Под Unix каждый процесс и каждый ресурс принадлежат группе. Группа внутренне представлена идентификатором группы (GID). Перевод между названиями группы и ЦЕНУРОЗАМИ хранится в файле /etc/group. Это - простая ориентированная на строку база данных, где каждая запись содержит четыре поля: название группы, пароль группы, GID и разграниченный запятой список пользователей, у которых есть GID как вторичная группа (см. ниже). Использованию паролей группы препятствуют. После шаблона /etc/passwd и /etc/shadow согласно файлу /etc/gshadow был установлен.

Состав группы процесса хранится в файле /etc/passwd; это - также ориентированная на строку база данных, где каждая запись содержит среди прочего имя пользователя, UID и основной GID согласно учетной записи пользователя. В отличие от ресурсов процесс может принадлежать дополнительным группам. Они хранятся в четвертом поле /etc/group, т.е. пользователь принадлежит каждой группе, для которой его имя пользователя включено в четвертое поле согласно записи.

Типичная запись в /etc/group похож на это:

wheel:*:10:root,joe,fred 

В этом примере пользователи root, joe, и fred имейте группу wheel как одна из их вторичных групп.

Это является пользовательским, чтобы зарезервировать ЦЕНУРОЗЫ от 0 до 99 для системных групп и 100 - 499 или 999 в функциональные учетные записи группы, такие как сервисы, видеть /etc/login.defs на дистрибутивах Linux, которые используют теневой комплект. Специальная группа wheel. Если настроено, только члены той группы могут использовать su и сделайте определенные другие вещи. Традиционно у этой группы был GID 0, но это стало пользовательским для присвоения этой группы GID 10.

Файлы и другие ресурсы могут иметь только одну группу. Состав группы файла хранится в его inode.

Группы процесс находится в и группа ресурс, принадлежат для имения влияния на решения управления доступом. Предположим, что процесс пытается получить доступ к ресурсу: Если

• UID ресурса не соответствует (эффективному) UID процесса
• GID ресурса действительно соответствует (эффективному) GID или одному из вторичных ЦЕНУРОЗОВ процесса

затем право группового доступа на ресурс применяется.

Типичные проблемы

• Я добавил пользователя к группе, но полномочия группы на файлах все еще не имеют никакого эффекта
• Сделайте все новые файлы в каталоге доступными для группы

Grsecurity является рядом патчей для ядра Linux для укрепления систем Linux. Основные функции включают:

• Основанное на роли управление доступом с обязательным (управляемая политика) управление доступом
• Укрепление Chroot-тюрьмы
• Укрепление против повреждения памяти (через интеграцию PaX)

Доступная документация:

• Grsecurity Wiki
• Учебное руководство Grsecurity RBAC

Связанные теги:

• мир для PaX
• selinux, apparmor для популярных альтернатив Grsecurity
• chroot для легкой игры в песочнице