4 VJEZBA: Kontrola pristupa na operativnim sistemima Upoznavanje studenata sa nadinima realizacije kontrole pristupa kod operativnih sistema Microsoft Windows i Unix (Linux). Studenti ée analizirati sliénosti razlike. Ova vjezba ima za cilj upozavanje studenata sa nacinima realizacije kontrole pristupa kod operativnih sistema Microsoft, Windows i Unix (Linux). Kroz upoz- navanje sa ovim kontrolama studenti ée, na praktiénim primjerima, vidjeti kakve atribute imaju datoteke na Windows i Linux OS i kakvo je magenje i namjena podeSavanja ovih atributa, Jedna od bitnih ideja koju bi studenti trebali zadrzati je da se precizmim podesavanjem prava pristupa datotekama moze izhje¢i dava- nje vide prava nego Sto je neophodno ili izvSavanje komandi kao privilegovani korisnik. Za teoretsko objasnjenje kontrole pristupa vidjeti knjigu [32] koja je uskladena sa ovim vjezbama. Vise detalja o Windows kontroli pristupa moze se nai u [46], a za Linux se preporuéuje [33] 4.1 Windows OS 4.1.1 Read-only atribut Isti korisnik Kao privilegovani (administrator) korisnik potrebno je u direktoriju ,My Documents“ napraviti TXT dokument. Potrebno je promijeniti osobine (properties) tog do- kumenta tako da postane Read-only. Nakon otvaranja dokumenta potrebno je w njega upisati neki sadrZaj i pokudati ga sacuvati. Sta se deSava i zasto? Riesenje: Promjena osobina dokumenta ostvaruje se desnim klikom na dokument te izborom opeije Properties (obiéno posljednja na listi). U prozoru koji se otvori84 4 VIBZBA: Kontrola pristupa na operativnim sistemima u tab General (prvi) posljednje polje je Atributes. U tom polju je potrebno omaciti (izabrati) Read-only kako je prikazanio na slici 4.1 Kada se dokument sa ovakvim atributom pokusa izmijeniti i saéuvati izmijenjent ‘Gonera | Sou | Det | Frevous Versions TS yeaa ate “woe cfie! Te Dociret (i) ene wth: (i Neterad locaton: CAUsea\studetad\Docurenis See Obates ‘Sevendek Obes Cees 20 avgat 205, 144251 Wedted: — 2o.avgat 15, 184851 Aocensed: 20 avqst 2015, 144051 (WES eden ika 4.1: Windows - Postavljanje atributa samo za ditanje (Read-only) oblik dobiva se upozorenje od Windows OS da datoteka ima postavijen atribut samo za Gitanje te da se izmjene ne mogu saéuvati pod istim imenom datoteke, kako je prikazano na slici 4.2. Tzmijene je moguée sacuvati u datoteci sa drugim imenom. Potrebno je napomenuti da ovaj atribut ne sprjeéava brisanje datoteke. Drugi korisnik Potrebno je iskopirati dokument na lokaciju ¢:\Users\Public\, Public Documents4.1 Windows OS 85 Tien trenton, Ga} Slika 4.2: Windows - Poruka prilikom pokugaja Cuvanja izmjena napravijenih na datoteci sa atributom samo za ditanje Odjaviti se i prijaviti kao obitni korisnik (student). Ponovo pokuSati promijeniti sadrzaj TXT datoteke u C:\Users\Public\Docunents i sacuvati promjene. Da li se degava isto kao i u prethodnom pokusaju? Sada treba ukinuti omaku Read-only za. ovaj dokument. Sta se deSava i zasto? Riesenje: Promjena lokacije dokumenta ne utige na promjenu atributa samo za Gitanje. Obiéni korisnik nije bio u moguénosti saéuvati izmjene na datoteci. Pri- likom pokusaja dobio je istu poruka kao i originalni vlasnik datoteke, slika 4.2 Obiéni korisnik mogao je promijeniti svojstvo samo éitanja datoteke koja se nalazi na Public lokaciji, Nakon toga mogao je praviti i sauvati izmjene na dokumentu. 4.1.2 Hidden atribut Ponovo se potrebno odjaviti i prijaviti kao privilegovani korisnik. Potrebno je promijeniti osobine TXT dokumenta tako da postane Hidden. Sta se dedava nakon toga? Kako se dokument move wéiniti vidljivim? Rjesenje: Promjena osobina dokumenta ostvaruje se desnim Klikom na dokument te izhorom opeije Properties (obiéno posljednja na listi). U prozoru koji se otvori u tab General (prvi) posljednje polje je Atributes. U tom polju je potrebno omaiiti (izabrati) Hidden kako je prikazano na slici 4.3 Ako je dokument nestao sa liste dokumenta u direktoriju, potrebno je omoguéiti prikazivanje skrivenih dokumenata putem menija Organize-> Folder and Se- arch Options, tab View, ukljuciti Show Hidden Files and Folders86 4 VJEZBA: Kontrola pristupa na operativnim sistemima | Tie Abt Tipoctfla: Te Document (st) Cperewtr: OD Noerad am (CAs tarts Docanerts Obytca Sisondeks Ober Coated) 20 avgu 205. 144851 Zi. avgue 2018, 44481 20. avgue 2018, 4451 WiBeedoty WHEE? (Adverse Slika 4.3: Windows - Postavljanje atributa sakriven (Hidden) 4.1.3 Sifriranje datoteka I dalje kao privilegovani korisnik, potrebno je napraviti nova TXT datoteku u dijeljenom direktoriju, U datoteku je potrebno upisati neki sadrzaj. Potrebno je promijeniti osobine tog novog TXT dokumenta da postane sifriran i to samo taj dokument a ne cijeli direktoriji, Ponovo se odjaviti i prijaviti kao obiéni korisnik, te pokuSati pristupiti Sifriranoj datoteci Sta se desava i zasto? Rjesenje: Promjena osobina dokumenta ostvaruje se desnim Klikom na doku- ment te izborom opcije Properties (obiéno posljednja na listi). U prozoru koji se otvori u tab General (prvi) posljednje polje je Atributes. Tu se nalazi dugmeAdvanced... ni 4.1 Windows OS 87 a koje treba kliknuti, U prozoru koji se otvori potrebno oznaditi polje Encrypt content to secure data kako je prikazano na slici 44. Sika (BIR come te ers yu utr tr reste face rete [Aon ee oh corer noe atin w deter Cmpens Eerptitt Piconres conte w save dspace iB catee wears aes 4.4; Windows - Postavljanje atributa sifriran (Enerypted) Kada se klikne na dugme "OK” u ovom i prethodnom prozoru pojavijuje se prozor sa upozorenjem kao na slici 4.5. Yai cerpi= te Weticn mr iecied AS ar Aeemadled, be era sftiwcightsure tarps, Unearoteg, coy of te To sau that Ree ceased hte ere ree ee exept eneypt te sree fact, hat do you want? 9 inaveiihe hi adi paet ie fecormeniad Omayet te fiery Daren (ad Slika 4.5: Windows - Upozorenje prilikom siffiranja datoteke88 4 VJBZBA: Kontrola pristupa na operativnim sistemima Upozorenje ukazuje da se kod sifriranje pojedinih datoteka softver koji se ko- risti za uredivanje tog dokumenta move privremeno sacuvati nesifriranu verziju datoteke. Windows preporuéuje da se sifrira cijeli direktoriji. Ovdje to nije pre- sudno pa je izabrana opeija Encrypt the file only, ali o tome treba voditi racuna i poslusati prijedlog da se sifrira cijeli direktoriji, Kada se potvrdi izbor naziv dokumenta je ispisan drugom bojom, obiéno ze- Jenom, Istovremeno se u donjem desnom uglu pojavi upozorenje da se napravi sigurnosna kopija kljuca koji je koristen za Sifriranje,*, Ako se izabere pravijenje sigumosne kopije kijuca i odgovarajuéeg certifikata, pokreée se Carobnjak za iz- vor certifikata, Ovaj Garobnjak trazi da se izabere lozinka koje ée stititi pristup ovoj kopiji kljuca, Ta lozinka moze biti razligita od Windows korisnicke lozinke. Kljué i certifikat se pohranjuju u datoteku po izboru korisnika, Tu datoteku je onda potrebno sigurno pohraniti na drugu lokaciju, da bude dostupna u sluéaju gubitka kKljuéa, Kada drugi korisnik pokusa otvoriti datoteku koja se nalazi na dijeljenoj lo kaciji dobija poruku Access is denied u prozoru i prikazaje mu se prazan do- kument. Korisnik moze pisali u dokument, ali to Sto je napisao ne moze saéuvati pod istitn imenom. Sifriranje datoteke radi spretavanja neovlastenih korisnika da progitaju njen sadrZaj je pogodno, Medutim, postavija se pitanje kako omoguiti nekome da protita datoteku, Recimo ako korisnik Zeli moéi protitati sifviranu datoteku na dva razligita Windows raéunara. Za tu namjenu moze posluviti sigurnosna kopija certifikata i Kijuéa koja je napravijena. Koristedi ovu datoteku korisniku "stu- dent” ée biti omoguéeno citanje datoteka koje je sifrirao korisnik "studentad”’ Potrebno je prijaviti se kao “student” (Sto bi veé trebalo da je uradeno w prethodnom Koraku). Dvostrukim Klikom na datoteku u koje su pohranjeni ovaj certifikat i kjué pokreée se Carobnjak za uvor cerifikata. U Zarobujaku je potrebno potvrditi iz koje datoteke se Zeli izvr8iti uvoz. Posto je privatni klné u datoteci zastiéen lozinkom definisanom prilikom pravljenje datoteke, tu lozinku je neop- hodno unijeti u garobnjak za uvoz, Carobnjak nudi moguénost izbora spremista * Kao kod svakog sifriranja, i ovdje, gubitak kijuéa dovodi do nemoguénasti desifriranja. Ovdje je pristup kljucu automatski i kontrolisan je korisni¢kom lozinkom, sliéno kao passphrase kod TrueCrypt. Podaci su sigurni onoliko koliko je lozinka dobra, teika za pogoditi. Potrebno je obratiti paznju da gubitak lozinke dovodi do nepovrat- nog gubitka difriranih podataka. Resctovanje lozinke, 2a razliku od regularne pro- mene lozinke, dovodi do gubitka pristupa kljuén za Sifriranje, odnosno nemoguénosti detifriranja4.1 Windows OS 89 certifikata u koje Ge se ovaj certifikat smjestiti, Dovoljno je prikvatiti ponudenu opeiju automatskog izbora spremista. Na kraju je samo potrebno potvrditi izbor Klikom na dugme "Finish” u posljednjem prozoru. Ako je sve proslo uredno do- bija se poruka u prozoru da je uvoz bio uspje’an. Ako sada korisnik "student", koji je uvezao certifikat i Kljué, pokusa otvoriti datoteku koju je sifrirao korisnik *studentad”, éiji je kljué uvezen, njen sadrZaj ée mu biti dostupan. 4.1.4 Eksplicitno dodjeljivanje prava korisnicima na datoteku Odjaviti se i prijaviti kao privilegovani korisnik. Napraviti nova TXT datoteku u dijeljenom direktoriju. Dodati obiénog korisnika student onima koji imaju prava nad datotekom. Kakva prava nad datotekom dobiva novi korisuik? Potrebno je prava koja je ovaj korisnik dobio promijeniti na slijedeéi naéin. Dati mm prava Create Files/Write Data i Create Folders/ Append Data, a ukinuti mu pravo Write Attributes. Kakve poruke se dobijaju nakon potvrdivanja izbora i ta one mace? Dodati korisniku student podrazumijevana (default) prava pristupa i na dvije TXT datoteke (Read-only, hidden i siftiranu) u dijeljenom direktoriju, Do- dati korisniku student * podrazumijevana (default) prava pristupa i na datotekw u My Documents* direktoriju. Odjaviti se i prijaviti kao student“. Pokusati pristupiti svakoj od datoteka i i promijeniti njen sad2aj. Kakvi su rezultati i zaito? e: Dodavanje novih korisnika koji imaju prava nad datotekom radi se i nagin, Desni kik na datoteku, klik na Properties, tab Security, Klik na dugme ”Edit”. Nakon toga otvara se prozor u kom su izlistani svi korisnici i gtupe korisnika koje imaju defisana prava pristupa ovoj datoteci. Za svakog od korisnika ili grupa moguée je vidjeti i promijeniti prava pristupa. Izgled prozora prikazan je na slici 4.6. Klikom na dugme "Add..." moguée je dodati nove korisnike sa pravom pris. tupa datoteci, U prozoru koji se otvori potrebno je navesti za kog korisnika se dodaju prava. U prostor za unos teksta upisano je ime korisnika "student i Kliknuto je na dugme ”Check Names”. Nakon toga je provjereno postojanje tog korisnika i ispisano njegovo ” puno” ime na raéunaru. Izgled ovog prozora prika- zan je na slici 4.7 Klikom na dugme "OK" vraéa se na prethodni prozor. U listu korisnika sa pravom pristupa datoteci dodan je i novi korisnik "student”, Prava koje je dobio90 4 VIBZBA: Kontrola pristupa na operativnim sistemima TSE deahrene Propeis (Gwal]Sy [Data [evous Vtrs] Otectrane: Ceo Pte DexmesS A too Cectrane: Cine tk DoameS 4 to Dt as 2 ete ab Fe aoa amr abt 20 FOr) SawrencTve a seRvCe Fomnaner SYSTEM wea fast bte ast Wate Leona a ce sateen oS) Gee) er Ty Slika 4.6; Windows - Progled korisnia sa pravom pristupa datoteci ‘Sect est pe Leer Gouge Bub wea piel Feme beter: e120 PC mart dest nneo eae amin: Shika 4.7: Windows - Dodavanje korisnika sa pravom pristupa datoteci4.1 Windows OS 91 sti "Read & Execute" i "Read", To mati da moze Gitati sadrZaj datoteke ili pokretati program koji datoteka predstavija, ali ne moze pisati u datoteku ili je mijenjati. Izgled ovog prozora prikazan je na slici 4.8, Obiectrame: CUbes\Puble Docureris\TS 4 detanott Sp ru nans earoi £2 pana 20 FO Sirenernve Sescruce susem (481.20 POwtudert) Berson fr sd Fula ety Feed Sersoute esd Wine Lem about ances cone ardpemasone Slika 4.8: Windows - Dodan korisnika sa podrazumijevanim pravom pristupa datoteci Klikom na dugme "OK” potvrduje se dodavanje korisnika sa navedenim pra- vima, Prava koja su ovdje navedena su takozvana standardna NTFS prava. Ova standardna prava su zapravo kombinacija nesto detaljnijih specijalnih prava. Za detaljnije definisanje (ovih specijalnih) prava potrebno je kliknuti na dugime » Advanced” u poéetenom prozoru (koji je sada otvoren). U novootvorenom pro- zoru potrebno je kliknuti na dugme "Change Permissions...", a w narednom pro- zor na dugme "Edit..." Nakon toga otvara se prozor tt kom se definisu specijalna prava. U koloni Allow kliknuto je na redove Create Files/ Write Data i Create Fol. ders/Append Data, au koloni Deny na red Write Attributes. Izgled ovih prozora sa izabranim specijalnim pravima prikazan je na slici 4.9,924 VIBZBA: Kontrola pristupa na operativnim sistemima = Gael] emmiiesn|| Srscriatomenid | cmeneeceea=* Cal Soe —— || cee Ss ee | Se Slika 4.9; Windows - Definisanje specijalnih prava Klikom na OK prozor se zatvara i vraéa na prethodni. Klikom na OK u tom prozoru pojavljuje se prozor sa porukom upozorenja na slici 4.10. “You ae ettng deny pemiesione entry, Dany ene take precedence cover slow entries Thi means that Fa user ie member f fw oreuce, one thats alowed a permission ad ancther that deni the same permission, the useris dened hat permission Do you went to continue? Cette] (eet Slika 4.10; Windows - Upozorenje kod zabrane prava_ Ovo upozorenje kaze da oduzimanje prava ima prioritet nad davanjem, Ako sut korisniku oduzcte ncka prava to ée se primjenjivati u svakom slucaju, neza- visno od toga sto mm je pripadnoséu nekoj grupi to pravo dato. Kliknuto je OK i prihvaéeno upozorenje.4.1 Windows OS 93 Klikom na OK u naredna dva prozora zavrieno je dodavanje prava korisniku na novonapravijent datoteku. Korisniku "student dodana su podrazumijevana prava i na dvije TXT datoteke (Read-only i hidden, i sifrirama) u dijeljenom di- rektoriju, kao i na datoteku u ,My Documents“ direktoriju. Nakon odjave i prijave kao student“ pokuian je pristup svakoj od datoteka radi uvida u sadrZaj i njegove promjene. Uvid u prvu datoteku, sa atributima samo za Gitanje i sakrivena, bio je mogué (nakon Sto je omoguéeno prikazivanje skrivenih datoteka). ali nije bila moguéa promjena njenog sadrZaja, kao sto je to bio shiéaj i na potetku vjezbe. Prava pristupa ovoj datoteci su i bila samo za Gitanje, a datoteka pri tome ima podesen atribut samo za Gitanje Pristup sadiZaju siftirane datoteke i dalje nije bio mogué. Nezavisno od prava pristupa za Gitanje datoteka je siftirana kljuéem drugog korisnika i njen sadréaj nije moguée vidjeti Promjena sadrZaja treée datoteke, za koju su data specijalna prava Create Fi les/Write Data i Create Folders/Append Data, a oduzeto specijalno pravo Write Attributes nije bila moguéa, Oduzeto pravo pisanja atributa spregavalo je pisa- nje u datoteku. Kad to pravo vise nije bilo oduzeto, promjena sadrfaja datoteke postala je moguéa. Ovim se Zeljelo pokazati kako kombinacija specijalnih prava moze dovesti do neplaniranih konagnih rezultata. Sligno i pripadnost korisnik racligitim grapama moie dovesti do tesko predvidivih efektivnih prava. Iz tog razloga Windows mudi moguénost provjere efektivnih prava korisnika na neku datoteku. Provjera se moze invrSiti slitno kao i postavljanje specijaluih prava, Desnim klikom na datoteku, izborom Properties, pa tab Security i dugme " Advance”. U prozoru koji se otvori postoji tab Effective Permissions. Potrebuo je unijeti, izabrati kao prilikom doda- vanja korisnika sa pravima, ime korisnika za kog se Zele provjeriti prava, Izgleda ovog prozora sa prikazanin korisnikom dat je na slici 4.11 4.1.5 Moguénost ogranigavanja prava pristupa datoteci za Administratora Pod prijavom kao student potrebno je napraviti datoteku u Public documents. Za tu datoteku potrebuo je privilegovanom korisniku "studentad” oduzeti sva prava na ov datoteku. Odjaviti se i prijaviti kao privilegovani korisnik. Provjeriti da li privilegovani korisnik ima ikakva prava za ovu datoteku, te moze li ih dobiti.94 4 VIBZBA: Kontrola pristupa na operativnim sistemima ‘oer et ue ne paar at woul be paste ote gap we bree on to Sonus gatac ded reudhgsnaNoonrS dictrae: Cheese DocanannTS 4 daha eae Gaal Elecite mesons Dito Bees / acto Blur rst Bi seocartuee Renee ie hese s/t dae hae ten sport ta Dvieesnatea Hous fete cemasensdnemnat? Slika 4.11; Windows - Efektivna prava pristupa Rjeenje: Nakon pravljenja datoteke potrebno je odlaskom na Properties i Secirity, Kio i u prethodnim sluéajevima, Klikom na dugme "Edit otidi na uredivanje prava za datoteku, Sa liste korisnika u gornjem dijelu prozora potrebno Je izabrati grup Administrators (1 kojo} je i privilegovani korisnik “studentad”). U donjem dijelu prozora potrebno je kliknuti na Deny za sve kolone. Potrebno Je primijetiti da nije moguée kliknuti na Deny za red Special Permissions. I7gled prozora prikazan je na slici 4.12. Nakon klika na dugme OK”, ponovo se javlja upozorenje da Deny ima prednost kao na slici 4.10, Da bi se "temeljito” ukinula prava grupi Administrators, Kli- kom na dugme ” Advanced”, pa "Change Permissions...”, pa Edit..., na prozorima koji su se pojavijivali, sliéno kao na slici 4.9, dolazi se do prozora za upravljanje specijalnim pravima, U tom prozoru se moze vidjeti da je Deny omadeno za sva prava. Ingled tog prozora prikazan je na slici 4.13, Nakon potvrdivanje svih prozora, potrebno je odjaviti se sa prijave kao "stu dent” i prijaviti se kao privilegovani korisnik (lan grupe ” Administrators”, kojoj su oduzeta sva prava) "studentad”, Sada je potrebo pokusati pristupiti datoteci u Public documents kojut je napravio korisnik "student” i za koju je ukinuo sva4.1 Windows OS 95 Cbiectrame: Cee Pible\Docurerts\No admin ec i svren 2B meen (26120 FC) ieenren 1 iis Lb POW Sitenerve SRSERVICE Berson fr Adnstetrs Meaty Fed kevecite ead We Soncel perninions Lem abut ances cone ard pemasone Slika 4.12: Windows - Ukidanje prava 2a grupu Administrators prava za grupu ” Administrators”. Prilikom pokuSaja pristupa datoteci dobije se upozorenje da pristup nije dozvoljen. Desnim klikom na datoteku izborom Pro- perties i taba Security pojavljuje se prozor u kom se upozorava da je za pregled prava na datoteku potrebno biti privilegovani korisnik. Za nastavak je potrebno Kliknuti na dugme "Continue ispred kog se nalazi znak koji ukazuje da je za invrdavanje njegove fmkcionalnosti potrebno iskoristiti administratorska prava. Iugled tog prozora prikazan je na slici 4.14 Klikom na dugme pojavljuje se prozor sa objasnjenjem da je za pregled prava pristupa datoteci potrebno preuzeti vlasnistvo (Take Ownership) nad datotekom. Pravo preuzimanja viasnistva je eksplicitno oduzeto grupi Administrators u pret- hodnim koracima (slika 4.13). Ispostavlja se da to pravo nije moguée oduzeti dlanovima ove grupe na Windows OS. Za preuzimanj viasnistva je potrebno iza- brati korisnika koji ée poslati vlasnik datoteke. U konkretnom sluéaju mudi se da to bude grupa "Administrators? ili korisnik ”studentad”. Izabran je ”studentad” i Kliknuto je na dugme "OK", Nakon toga se pojavijuje prozor sa upozorenjem da je po preuzimanju vlasnistva nad datotckom neophodno zatvoriti i ponovo otvoriti pregled osobina objekta (Properties) da bi se mogla mijenjati prava za96 4 VIBZBA: Kontrola pristupa na operativnim sistemima Ustfolir/read ats esdarroutee ead extendes atrbutse (reste flee wre date ssee8 reste flere / append data ne aereusee ene ertanded tebe aete esd pemisios ‘change mssons SSS8 Mancha neenisions Slika 4.13: Windows - Ukidanje specijalnih prava za grupu Administrators datoteku, Klikom na OK vraéa se na prozor sa slike 4.14, Klikom na OK u tom prozoru, prozor se zatvara i vraéa se na Public Documents. Ponovo je potrebno desnim Klikom izabrati datoteku nad kojom je preuzeto viasnistvo, te izabrati Properties i Security tab. Sada je moguée klikom na dugme “Edit” mijenjati prava ze datoteku. Izborom grupe Administrators u gornjem dijelu prozora u do- njem prozoru je moguée odznaciti Deny u svim redovima (za sva prava) te kikom OK potvrditi promjenu. Moze se radi promjene putem dugmeta" Advanced” otiéi i na specijalna prava i provjeriti njihovo stanje za grupu Administrators. Ta se moze uvjeriti da grupi Administrators nisu vise ukimuta nikekva prava, Nakon ovoga mogué je kompletan pristup datoteci za korisnika "studentad” Ovim je pokazana kako Windows ACL samo ograniteno djeluje na privilege vane korisnike, Njima se mogu uskratiti prava za datotekt, ali oni uvijek mogu preuzeti vlasnistvo nad datotckom, i onda upravljati pravima.4.2 Linux OS 97 Cbiectrame: Cee ible Docurerts\No admin CY) To contre, you guste an adrwnstave use wth pemisson lbven tischedts secry poceties De yeu wentioceninus? Fareed pemissorecracvarcedctras. (Tasmreed a] ciseidiancea| deena sam sbast coon conte andromiana (Goo) Grats) (ss) Slika 4.14: Windows - Pristup pravima privilegovanog korisnika datoteci za koju nema prava 4.2 Linux OS 4.2.1 Uspostavijanje strukture datoteka i korisni¢kog prostora 1, Prijaviti se kao administrator 2. Prebaciti se na korisnika root: sudo su 3. Dodati dva korisnika userl i user2: useradd userl -g users -p user1 -m useradd user2 -g users -p user2 -m98 4 VJEZBA: Kontrola pristupa na operativnim sistemima 4, Provjeriti podatke o korisnicima id komandom (obratiti paznju na uid i gid) id usert id user2 U konkretnom primjeru dobijeni su slijedeti rezultati uid=1007(user1) gid=100(users) groups=100(users) uid=1008(user2) gid-100(users) groups=100 (users) uid-0(root) gid-0(root) groups=0(reot) Privilegovani korisnik na Unix-oidnim sistemima uvijek ima uid 0, nezavisno od imena. Konvencija koje se velika veéina drai i koja je podrazumijevana prilikom instalacije je da je ime tog korisnike rool, Ime u principu moze biti i drugadije. 5. Napraviti strukturn direktorija: mkdir /test mkdir /test/tmp 6, Prebaciti se na korisnika userl i nazad na root. su userl whoani exit vhoami Naredba su omoguéava preuzimanje identiteta koji je naveden iza komande. Komanda whoami omoguéava provjeru identiteta koji je trenutno preuzet. Ko- manda exit prekida preuzimanje identiteta ostvareno komandom su i vraéa se na prethodni identitet Ovdje je odgovor na prvi whoami bio userl, a na drugi root. Napraviti novu datoteku kao root i promijeniti grupno i korisni¢ko vlasnistvo: touch /nome/user2/Datoteka 1s -1 /nome/user2/Datoteka (provjeriti vlasnika i grupu) cru-r--r-- 1 root root 0 Nov 5 10:54 /home/user2/Datoteka Viasnik i grupa su root:root jer je root korisnik napravio datoteku. chgrp users /home/user2/Datoteka chown user2:users /hone/users/Da 1s -1 /nome/user2/Datoteka (provjeriti vlasnika i grupu) vrw-r--r-- 1 user? users 0 Nov § 10:54 /hone/user2/Datoteka42 Linux OS 99 Viasnik je sada user2, a grupa users jer su gornje komande napravile ovu promjenu. 2 Razlika u pravima za datoteke i direktorije 1, Otkucati slijedeée komande i pogledati rezultat (Kakva su prava pristupa dic rektorijima userl, user2 i test?) cd / As -1t total 108 drwxrwxrwt 4 root root 4096 Nov § 10:39 tmp drwxr-xr-x 3 root root 4096 Nov 5 08:49 test arwxr-xr-x 24 root root 780 Nov 5 08:44 run drwxr-xr-x 141 root root 12288 Nov § 08:20 etc drwxr-xr-x 11 root root 4096 Nov § 08:20 hone drwxr-xr-x 6 root root 4096 Nov 5 08:18 media drwxr-xr-x 14 root root 4080 Nov 5 08:17 dev © Nov § 08:17 sys dr-xr-xr-x 185 root root 0 Nov § 08:17 proc drwx------ 3 root root 4096 Aug 18 14:30 root drwxr-xr-x 3 root root 4096 Aug 18 13:27 boot drwxr-xr-x 2 root root 4096 Aug 18 13:25 bin Arwxrwxrwx 1 root root 30 Aug 18 13:25 vmlinuz -> boot /vmlinu2~3.13.0-62-generic lrwxrwxrwx 1 root root 33 Aug 18 13:25 initrd.img -> boot/initrd. img-3.13,0-62-generic drwxr-xr-x 2 root root 12288 Aug 18 13:24 sbin drwxr-xr-x 2 root root 4096 Aug 18 13:18 1ibx32 drwxr-xr-x 2 root root 4096 Aug 18 13:18 1432 drwxr-xr-x 2 root root 4096 Aug 18 13:18 1ib64 drwxr-xr-x 24 root root 4096 Aug 18 13:18 1ib drwxr-xr-x 7 root root 4096 Mar 26 2015 opt drwxr-xr-x 14 root root 4096 Dec 24 2014 var Irwxrwxrwx 1 root root 30 Dec 23 2014 vmlinuz.old -> boot /vmlinuz~3.13.0-43-generic lrwxrwxrwx 1 root root 33 Dec 23 2014 initrd. img.old -> boot/initrd. img-3. 13,0-43-generic Grwxr-xr-x 14 root root 4096 Dec 17 2014 usr drwxr-xr-x 4 root root 4096 Dec 4 2014 mnt. drwxrwxr-x 2 root root 4096 Nov 6 2014 cdrom dr-xr-xr-x 13 root roP2BA: Kontrola pristupa na operativnim sistemima aruxr-xr-x 2 root root 4096 Jul 22 2014 srv Prava pristupa za direktoriji test su da vlasnik root, ima sva prava (ditanje, pisanje, izvrSavanje) dok grupa i ostali imaju pravo Citanja i izvrSavanja, 1s -al /hone total 44 aruxr-xr-x 11 root root 4096 Nov 5 08:20 druxr-xr-x 26 root root 4096 Nov 5 08:49 drwxr-xx-x 2 dugacki dugacki 4096 Aug 18 13:56 dugacki drwxr-xr-x 2 laki laki 4096 Aug 19 09:38 laki aruxr-xr-x 2 naivni naivni 4096 Aug 18 13:55 naivni drwxr-xr-x 2 razumni razumni 4096 Aug 18 13:86 razumni drwxr-xr-x 30 sasa sasa 4096 Nov 5 08:14 sasa aruxr-xr-x 15 student student 4096 Nov 12 2014 student druxr-xr-x 15 studentad studentad 4096 Nov 5 08:20 studentad drwxr-xx-x 2 userl users 4096 Nov § 08:53 user drwxr-xr-x 2 user? users 4096 Nov 5 10:54 user2 Prava pristupa za direktoriji userl su da vlasnik user1, ima sva prava (éitanje, pisanje, izvrSavanje) dok grupa i ostali imaju pravo Gitanja i izvrfavanja, Je- dina razlika za direktoriji user? je sto je njegov vlasnik user2, 2. Prebaci su usert 1s -al /home/user2 (Moze li se izlistati sadrzaj direktorija?) total 32 drwxr-xr-x 2 user? users 4096 Nov § 10:54 drwxr-xr-x 11 root root 4096 Nov 5 08:20 . 1 user2 users 220 Apr 9 2014 .bash-logout 1 user2 users 3637 Apr 9 2014 .bashre 1 user2 users 0 Nov § 10:54 Datoteka 1 1 se na korisnika user]. orw-r- user? users 8980 Okt 4 2013 examples. desktop user? users 675 Apr 9 2014 .profile Sa ovim, uobiéajenim, pravima moguce je izlistati sadrZaj direktorija, cd /home/user2 (Mote li se prebaciti u direktoriji?) user1@Ubuntu-1404-VB: /home/user2$ Sa ovim, uobiéajenim, pravima moguce je prebaciti se u direktoriji,4.2 Linux OS 101 exit Promijeniti prava pristupa direktoriju us chmod 740 /home/user2 Prva cifta 7 predstavija prava za vlasnika dircktorija. Za svako pravo pos- tavlja se binarno 1, pa je skup prava zapisan binarmo 111, sedam decimalno. Prvo pravo je ditanje, drugo pisanje, a treée izvrSavanyje. Pravo Gitanja za grupu se zapisuje sa 100 binamno sto je éetiri decimalno, To je druga cifra u parametru komande chmod i odnosi se na prava grupe. ‘Treéa cifra odnosi se na prava ostalih. Ovdje ostali nemaju nikakva prava Sto se binaro zapisuje sa 000 sto je decimalno 0. i pokuSati ponovo kao userl As -1 /hone total 26 d@rwxr-xr-x 2 dugacki dugacki 4096 Aug 18 13:56 dugacki drwxr-xr-x 2 laki laki 4096 Aug 19 09:38 laki drwxx-xr-x 2 naivni naivai 4096 Aug 18 13:58 naivni d@rwxr-xr-x 2 razumni razunni 4096 Aug 18 13:6 razumni druxr-xr-x 30 sasa sasa 4096 Nov 5 08:14 sasa druxr-xr-x 16 student student 4096 Nov 12 2014 student drwxr-xr-x 16 studentad studentad 4096 Nov 5 08:20 studentad drwxr-xr-x 2 userl users 4096 Nov 5 08:53 user! drwxr: 2 user? users 4096 Nov § 10:54 user? Sada su ostali izgubili sva prava na direktoriji user2, a grupa, odnosno élanovi ove grupe tt koje spada i userl, je izgubila pravo izviSavanja. su usert 1s al /home/user2 (Moze li se ialistati sadrzaj direktorija?) 1s: cannot access /home/user2/.bashre: Permission denied As: camnot access /home/user2/..: Permission denied As: camnot access /home/user2/.: Permission denied 1s: cannot access /home/user2/examples.desktop: Permission denied 1s: cannot access /home/user2/Datoteka: Permission denied As: camnot access /home/user2/.profile: Permission denied 1s: cannot access /nome/user2/.bashlogout: Permission denied total 0 6777777797 9.7.22: 4772777777 2.7:2:.72°7 =777777777 7.7:-7°-7°7 -bash_logout102 4 VJEZBA: Kontrola pristupa na operativnim sistemima -7777979777:2:2:7:7°7-sbashre -777777777:7.:7:7:7- 7 ~Datoteka 277777777: 7:7:7:7:7 ‘examples.desktop -777777777: 7:7:7:7°7:«.profile Bez prava izvrSavanja na direktoriju moguée je vidjeti koje datoteke postoje u njemu, ali nije moguée vidjeti nikakve detalje o njima (veliéinu, vlasnika, prava, datum i vrijeme izmjene) cd /home/user2 (Moze li se prebaciti u direktoriji?) bash: cd: /home/user2: Permission denied Bes prava izvrSavanja na direktoriju nije se moguée prebaciti u njega exit chnod 750 /hone/user2 Sada je grupa (users), odnosno élanovi ove grupe u koje spada i user, dobila pravo izvrSavanja na direktoriju user? 1s -1 /nome total 36 drwxr-xr-x 2 dugacki dugacki 4096 Aug 18 13:86 dugacki drwxr-xr-x 2 laki laki 4096 Aug 19 09:38 laki drwxr-xr-x 2 naivni naivni 4096 Aug 18 13:55 naivni drwxr-xr-x 2 razunni razumni 4096 Aug 18 13:56 razumni drwxr-xr-x 30 sasa sasa 4096 Nov 5 08:14 sasa drwxr-xr-x 15 student student 4096 Nov 12 2014 student drwxr-xr-x 15 studentad studentad 4096 Nov § 08:20 studentad drwxr-xr-x 2 user1 users 4096 Nov § 08:53 usert drwxr-x--- 2 user? users 4096 Nov § 10:54 user2 su usert 1s -al /home/user2 (Moze li se izlistati sadrZaj direktorija?) total 32 drwxr-xr-x 2 user? users 4096 Nov § 10:54 drwxr-xr-x 11 root root 4096 Nov 5 08:20 .. vrw-r--r-- 1 user2 users 220 Apr 9 2014 .bash-logout -ru-r--r-- 1 user? users 3637 Apr 9 2014 .bashre cru-r--r-- 1 user2 users 0 Nov § 10:54 Datoteka cru-r--r-- 1 user2 users 8980 Okt 4 2013 examples desktop vru-r--r-- 1 user? users 675 Apr 9 2014 .profile4.2 Linux OS 103 Sa pravom Citanja i izvrSavanja moguée je izlistati sadrzaj direktorija. Ovd; je userl Glan grupe users koja ima oba ova prava na direktoriju user2. cd /home/user? (Mote li se prebaciti u direktoriji?) user1@Ubuntu-1404-VB: /home/user2$ Sa pravom ditanja i izvréavanja moguée je prebaciti se u direktoriji touch /hone/user2/Datoteka2. txt (Moze li se napraviti nova datoteka?) touch: cannot touch ‘/home/user2/Datoteka2.txt’: Permission denied Bez prava pisanja na dircktoriju u njemu nije moguée praviti nove datotcke. Ovdje je user] élan grupe users koja nema pravo pisanja na direktoriju user2 exit chnod 770 /hone/user2 Sada je grupa (users), odnono élanovi ove grupe u koje spada i userl, dobila i pravo pisanja u direktoriju user? 1s -1 /nome total 36 drwxr-xr-x 2 dugacki dugacki 4096 Aug 18 13:56 dugacki drwxr-xr-x 2 laki laki 4096 Aug 19 09:38 laki @rwxr-xr-x 2 naivni naivni 4096 Aug 18 13:55 naivni drwxr-xr-x 2 razumni razumni 4096 Aug 18 13:56 razumni drwxr-xr-x 30 sasa sasa 4096 Nov 5 08:14 sasa drwxr-xr-x 15 student student 4096 Nov 12 2014 student drwxr-xr-x 18 studentad studentad 4096 Nov 5 08:20 studentad drwxr-xr-x 2 user1 users 4096 Nov § 08:53 usert drwxrvx--- 2 user2 users 4096 Nov 5 10:54 user2 su usert touch /home/user2/Datoteka2. txt (Moze li se napraviti nova datoteka?) 1s -1 /hone/user2 total 12 wrw-r--r-- 1 user2 users 0 Nov § 10:54 Datoteka users 0 Nov 10 08:21 Datoteka2. txt crurr--r-- 1 user? users 8980 Okt 4 2013 examples.desktop pravom pisanja na direktoriju u njemu je moguée praviti nove datoteke.104 4 VJEZBA: Kontrola pristupa na operativnim sistemima Ovaje je user dan grupe users koja ima pravo pisanja na direktoriju user? Viasnik datoteke je onaj korisnik koji je napravio, odnosno user 4, Alternativna sintaksa za chmod komandu Potrebno je promijeniti prava pristupa datoteci Datoteka2.txt tako da vlasnik ima sva prava, grupa pravo ditanja i izvrSavanja, a ostali samo pravo éitanja: cd /home/user2 chmod 754 Datoteka2. txt Prva cifra 7 predstavlja prava za viasnika datoteke. Za svako pravo postavija se binarno 1, pa je skup prava zapisan binarno 111, sedam decimalno. Prvo pravo je Zitanje, drugo pisanje, a treée izvrsavanje, Pravo titanja i izvrsavanja za grupu se zapisuje sa 101 binarno ato je pet de- cimalno. To je druga cifra u parametra komande chmod i odnosi se na prava grupe Trea cifta odnosi se na prava ostalih, Posto ostali imaju samo pravo éitanja to se binarno zapisuje sa 100 sto je decimalno 4. Ls “1 Datotexa2.txt wrwxr-xr-- 1 userl users 0 Nov 10 08:21 Datoteka2.txt Alternativna sintaksa je da se u parametrima komande chmod navede kome (u, g iio) se daju (+) ili oduzimaju (-) koja prava (r, w ili x) chmod u-rwx Datoteka2. txt chnod g-rx Datoteka2. txt chmod o-r Datoteka2.txt 1s -1 Datoteka2.txt = 1 userl users 0 Nov 10 08:21 Datoteka2. txt Postu su svakoj od grupa oduzeta prava koja su imala, sad nad datotekom niko nema nikakva prava. Viasnik datoteke user! (kao i root) korisnik i dalje ima pravo promjene prava. chmod utrux Datoteka2. txt vrwx------ 1 user1 users 0 Nov 10 08:21 Datoteka2.txt Korisnik je dobio sva tri prava. chnod g+rx Datoteka2.txt cruxr-x--- 1 user users 0 Nov 10 08:21 Datoteka2. txt irupa je dobila prava Gitanja i izvrSavanja. chnod ot Datoteka2.txt cruyr-xr-- 1 usert users 0 Nov 10 08:21 Datoteka2. txt4.2 Linux OS 105 Ostali su dobili pravo ditanja. exit .2.3 Nove tekstualne datoteke i povezivanje Unix podrzava dvije vrste linkova - hard link i symbolic link 1, Koristeéi Zeljeni program za uredivanje teksta u direktoriju_/test/tmp po- trebno je napraviti tekstualni dokument Tekst sa nckim sadrzajem. Upotrebom gedit programa napravijena je datoteka sa nazivom Tekst u koju je upisan slijededi tekst ”Neki sadrZaj.”. Ta datoteka sacuvana je na navede- no} lokacij. cat /test/tmp/Tekst Neki sadrzaj 2, Napraviti link link Tekst u direktoriju test koji pokazuje na Tekst u tmp di- rektoriju ca / An -s /test/tmp/Tekst /test/Link-Tekst Kakva je razlika u pravima pristupa izmedu link.Tekst i ‘Tekst? As -1 /test/tmp/Tekst -rw-r--r-- 1 root root 15 Nov 10 08:26 /test/tmp/Tekst Prava pristup datot: Ge uskoro biti rijeti) ostale. 4 su onakva su postavljena kao zadana (umask o kom Gitanje i pisanje za vlasnika, a samo Gitanje za grupu i As -1 /test/link Tekst Arwxrwxrwx 1 root root 15 Nov 10 08:27 /test/Link.Tekst -> /test/tmp/Tekst Prava pristup simbolickom linku su potpuna. Svako ima sva prava. ‘Ta prava se odnose samo na preusmjeravanje na stvarm datoteku. Nakon toga se pri mjenjuju prava pristupa datoteci na koju vodi preusmjeravanje (datoteka ‘Tokst)106 4 VJEZBA: Kontrola pristupa na operativnim sistemima 4, Sta se dobije kao izlaz komande? cat /test/link.Tekst Neki sadr2aj Rezultat je isti kao da je komanda izvrsena na d sadrZaj datoteke na koju link pokazuje. toteci Tekst, ispisuje se 4.2.4 Podrazumjevana (default) prava pristupa datotekama Unix ima komandu wmask koja sluéi za podeSavanjem podrazumijevanih prava pristupa, Neke standardne vrijednosti za umask su recimo 077 (samo vlasnik ima prava), 02 (samo vlasnik moze pisati), 002 (samo viasnik i Glanovi grupe mogu pisati), itd. 1. Kao root korisnik potrebno je komandom umask provjeriti tekuée podesenje i dodijeliti nov masku umask Koja je ternutno umask? 0022 cd /te touch testmaskt 1s -1 testmaskt Kakva su prava pristupa za testmask1? crw-r--r-- 1 root root 0 Nov 10 08:29 testmaski Kako je definisano sa umask (taénije njenom inverzijom), korisnik dobiva pravo éitanja i pisanja, a grupa i ostali pravo éitanja i pisanja. Promijeniti umask: umask 0077 Napraviti novu datoteku: touch testmask2 Kakva su prava pristupa za testmask2? 1s -1 testmask2 orw- - 1 root root 0 Nov 10 08:29 testmask2 Kako je definisano sa novom umask, korisnik dobiva sva tri prava, a grupa i ostali nikakva prava,42 Linux OS 107 2, Kakay je efekat postavijanja maske na 0000? umask 0000 Is -1 testmask3 -rw-rw-ru- 1 root root 0 Nov 10 08:30 testmask3 Sada i vlasnik i grupa i ostali dobijaju ista prava, ali samo ditanja i pis nja. 4.2.5 setuid bit, setgid bit and sticky bit ‘hi prva bita koji odreduju prva pristupa su setuid bit, setgid bit i sticky bit Ako je setuid bit jedan, onda ée uid prilikom izvréavanja uvijek biti postavljen na uid viasnika datoteke, Ako setuid bit nije jedan (uobicajeno podesenje), onda Ge wid prilikom izvrSavanja uvijek biti postavijen na uid Korisnika koji izvréava Sliéno, ako je setgid bit jedan, onda ée gid prilikom izvrSavanja uvijele biti postavijen na gid grupe koja je vlasnika datoteke, Ako seguid bit nije jedan, onda ée gid prilikom izvrSavanja uvijek biti postavljen na uid grupe koja izvrsava proces. Sticky bit se koristi da zadrdi proces u memoriji. proc Ovdje ée biti pokazano podesavanje i efekat podesavanja seluid bita, Razumi- Jevanje ovog je bitno za narednu vjeZbu, a i koristi se na Unix-oidnim sistemima, Primjer je program passwd koji sluzi za promjenu lozinke. Ovaj program moze pokrenuti svaki korisnik da bi promijenio svoju lozinku. Sa druge strane, lozinke sti upisane u datoteku shadow kojoj pravo pristupa ima samo root. Kad bi pro- gram passud dobio prava obitnih korisnika koji su ga pokrenuli ne bi mogao provjeriti lozinku i upisati novu u shadow datoteku. Iz tog razloga ovaj program, datoteka passwd, ima postavljen setuid na jedan. Njen vlasnik je root. Na taj natin kada je pokrene bilo koji korisnik mogué je pristup shadow datoteci radi promjene lozinke. Odigledno je da ovo predstavlja potencijalmu opasnost, pa izvrine datoteke kojima je vlasnik root, a imaju postavijen setuid bit moraju biti napravijene da imaju jednostavnu i lako provjerljivu funkcionalnost, te moraju biti bez. greSaka. Greske u programima dovode do sigumosnih propusta koji u ovim sluéajevima mogu biti katastrofalni, To ée biti tema slijedecih vjezbi, 1. Kao root korisnik: umask 0022 - vratiti umask na inieijalnu vrijednost (nije neophodno, ali da ne zbunjuje) which touch - provjera sa koje lokacije se poziva komanda /usr/bin/touch As -1 /usr/bin/touch Irwxrwxrwx 1 root root 10 Jan 14 2018 /usr/bin/touch —>108 4 VJEZBA: Kontrola pristupa na operativnim sistemima /bin/touch Ovo je simboliéki link, pa treba pogledati prava za datoteku na koju pokaz: 1s -1 /bin/touch crwsr-xr-x 1 root root 60224 Jan 14 2015 /bin/touch Sada treba postaviti seduid na 1 chmod 4755 /bin/touch Ovdije je dodana jos jedna cifra na parametar komande chmod, Cifra je deci- malno 4, odnosno binarno 100. Prema tome je setuid=1, setgid=0 i sticky: 1s -1 /bin/touch -rusr-xr-x 1 root root 60224 Jan 14 2018 /bin/touch Na mjestu definicije prava izvriavanja za viasnika pojavilo se slovo "s” koje ukazuje da je postavljen steuid bit chmod 700 /home/user2//Datoteka 1s -1 /nome/user2 total -rux------ 1 user? users 0 Nov § 10:54 Datoteka cruxr-xr-- 1 user! users 0 Nov 10 08:21 Datoteka2.txt cru-r--r-- 1 user? users 8980 Okt 4 2013 examples desktop Datoteku Datoteka moze mijenjati samo viasnik. Datum njene posljednje izmjene je 5. novembar. su userl More li korisnik user] mijenjati datoteku Datoteka na lokaciji /home/user2? touch /nome/user2/Datoteka Operativni sistem se nije Zalio, 1s -1 /none/user2/Datoteka crwx------ 1 user? users 0 Nov 10 08:33 Datoteka Datoteka je promijenila datum posljednje izmjene na trenutak pokretanja komande touch (to je inace njena namjena za postojeée datoteke). Tako je komandu pokrenuo korisnik user], koji nema nikakva prava na toj datoteci mogao je promijeniti ovaj atribut. Razlog za to je sada postavljeni setuid bit na datoteci touch diji je vlasnik root, Iako ju je pokrenuo korisnik user] pro- ces se izvrSavao sa pravim njenog viasnika root i bilo je moguée da promjeni atribute datoteke za koju onaj koji je pokrento komandu (userl) nema ni- kakva prava. exit4.2 Linux OS 109 Sada je ukinut setuid bit (postavljen na nula) za datoteku touch, chmod 0785 /bin/touch su usert touch /home/user2/Datoteka touch: cannot touch ‘/home/user2/Datoteka’: Permission denied Sada kotisnik user opet ne moZe mijenjati nista na datoteci komandom to- uch jer se sad ona izvréava sa njegovim pravima (ne vie kao root) 4.2.6 Uklanjanje napravijenih izmjena Na kraju vjezbe neophodno je datoteéni sistem vratiti u zateteno stanje radi na- redne grape, Koraci da se ovo ostvari su (kao root): umask 0022 chmod 0785 /bin/touch userdel user1 userdel user2 xm -rf /home/usert xm -rf /home/user2 rm -rf /test