisa käivituskäsk koos väljundiga, ning lisage see oma esitusele. Milleks on vaja setuid-õigust?

Sarnaselt setuid-ga toimib failidel ka setgid (lihtsalt siis määratakse programmi töö ajaks teine grupp).
setgid-õigust saab kasutada ka kataloogi puhul. Kui see on seatud, siis suvaline kasutaja, kellel on õigus teha faile sinna kataloogi, tekitab sinna faile, mille grupp on sama, mis kataloogil endal – katsetage.

Ülesanne 5-6: Kas setuid-i kasutamine võib vähendada süsteemi turvalisust? Kui jah, siis kuidas?

Sticky bit

Kataloogidele saab määrata lisaks veel ka sticky bitti. Tehke kasutajaga opetaja kataloog yhiskaust ning andke kõigile kasutajatele õigused sellele kataloogile. Trükkige:

$ sudo su - opetaja
$ mkdir /tmp/yhiskaust
$ chmod 777 /tmp/yhiskaust
$ chmod +t /tmp/yhiskaust

Uurige tulemust käsuga ls -l, mida märkate? Looge sinna nüüd faile (erinevate kasutajatena) ja üritage neid seejärel kustutada teiste kasutajatega.

Ülesanne 5-7: Kirjutage oma esitusele kõik kasutajad, kes saavad sticky bit-õigustega yhiskaust-kataloogist nüüd peeter-kasutaja loodud faile kustutada. (Õige vastus sisaldab vähemalt 3 eri kasutajat).

ACL

ACL (Access Control List) võimaldab teha veelgi paindlikumalt konfigureeritavat õigustejagamist. Selle kasutamiseks peab failisüsteem olema monteeritud "acl"-lipuga, kasutamaks ACLi tuge. Meie kasutatava Ubuntu 22.04 sees see nii juba vaikimisi on ja lisategevusi pole vaja.

Tekitage uus grupp nimega direktor.
Lisage kasutaja peeter gruppi direktor: sudo adduser peeter direktor.
- Kontrollige tulemust id peeter-käsuga.
Uurige faili hinded.txt acl-õigusi:

$ getfacl hinded.txt

Andke nüüd direktoritele rohkem õigusi failile hinded.txt:

$ setfacl -m g:direktor:rw hinded.txt

Logige käsurealt sisse kasutajaga peeter ning muutke Juku matemaatikahinne viieks. Kas saate seda teha?
Uurige käsuga ls -l faili hinded.txt õigusi – mida märkate?
Ülesanne 5-8: Seejärel uurige õigusi täpsemalt, kasutades käsku getfacl, ning kopeerige see tulemus oma esitusele.
# Lõpuks eemaldage ACL-õigused faililt hinded.txt käsuga

$ setfacl -b hinded.txt

Failisüsteemi täiendavad attribuudid

Linuxis saab kasutada käsku chattr failile täiendavate atribuutide seadistamiseks: https://en.wikipedia.org/wiki/Chattr ja https://www.tecmint.com/chattr-command-examples/

$ echo "see on oluline info" >> testfail-2
$ sudo chattr +i testfail-2
$ lsattr testfail-2
$ rm testfail-2
$ sudo rm testfail-2

Ülesanne 5-9: Kes saab chattr +i-parameetriga faili sisu modifitseerida (kirjutada)? Milliste käskudega saate kustutada testfail-2-nimelise faili (ehk kuidas siiski kustutada +i-parameetriga faili)?

Tulemus

Praktikumi vastused tuleb panna Github/Gitlabi dokumenti nimega praktikum5.md.

GitHub/GitLab leheküljel tuleb vastata järgmistele küsimustele.

Ülesanne 5-1: Katsetage missuguseid minimaalseid õigusi (r,w,x) on Unixis omanikul (u) vaja (/tmp/kaust - directory, minufail.txt - fail) (Grupile ja teistele ei anna mitte mingeid õiguseid). Minimaalsed õigused tuua välja eraldi nii kataloogi kui faili kohta:
- a) kataloogis /tmp/kaust oleva faili minufail.txt lugemiseks?
- b) kataloogis /tmp/kaust oleva faili minufail.txt kustutamiseks?
Ülesanne 5-2: Miks chmod a=x skriptifail ei ole piisav õigus shelli skriptifaili käivitamiseks? Millist õigust lisaks käivitamisele veel vaja läheb skriptifaili käivitamiseks? Põhjendage lühidalt.
Ülesanne 5-3: Milleks on kasulik see, et igal kasutajal on omanimeline grupp? (Teema: umask lõpp)
Ülesanne 5-4: Millised on minimaalsed õigused (rwx), mis on vajalikud teie tavakasutajal (kuulub gruppi majasisene) (mitte root- või peeter-kasutajal, kausta ja faili omanikud) faili uusfail.txt sisu kuvamiseks? Esitage ekraanivaade käskude id, ls -la ja cat uusfail.txt väljundist, tõestamaks lahendust.
Ülesanne 5-5: Tehke kuvatõmmis tulemusest, kus oleks näha faili hinded.txt õigused ja jukuisa käivituskäsk koos väljundiga, ning lisage see oma esitusele. (Teema: setuid ja setgid.)
Ülesanne 5-6: Kas setuid kasutamine võib vähendada süsteemi turvalisust? Kui JAH, siis kuidas? Kui EI, siis miks ei vähenda?
Ülesanne 5-7: Kirjutage oma esitusele kõik kasutajad, kes saavad sticky bit-õigustega yhiskaust-kataloogist nüüd peeter-kasutaja loodud faile kustutada. (Teema: sticky bit)
Ülesanne 5-8: Uurige käsuga ls -la faili hinded.txt õigusi - mida märkate? Seejärel uurige õigusi täpsemalt, kasutades käsku getfacl ning kopeerige see tulemus oma esitusele. (teema: ACL)
Ülesanne 5-9: Kes saab chattr +i-parameetriga faili sisu modifitseerida (kirjutada)? Milliste käskudega saate kustutada testfail-2-nimelise +i-parameetriga faili?

Kui teil GitHub või GitLab lehekülg valmis on, esitage lahendus ka moodles hindamiseks. https://moodle.ut.ee/mod/assign/view.php?id=1201780

(Tähtaeg 2 nädalat)

Operatsioonisüsteemid 2024/25 sügis