[[oktatas:operációs_rendszerek|< Operációs rendszerek]]

====== Operációs rendszerek hozzáférés vezérlés ======
  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2016
  * Licenc: GNU Free Documentation License 1.3
  * Web: http://szit.hu
===== Fogalmak =====


==== ACL ====

  * Access Control List
  * [ˈækses kənˈtrəʊl list]
  * Hozzáférés vezérlés
==== Fájl ====

  * Unix rendszerben minden fájlra van leképezve, vagyis minden fájl

Például:

/dev/hda – IDE merevlemez
  * /dev/sda – SATA merevlemez
  * /dev/ttyS1 - sorosport 1 - COM 1
  * /dev/ttyS1 - sorosport 2 – COM 2
  * /dev/src0 - CD/DVD 1
  * /dev/cpu
  * /dev/mem
  * /dev/usb/lp0 – nyomtató
  * /dev/dsp – hang

Az eszközök fájlokra való leképezésének jó példája:

<code bash>
# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda
8:0 0 465,8G 0 disk
├─sda1 8:1 0 146,5G 0 part
├─sda2 8:2 0 74,5G 0 part /
├─sda3 8:3 0 1K 0 part
├─sda5 8:5 0 10,1G 0 part [SWAP]
└─sda6 8:6 0 186,3G 0 part /home
sdb
8:16 1 14,7G 0 disk
└─sdb1 8:17 1 14,7G 0 part /media/jani/PEN
sr0 11:0 1 1024M 0 rom
</code>

===== Jogrendszerek =====

  * DAC
  * MAC
  * RBAC

==== DAC ====

  * Discretionary Access Control 
  * [dɪˈskreʃnəri]
  * Diszkrecionális, tetszés szerinti
  * Kizárólagos hozzáférés-vezérlés
  * Hozzáférés az objektum tulajdonságai alapján (tulajdonos, csoprt)

==== MAC ====

  * Mandatory Access Control
  * [ˈmændətrri]
  * elrendelő, feltétlenül szükséges, kötelező, mandátumi megbízás, mandátumi meghatalmazás,  megbízott, meghagyó, meghatalmazott, rendelkező, végzést kibocsátó 
  * objektumok számára hozzáférési szabályokat hozunk létre

==== RBAC ====

  * Role-based Accesss Control
  * [rəʊl-beɪst ˈækses kənˈtrəʊl]
  * Szerep alapú hozzáférés-vezérlés
  * A rendszergazda különböző szerepeket hoz létre.
  * Az egyes objektumokhoz az adott szerepben lehet hozzáférni, az adott jogokkal.

===== Windows jellemzők =====
==== Windowson alapvető csoportok ====
  * SYSTEM
  * Rendszergazdák
  * felhasználók 


==== Windowson adható jogok ====

^  Engedélyek  ^
|  teljes hozzáférés  |
|  módosítás  |
|  olvasás és végrehajtás  |
|  írás  |
|  speciális engedélyek  |


^  Speciális engedélyek  ^
|  Mappa bejárása, fájl végrehajtása  |
|  Mappa listázása, adatok olvasása  |
|  Attribútumok kiolvasása  |
|  Kiterjesztett attribútumok olvasása  |
|  Fájlok létrehozása, adatok írása  |
|  Mappák létrehozása, adathozzáfűzés  |
|  Attribútumok írása  |
|  Kiterjesztett attribútumok írása  |
|  Törlés  |
|  Engedélyek olvasása  |
|  Engedélyek módosítása  |
|  Saját tulajdonbavétel  |

==== FAT és NTFS ====


FAT és NTFS fájlrendszer mi tárol?

^  Tárolandó  ^  FAT  ^  NTFS  ^
|  írásvédett  |  x  |  x  |
|  rejtett  |  x  |  x  |
|  archiválandó  |  x  |  x  |
|  rendszer  |  x  |  x  |
|  tömörített  |    |  x  |
|  titkosított  |    |  x  |
|  indexelt  |    |  x  |

===== Unix rendszerek jellemzői =====

Unix rendszerekben minden fájl rendelkezik a következő két tulajdonsággal:
  * tulajdonos
  * csoport

Ezek alapján a jogok három entitásnak adhatók:
  * tulajdonos
  * csoport
  * mindenki más (nem tulajdonos és nem csoport tag)

Unix rendszerbe belépve egy felhasználóként vagyok jelen a rendszerbe. 
Vannak állományaim, könyvtáraim, amelyeknek én vagyok a tulajdonosa. 
Van egy elsődleges csoportom, de tartozhatok más csoportokba is.

Egy rendszerben ha létrehozunk egy fájlt, akkor az valamelyik felhasználó
nevében tesszük. Ő lesz a fájl tulajdonosa. A felhasználó elsődleges
csoportja lesz a fájl csoportja. Ezeket később megváltoztathatjuk. 

==== Adható jogok ====


  * olvasás
  * írás
  * végrehajtás

^  Adható jogok jelzése  ^
|  olvasás  |  Read  |  r  |
|  írás  |  Write  |  w  |
|  végrehajtás  |  eXecute  |  x  |

Fentebb már említettük, hogy három entitás számára adhatjuk meg ezeket a jogokat.
Táblázatba formázva így írhatjuk le:

^  Tulajdonos  ^  Csoport  ^  Mindenki más  ^
|  r w x  |  r w x  |  r  w  x  |

A jogokat néha számokkal reprezentáljuk a következők szerint: 

^  Szám  ^  Olvasás  ^  Írás  ^  Végrehajtás  ^  Leírás  ^
|  0  |  -  |  -  |  -  |  nincs  |
|  1  |  -  |  -  |  x  |  végrehajtási  |
|  2  |  -  |  w  |  -  |  írási  |
|  3  |  -  |  w  |  x  |  írás és végrehajtás  |
|  4  |  r  |  -  |  -  |  olvasás  |
|  5  |  r  |  -  |  x  |  olvasás, végrehajtás  |
|  6  |  r  |  -  |  x  |  olvasás, írás  |
|  7  |  r  |  w  |  x  |  minden jog  |


A táblázat alapján a három entitás számára három számmal meghatározható minden jog.

Például: 760

  * az első szám, a tulajdonos jogai
  * a második szám, a csoport jogai
  * a harmadik szám, mindenki más jogai


További példák:
  * 666 ← mindenkinek olvasási és írás jog
  * 640 ← tulajdonos írhatja, olvashatja, csoport olvashatja
==== Könyvtárak jogai ====

|  olvasás  |  Read  | fájlok listázása  |
|  írás  |  Write  |  hozzáadás, átnevezés, mozgatás  |
|  végrehajtás  |  eXecute  | könyvtár, fájl létrehozása \\ fájl megnyitás  \\  alkönyvtár megnyitás |


===== MAC OS X =====

Grafikus felületen a következő jogokat definiálja:


^  Beállítás  ^  Leírás  ^
|  olvasható, írható  |  megnyitás, módosítás  |
|  csak olvasható  |  megnyitás, nem módosítható |
|  csak írható  |  egy ilyen mappába másolható fájl, de nem nyitható meg (bedobós)  |
|  nincs hozzáférés  |  semmi  |

===== Linux jellemzők =====

Linux alatt, a fent leírt Unix jogok egy az egyben léteznek - DAC.

Ugyanakkor a következő lehetőségeink vannak:
  * ACL – alapértelmezetten van - DAC
  * Kiterjesztett POSIX ACL
  * SELinux - MAC
  * Capability – folyamat milyen objektumhoz férhet hozzá – MAC
===== Linkek =====

  * https://support.apple.com/kb/PH13799?locale=hu_HU