Control de acceso a las entidades del sistema

Documentos de interés

Documentos de lectura obligatoria

Para tratar en el aula

• Conceptos

• Dos tipos de entidades en un sistema GNU/Linux: directorio y archivo.
  
• Toda entidad tiene un usuario propietario.
• Toda entidad tiene un grupo propietario.
• Se pueden realizar tres tipos de acciones sobre una entidad:
  
• leer: acción representada y manipulada con el caracter --------> r
  
• escribir: acción representada y manipulada con el caracter ---> w
  
• ejecutar: acción representada y manipulada con el caracter --> x.

• Sistema Estándard de gestión de acceso a las entidades.

• Con las herramientas chmod y chown se aplican las politicas de acceso a las entidades manejando como argumentos los conceptos anteriores (entidad, usuario propietario, grupo propietario, leer, escribir, ejecutar).
  
• Ejemplo 1: chmod u+r,g-x,o+w /etc/profile. Sobre el archivo /etc/profile, concede permiso de lectura al usuario propietario, elimina el permiso de ejecución al grupo propietario, concede permiso de escritura a todos los usuarios que no son el propietario y aquellos que pertenecen a grupos que no son el grupo propietario (a todos estos se les denomina others -otros-)-
• Ejemplo 2: chown sysopr:users /etc/profile. Modifica el usuario propietario que tuviese el archivo /etc/profile y le coloca como tal al usuario sysopr, además, modifica el grupo propietario que tuviese /etc/profile y le coloca como tal el grupo users.
• Con herramientas como ls -l  o stat se visualizan las politicas de acceso a una entidad.

• Las acciones rwx tienen diferente efecto en archivos y directorios.
• Uso de chmod en modo simbólico.
• Uso de chmod en modo numérico.
• Bit "t" (sticky bit). Es un permiso extendido que tiene sentido aplicarlo sobre directorios que tengan previamente permisos 777.  Sólo el propietario de un objeto (directorio o archivo) contenido en el interior de un directorio marcado con "t" puede eliminarlo y/o modificarlo (obsérvese que es una acción contraria a el triple 7 que manda sobre todo el directorio padre). El caso más típico es el directorio /tmp.
• Bits SUID y GUID.

• umask

• Máscara por defecto. Afecta a los permisos que se asignen a un archivo inmediatamente después de su creación en el sistema. La máscara se manipula con el comando umask (p.e. umask 0222).
• Funcionamiento de la máscara: Un 1 en la máscara conmuta el bit homólogo en los permisos del fichero una vez establecido por el sistema. Un 0 en la máscara no afecta al bit homólogo una vez establecido por el sistema. En realidad los permisos los establece el algoritmo que los crea o modifica (p.e mkdir).

• Sistema Extendido usando ACL,s (Listas de Control de Acceso).

• ¿Qué es?
  
• setfacl
• getfacl
• Incorporado en kernel 2.6 y posteriores por defecto.
• Para sistemas de ficheros ext2, ext3, ext4, ReiserFS, XFS, JFS, etc..
• Es necesario activar la opción acl de mount ( Suele estar activada por defecto. Se verifica con   tune2fs -l ).
  
• Podría requerir instalación de las herramientas setfacl y getfacl, aunque en los sistemas actuales viene incorporado.
  

• ¿Quién puede conceder y/o quitar permisos?.

• ¿Quién puede modificar el usuario y/o grupo de un objeto?.

Amplio repositorio de documentos para estudiantes y profesionales de TI