Защита в операционной системе unix

В качестве примера реализации функций защиты в ОС кратко рассмотрим механизмы защиты ОС UNIX. Операционная система UNIX относится к ка­тегории многопользовательских многопрограммных ОС, работающих в режиме разделения времени. Первая версия UNIX была разработана К.Томпсоном и Д.Ритчи в 1969 году. Необходимо отметить, что между языком программирова­ния Си и ОС UNIX существует тесная связь. Язык Си был разработан Д.Ритчи в начале семидесятых годов для работы с ранними версиями ОС UNIX. Он представляет собой результаты развития языка Би, созданного К.Томпсоном. В настоящее время свыше 900 ядра ОС UNIX и подавляющее большинство ее утилит написаны на языке Си. Богатые возможности, заложенные в ОС UNIX, сделали ее наиболее популярной в мире. Операционная система UNIX поддер­живается практически на всех типах ЭВМ.

Резидентная в ОП часть ОС называется ядром. Ядро ОС UNIX состоит из двух основных частей: управления процессами и управления устройствами. Управление процессами резервирует ресурсы, определяет последовательность выполнения процессов и принимает запросы на обслуживание. Управление устройствами контролирует передачу данных между ОП и периферийными устройствами.

В любой момент времени выполняется либо программа пользователя (про­цесс), либо команда ОС. В каждый момент времени лишь один пользовательс­кий процесс активен, а все остальные приостановлены. Ядро ОС UNIX служит для удовлетворения потребностей процессов.

Процесс есть программа на этапе выполнения. В некоторый момент време­ни программе могут соответствовать один или несколько процессов, или не соответствовать ни одного. Считается, что процесс является объектом, учтен­ным в специальной таблице ядра системы. Наиболее важная информация о процессе хранится в двух местах: в таблице процессов и в таблице пользователя, называемой также контекстом процесса.

Таблица процессоввсегда находится в памяти и содержит на каждый процесс по одному элементу, в котором отражается состояние процесса: адрес в памяти или адрес свопинга, размер, идентификаторы процесса и запустившего его пользователя. Таблица пользователя существует для каждого активного процесса, и к ней могут непосредственно адресоваться только программы ядра (ядро резервирует по одному контексту на каждый активный процесс). В этой таблице содержится информация, требуемая во время выполнения процесса: идентификационные номера пользователя и группы, предназначенные для определения привилегий доступа к файлам, ссылки на системную таблицу файлов для всех открытых процессом файлов, указатель на индексный дескриптор текущего каталога в таблице индексных дескрипторов и список реакций на различные ситуации. Если процесс приостанавливается, контекст становится недоступным и не модифицируемым.

Каталоги файловой системы ОС UNIX "спрятаны" от пользователей и защищены механизмами ОС. Скрытой частью файловой организации в ОС UNIX является индексный дескриптор файла, который описывает расположение файла, его длину, метод доступа к файлу, даты, связанные с историей создания файла, идентификатор владельца и т.д.

Работа с таблицами является привилегией ядра, что обеспечивает сохранность и безопасность системы.

Рисунок 22

При взаимодействии с ОС UNIX пользователь может обращаться к большо­му числу наборов информационных объектов или файлов, объединенных в ка­талоги. Файловая система ОС UNIX имеет иерархическую структуру.

В ОС UNIX используется четыре типа файлов: обычные, специальные, ка­талоги, а в некоторых версиях ОС и FIFO - файлы. Обычные файлы содержат данные пользователей. Специальные файлы предназначены для организации взаимодействия с устройствами ввода-вывода. Доступ к любому устройству ре­ализуется как обслуживание запроса к специальному (дисковому) файлу. Ката­логи используются системой для поддержания файловой структуры. Особен­ность каталогов состоит в том, что пользователь может читать их содержимое, но выполнять записи в каталоги (изменять структуру каталогов) может только ОС. В ОС UNIX, где реализованы FIFO - файлы (First In First Out), организуют­ся именованные программные каналы, являющиеся соединительным средством между стандартным выводом одной программы и стандартным вводом другой. Рассмотрим основные механизмы защиты данных, реализованные в ОС UNIX.