مسئله امنیت و دستیابی به اطلاعات از وظائف مدیر سیستم UNIX است که باید آن را انجام دهد. در این فصل ساختار امنیتی و مسئله PASSWORD ( کلمه عبور) مورد بررسی قرار می گیرد. هم چنین امکان دسترسی به فایلها از طریق استفاده کنندگان سیستم نیز بحث خواهد شد.
سیستم امنیتی UNIX
سیستم UNIX دارای سیستم امنیتی از پیش ساخته ای است . در سطح LOGIN ( ورود به سیستم ) ، یا پرسش PASSWORD , USER ID مسئله امنیت حاصل می شود.
هر USER ID در سیستم منحصر به فرد است. هر فردی دارای USER ID خاص خودش می باشد. با توجه به اینکه هر فردی با وارد شدن به سیستم می تواند USER ID را بدست آورد، درخواست کلمه عبور نیز موجب بالا رفتن سطح امنیت می شود. باید از کلمات عبور مراقبت کامل شود. هیچ کس توانایی پیدا کردن کلمه عبور شما را ندارد.
قوانین PASSWORD
هنگام ورود به UNIX از شما کلمه عبور خواسته شده و شما آن را وارد می کنید. کلمه عبور را باید تناوباً تغییر داده و در جای مناسبی قرار دهید، اگر این کلمه را از دست دهید، مدیر سیستم برایتان یکی دیگر ایجاد خواهد کرد. پس از آن ، می توانید کلمه عبورتان را تغییر دهید، همانند فرامین و نام فایلهای UNIX ، کلمات عبور نیز به حروف کوچک و بزرگ حساس هستند.
حداقل طول این کلمه شش کاراکتر است، سعی کنید که کلمه عبورتان ، شماره تلفن ، شماره شناسنامه یا چیز قابل حدس نباشد. می توانید آن را با استفاده از ترکیب حروف بزرگ و کوچک پیچیده تر کنید، برای مثال shOoteRs بهتر از shooters است. توجه کنید که هنگام تایپ کردن کلمه عبور آن را روی مانیتور نمی بینید.
تغییر password
وقتی وارد سیستم شدید می توانید با استفاده از فرمان password کلمه عبورتان را تغییر دهید، مثال :
$ password
changing password for carson
old password
type new password:
Re – enter new password
$
سیستم در ابتدا نام user را نشان می دهد ( carson ) ، سپس کلمه عبور قدیمی را درخواست می کند. در صورتی که درست وارد کرده باشید، کلمه عبور جدید از شما می خواهد. در صورتی که طول آن زیاد باشد، unix فقط 8 کاراکتر اول را انتخاب می کند. برای اطمینان از نام کلمه عبور ، دوباره از شما می خواهد که آن را تایپ کنید.
پس از وارد کردن کلمه جدید، فوراً سیستم را logoff کرده و مجدداً با کلمه عبور جدید وارد آن شوید.
امنیت فایل و دایرکتوری
علاوه بر وجود کلمه عبور جهت حفاظت از دسترسی غیر مسئولانه به اطلاعات سیستم ، unix از دسترسی غیرمجاز به فایلها و دایرکتوری ها نیز جلوگیری می کند. استفاده کنندگان مختلف دارای انواع گوناگون دسترسی هستند، در این بخش درباره انواع استفاده کنندگان و دسترسی ها مطالبی فرا خواهید گرفت.
انواع استفاده کنندگان
در ارتباط با دسترسی به فایل سه نوع استفاده کننده وجود دارد، اولین نوع owner است که ایجاد کننده فایل یا دایرکتوری می باشد، اگر با استفاده از فرمان mddir دایرکتوری و فایل ایجاد کنید، شما صاحب ( owner ) آنها هستید. دومین نوع استفاده کننده group ( گروه ) استو. هر استفاده کننده در یک گروه مشخص قرار دارد که دارای یک یا چندین عضو است. اعضاء گروه اغلب در یک پروژه با دیپارتمان یکسان کار می کنند.
افراد یک گروه می توانند به فایلهای هم گروه خود دسترسی داشته باشند. البته می توانید با استفاده از فرامینی این (( اجازه ها )) را تغییر دهید.
سومین نوع استفاده کننده others ( سایرین ) شامل هر فردی است که از گروه شما خارج است. این افراد دسترسی کمتری به اطلاعات تان دارند. در حقیقت ، نوع دیگری از استفاده کنندگان بنام supernuser با استفاده کننده ارشد وجود دارد.
مدیر سیستم تنها فردی است که می تواند از این نوع استفاده کننده باشد. البته چندین فرد می توانند به کلمه عبور سوپروایزر دسترسی داشته باشند.
فردی که بعنوان سوپروایزر وارد سیستم می شود به تمام فایلها و دایرکتوری ها دسترسی دارد.
سوپروایزر مسئول تمام اجازه هایی است که به افراد می دهد تا به فایلهای دیگران دسترسی داشته باشند.
انواع دسترسی
سه نوع دسترسی وجود دارد:
READ ( خواندن )
WRITE ( نوشتن )
EXECUTE ( اجرا )
دسترسی (( خواندن )) به شما اجازه می دهد که فایلها را خوانده و یا چاپ کنید. فایلهاییی را که می توانید بخوانید، می توانید به دایرکتوری خودتان کپی کنید. بطور خودکار، می توانید فایلهایی را که ایجاد می کنید بخوانید.
شاید بتوانید اجازه خواندن فایهای هم گروه خود را داشته باشد. سایر هم گروههای شما نیز ممکن است بتوانند فایلهایتان را بخوانند.
وقتی اجازه نوشتن دارید، می توانید فایلها را تغییر یا انتقال داده، و یا حذف کنید، بطور خودکار فایلهایی را که خودتان ایجاد می کنید اجازه نوشتن دارید. ممکن است اجازه نوشتن در فایلهای هم گروهی های خود نداشته و آنها نیز نتوانند روی فلاپیهای شما بنویسید.
دسترسی ( اجرا ) بدین معنی است که می توانید یک فایل را اجرا کنید. این (( اجازه )) مربوط به برنامه ها و فایلهای خاصی از سیستم است که امکاناتی را برایتان ایجاد نمی کنند.
معمولاً به یک سری از فالهای UNIX که در روز استفاده می کنید دسترسی ( اجرا ) دارید. داشتن یک نوع دسترسی به داشتن (( اجازه دسترسی )) ( ACCESS PERMISSION ) بستگی دارد. می توانید (( اجازه دسترسی )) را برای فایلهای خودتان تغییر دهید. حتی می توانید (( اجازه نوشتن )) را برای فایلهای خودتان از خوتان سلب کنید. ( برای جلوگیری از نوشتن های تصادفی ).
هر یک از انواع استفاده کنندگان ( OWNER - OTHER , GROUP ) می توانند هر ترکیبی از انواع دسترسی ( EXCCUTC , WRITE , READ ) را برای هر فایل با دایرکتوری داشته باشند.
دسترسی پیش فرض ( DEFAULT ACCESS )
ممکن است بطور پیش فرض سیستم برای فایلها و دایرکتوری های جدیدی که شما ایجاد می کنید تمام (( اجازه ها )) و برای هم گروهی هایتان فقط اجازه نوشتن و خواندن و برای هر فرد دیگر ی فقط اجازه خواندن را ارائه دهد.
اجازه های پیش فرض را می توانید با فرمان IS و سویچ –1 بدست آورید. شکل صفحه بعد نشان می دهد که چگونه در لیست گیری کامل و طولانی هر یک از کاراکترها چه اجازه هایی را بیان می کنند.
همانطور که می دانید، کاراکتر اول فایل بودن ( - ) یا دایرکتوری بودن ( d ) را نشان می دهد. 9 کاراکتر بعدی بیانگر (( اجازه ها ))می باشد، سه کاراکتر اول از این 9 کاراکتر مربوط به اجازه دسترسی owner ( خود استفاده کننده ) ، سه کاراکتر بعدی بیانگر اجازه دسترسی گروه و سه کاراکتر آخری بیانگر اجازه هر فرد دیگری است. حداکثر اجازه توسط twx مشخص می شود که بیانگر executc , write , read است.
خط تیره ( - ) بیانگر اینست که هیچ نوع اجازه ای وجود ندارد.
بررسی دسترسی ( access )
نتیجه فرمان [ s - ] سه فایل زیر است.
Rwxrwxr – 2 carson 784 may 15 08:53 processing
Rw-rw-r- 1 carson 1128 may 17 10:14 realty . data
Rw-rw-r—1 carson 9176 may 11:12 weather . data
توجه کنید که حرف اول d بیانگر دایرکتوری بودن است. نام فایلها در سمت راست ظاهر می شود.
در مثال فوق، owner دارای احازه rwx برای دایرکتوری است که موجب می شود تا بتواند خواندن، نوشتن و سایر عملیات پیشرفته را انجام دهد.
بطور پیش فرض، owner دارای اجازه (( اجرای )) فایلهای معمولی نیست. هم گروههای owner نیز با اجازه rw می توانند تمام فایلها را خوانده و بنویسند.
اعضای گروه نمی توانند هیچ برنامه ای را اجرا کنند، اما می توانند دایرکتوری را جستجو کنند چرا که لیست دایرکتوری preccssing دارای x می باشد . x برای دایرکتوری به مفهوم اجرای دایرکتوری نبوه و فقط اجازه عملیات دیگری را به دارنده آن اجازه بوجود می آورد. هر فرد دیگری فقط دارای اجازه خواندن است - r )
آنها نمی توانند روی فایلها نوشته و یا دایرکتوری را جستجو کنند.
می توانید (( اجازه های دسترسی )) را در هر دایرکتوری که اجازه جستجو دارید بررسی کنید. اگر توانایی رفتن به دایرکتوری هم گروه خود را دارید، می توانید (( اجازه های دسترسی )) را در آن دایرکتوری برسی کنید.
اگر بخواهید به دایرکتوری استفاده کننده گروه دیگری بروید پیام :
had direcctory
یا
access donied
ظاهر می شود که بیانگر عدم اجازه ورود و یا عدم وجود چنان دایکرتوری است.
تغییر (( اجازه های دسترسی )) ( chmod )
می توانید هر فایل یا دایرکتوری که شما صاحب هستید تغییر (( اجازه دسترسی )) دهید.
تغییر (( اجازه دسترسی )) توسط فرمان chmod صورت می گیرد، شکل زیر قالب این فرمان را نشان می دهد:
لیست فایل [ اجازه عملیات ] انواع استفاده کنندگان chmod
انواع استفاده کننده:
u استفاده کننده یا مالک فایل
g گروه مربوطه
o تمام استفاده کننده های دیگر
a تمام انواع سه گانه استفاده کننده ها
عملیات :
+ اجازه را اضافه کن
- اجازه را حذف کن
= اجازه را set کن. تمام اجازه های دیگر reset می شود.
اجازه ها:
r اجازه خواندن
w اجازه نوشتن
x اجازه اجرا
s هنگام اجرا id را به owner مرتبط کن
مثالها :
1 . chmed u – w finances. Date
2 . chmod go + 1 newyork . 1990
3 . chmod o+1 newyork / *
4 – chmod g – x shome / miscel
نتایج :
1 – اجازه نوشتن از owner سلب شود.
2 – استفاده کنندگان other , group اجازه
خواندن فایل newyork .1990 را پیدا کردند.
3 – اجازه خواندن تمام فایلهای دایرکتوری new york به استفاده کنندگان other داده شد.
4 – اجازه (( اجرای )) دایرکتوری shome / misce / از گروه گرفته شد، بدین معنی که نمی توانند لیست دایرکتوری مذکور را ببینند.
با بکار گیری فرمان chmod می توانید دسترسی را برای خودتان بعنوان owner ، برای تمام اعضاء همگروه تان و برای هر فرد دیگری تغییر دهید.
در اکثر فرامین chmod چهار موضوع مشخص می شود:
نوع استفاده کننده می تواند ( others ) o , ( group ) g , ( yourself ) u یا هر سه نوع استفاده کننده باشد.می توانید آنها را ترکیب کنید.
Ug بیانگر خود و گروه تان و go بیانگر هر استفاده کننده ای به غیر از خودتان است.
کاراکتر s در اجازه ها موجب اجازه اجرا می شود، اما هنگام اجرای برنامه ،id سایر استفاده کنندگان را به آن owner مجدداً مقدار گذاری می کند.
این ویژگی موجب می شود که دسترسی موقتی به اطلاعات و برنامه هایی پیدا شود که برنامه ممکناست به آنها نیز داشته باشد.
فرمان chmod u + l newprog
اجازه اجرای فایل newprog را به شما می دهد.
فرمان chmod a=r newfile
اجازه خواندن را برای تمام انواع سه گانه استفاده کننده ها ایجاد کرده و هر نوع نوشتن و اجرا را حذف می کند.
فرمان chmod ug+x newprogs/*
به owner و هم گروه وی اجازه اجرای فایلهای درون دایرکتوری new progs را می دهد.
اگر از = برای عملیات استفاده کنید، می توانید دسترسی را حذف کنید.
تاثیر این عملیات حذف تمام اجازه های استفاده کننده مشخص شده است:
$ chmod go = exam
نوع استفاده کننده go ( گروه و سایر استفاده کنندگان ) بوده و owner را شامل نمی شود.
عملیات = موجب می شود تمام اجازه ها برای آنها حذف شود.
بهتر است پس از بکارگیری فرمان chmod محتوای دایرکتوری را تست کنید تا مطمئن شوید که فرمان را درست بکار برده اید.
محدودیت های فرمان chmod
نمی توانید فقط یک user یا زیر مجموعه ای از user ها را تغییر اجازه دهید. اگر قصد تغییر اجازه یک عضو از گروهتان را دارید، باید آن تغییر را در مورد کل گروه اعمال کنید.
تغییر مالکیت یک فایل ( فایل chown)
گاهی لازم است مالکیت یک فایل را تغییر دهید، فرمان chown به همین منظور بکار می رود. شکل کلی این فرمان چنین است:
نام فایل مالک فایل chown
فردی که فایل را به ملکیت وی در می آورید باید در سیستم حضور داشته و login id داشته باشد.
توجه فقط فایل هایی را که مالک آن هستید می توانید به تملک دیگران در آورید. در صورتی که فایلی را به تملک دیگری در آورید، دیگر صاحب آن نیستید. مالک جدید می تواند مجدداً فایل را به تملک شما در آورد.
مثال ها:
$ chown hosnavi prg1
فرمان فوق ، فایل prog1 را به تملک hosnavi در می آورد.
$ chown root *
فرمان فوق، مالکیت تمام فایل ها در دایرکتوری جاری را در اختیار مدیر سیستم ( super user ) قرار می دهد.
تغییر گروه یک فایل ( فرمان chgrp)
فرمان chgrp گروه یک فایل را تغییر می دهد. شکل کلی فرمان چنین است:
نام فایل ها نام گروه chgrp
نام گروه باید در فایل / etc/group وجود داشته باشد.
$ chgrp cad prog1
فرمان فوق ، گروه فایل prog1 را به گروه cad تغییر می دهد.
توجه:
تغییر مالکیت و گروه یک فایل را می توانید با فرمان ls – 1 مشاهده کنید.
مدیریت سیستم unix
با تغییر و تحول امکانات سیستم unix ، مدیریت آن از اهمیت ویژه ای برخوردار بوده و امری الزامی می گردد. معنای این سخن این است که ، افزایش و کاهش user ها، نصب نرم افزار جدید، کنترل فایلهای مهم سیستم ، فرمت کردن فلاپی دیسکت ها ، گرفتن کپی پشتیبان از فایلها، همگی در چهار چوب مدیریت سیستم یا system administration انجام میگیرد.
یکی از user های سیستم unix معمولاً مدیر سیستم است. وظیفه “ مدیر سیستم “ است. وظیفه مدیر سیستم “ عملیاتی “ نگاهداشتن سیستم می باشد تا سایر user ها سرویس بگیرند.
کارهای مدیریتی روی یک سیستم چند کاره ( mutilask ) بسیار پیچیده تر از سیستم عامل تک کاره ای ( single task ) چون ms – dos است. نسخه های جدید سیستم عامل چند کاره unix امکانات جالبی برای ایجاد سهولت در مدیریت سیستم ارائه می دهند. اکثر سیستم های svr2 , svr3 حاوی یک “ user agent " برای مدیران می باشند.
User agent یک امکان ( برنامه ) “ فهرست گرایی “ است که اداره سیستم را برای مدیر سیستم آسان می کند. برنامه های جدید “ کمک مدیریتی “ عموماً حاوی منوهای متعددی بوده و بکارگیری آنها بسیار ساده می باشد.