Utilizatori și grupuri în FreeBSD
Modelul de autorizare și de utilizare utilizat în sistemul de operare FreeBSD și în majoritatea sistemelor de familii UNIX este destul de simplu și de un singur nivel. Nu ca Windows cu unul imbricat în celelalte grupuri :-).
În FreeBSD, există doar două tipuri de utilizatori: utilizatori obișnuiți și root superuser. Ei bine, respectiv, spațiul plat al grupurilor.
La prima vedere poate părea că această schemă este mai puțin practică decât schema Windows. Cu toate acestea, oricare dintre sistemele au argumente pro și contra. Un sistem ierarhic complex de privilegii de grupuri, utilizatori și Windows permite o configurație mai flexibilă a politicii de acces, dar, de asemenea, crește probabilitatea ca ceva să meargă prost. Și există o mare șansă de a face o greșeală, măsura în care poate varia foarte mult. Bine, acolo, șeful nu a avut acces la dosarul său. Și dacă toată lumea are acces la documentele închise?
Fiecare utilizator obișnuit al sistemului FreeBSD are puteri limitate și are o locație de stocare a fișierelor (directorul de domiciliu). Când ne conectăm la computer de la distanță, suntem acolo, de regulă, un utilizator obișnuit. Imediat ajungem la directorul nostru de acasă, unde putem modifica fișierele. Și asta pentru că noi suntem proprietarii lor.
Pentru a vă personaliza ca superuser, utilizați comanda su. Va fi necesar să introduceți parola superuserului, care este "cheia tuturor ușilor" sistemului nostru. După obținerea accesului la nivelul superuserului, avem astfel de oportunități de a crea sau șterge fișiere de pe computer, pe care nu le putem obține pe niciun sistem care rulează Windows.
Este important să rețineți că atunci când lucrați ca utilizator rădăcină, trebuie să respectați măsurile de securitate sporite. Sistemul nu va pune la îndoială competența rădăcinii, dacă a spus - pentru a șterge directoarele importante, atunci este atât de necesar.
Pentru a executa comanda su, trebuie să fii membru al grupului numit "roată". Acest grup include acei utilizatori autorizați să devină superuseri.
"Cine sunt toți acești oameni?"
Există încă o caracteristică. Împreună cu utilizatorii înregistrați (persoanele care se conectează la sistem), există și utilizatori automați (bin, daemon, nimeni, operator, www și alții). Aceste conturi există pentru a deține anumite procese de sistem. Este important să înțelegem aici că fiecare proces, ca un fișier, trebuie să aparțină unui anumit utilizator și toate procesele sunt limitate de puterile acelor utilizatori cărora le aparțin.
Utilizatorii nu accesează direct fișierele lor. Tot ceea ce un utilizator face cu fișierele sale folosind comenzi - de fapt, execută procesul, în numele utilizatorului. Procesele funcționează pe fișiere sau alte procese. Procesele deținute de utilizatorul ivan pot funcționa numai cu fișiere și procese care aparțin utilizatorului ivan. Accesul poate fi refuzat dacă unul dintre aceste procese încearcă să modifice fișierul și procesul utilizatorului andrey.
Pentru ce sunt utilizatorii pseudo-utilizatori? Imaginați-vă că utilizatorul ivan a devenit brusc superuser. Toate procesele care rulează în numele lui ivan vor avea o putere absolută asupra proceselor unui alt utilizator. Și dacă unul dintre aceste procese citește un fișier de configurare special și modifică parametrii sistemului? Și dacă, din cauza unei erori, oricine poate accesa fișierul de configurare sau poate transfera în alt mod parametrii potențial nesigur într-un program care rulează cu drepturi absolute? Sistemul poate fi distrus. Fără întrebări și avertismente inutile. Prin urmare, fiecare serviciu ar trebui lansat în numele unui anumit pseudo-utilizator și să fie "blocat" în spațiul "posesiunilor" acestuia, astfel încât să nu se deterioreze în mod necondiționat restul sistemului.
Pentru ce sunt grupuri?
Fiecare utilizator aparține unui anumit grup primar, care, de regulă, are același nume ca și utilizatorul. De fapt, utilizatorul este singurul membru al grupului său primar. Dar nimic nu ne împiedică să creăm un grup, de exemplu, ftpuserii și adăugarea de utilizatori la acesta. Apropo, numai root superuser poate controla apartenența utilizatorilor.
În general, un grup trebuie să ofere utilizatorilor anumiți capacitatea de a lucra împreună cu anumite fișiere sau procese. La urma urmei, nu este de dorit ca diferite persoane să folosească același cont pentru a accesa fișierele, nu este de dorit ca o parolă să fie cunoscută de altcineva. Și grupurile pot acorda privilegii egale utilizatorilor diferiți.