ИСПОЛЬЗОВАНИЕ ФАЙЛОВЫХ СИСТЕМ WINDOWS И LINUX
Подробное описание со скриншотами приведено, например, в официальных руководствах по Windows [4 – 7] и Linux [1, 2, 3]. Ниже указаны «опорные» моменты.
Базовой файловой системой серверов Windows является NTFS (NT File System).
NTFS поддерживает объектную модель безопасности. Все разделы (тома), каталоги (папки) и файлы, а также пользователи и группы пользователей рассматриваются как самостоятельные объекты. Каждое обращение к файловой системе сопровождается проверкой прав доступа. Дочерние объекты (например, папка в отношении с каталогом) по умолчанию наследуют права доступа, но для каждого файла, папки, тома всегда существует возможность задать особые права доступа.
Для того, чтобы в полной мере управлять возможностями NTFS необходимо обращать внимание на некоторые системные настройки.
Возможности NTFS заключаются в соответствующих свойствах.
С помощью закладки Security задаются собственно права доступа к тому, папке, файлу.
Соответствующее право можно разрешить (allow) либо запретить (deny) либо не определять. Кроме возможного задействования пользователей и групп, обязательно должны быть определены права доступа для системы (SYSTEM). Нужно помнить и об анонимном пользователе (Guest). В случае «перекрытия» прав доступа (например, заданы разные права для пользователя и группы, к которой он относится) они «сужаются» в сторону ограничения.
Кнопка Advanced позволяет управлять специальными правами доступа (special permissions) в полном объеме.
Механизм аудита (auditing) позволяет протоколировать обращения пользователей или групп к файлам или папкам определенного тома. Требуется предварительная настройка на системном уровне и указание правил (auditing entries). Могут отслеживаться как успешные (success), так и неудачные (failure) попытки. События заносятся в системный журнал, который может быть просмотрен с помощью Event Viwer.
Механизм владения (ownership) предоставляет возможность задавать особые права доступа для владельцев файлов. По умолчанию владельцем файла считается его создатель.
Начиная с Windows Server 2003 и Windows XP, механизм действительных прав доступа (effective permissions) позволяет интегрально просмотреть имеющиеся у данного пользователя либо группы права доступа применительно к данному тому, папке либо файлу.
Механизм квотирования (quoting) позволяет задавать максимальный объем дискового пространства для пользователей и групп.
Механизм разделения (sharing) предоставляет возможность совместного сетевого доступа к томам и каталогам. В дополнение к зарезервированному имени, заканчивающемуся на $, с помощью кнопки New Share можно определить нужное количество вариантов разделения, с указанием опций (права доступа, максимальное число пользователей, правила кэширования и др.) Также действует правило сужения, то есть права доступа при разделении работают поверх системных прав доступа. При этом, политика безопасности Windows по умолчанию не допускает использование пустых (blank) паролей. Для изменения поведения системы нужно обнулить значение ключа реестра HKEY_LOKAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\limitblankpassworduse.
NTFS, позволяющая частично решить проблему сбоев в файловой системе, относится к журналируемым (journal) файловым системам. Для минимизации проблем, связанных с обеспечением надежности, журналируемая файловая система дополнительно сохраняет список действий, которые она собирается осуществить с файлом, перед его фактической модификацией. Сохранение происходит в специально отведенной для этого области файловой системы – журнале. Надежность увеличивается за счет того, что зная последовательность действий, их можно выполнить в благоприятное время. Все выполняемые над файловой системой действия считаются транзакциями (transactions), то есть неделимыми (действия не считаются завершенными, до их реального завершения).
В NTFS реализован оригинальный журнал – журнал изменений номеров последовательных обновлений – USN (Update Sequence Number). Журнал создается для каждого тома. Новые записи добавляются в конец журнала. Для работы с журналом используется консольная команда fsutil с аргументом usn.
Для любого тома NTFS, с целью экономии дискового пространства, существует возможность включить прозрачное архивирование.
Еще одной существенной возможностью является DFS (Distributed File System), позволяющая монтировать несколько разделяемых папок в одну.
Новой возможностью Windows 7, позволяющей защищать содержимое тома от несанкционированного доступа является BitLocker.
В настоящее время базовой файловой системой Linux является ext3 (extended file system v3) – расширение ext2. Соответственно ext4 является расширением ext3.
Права доступа Linux соответствуют классическим правам доступа Unix.
Рисунок -- Права доступа Linux
Применительно к ядрам Linux до 2.6.x, для обеспечения аудита необходима установка стороннего ПО – LAuS (Linux Auditing Subsystem). В ядрах 2.6.x поддержка аудита уже интегрирована.
Протоколирование событий осуществляется демоном auditd. При запуске демон считывает правила аудита из своего конфигурационного файла /etc/audit.rules.
Рисунок -- Пример правила аудита из файла /etc/audit.rules
Для работы с подсистемой аудита предусмотрен ряд команд: auditctl (контроль), ausearch (поиск описания некоторого события в отчетах), aureport (формирование суммарного отчета) и др.
Для изменения владельца файла применяется команда chown.
Для обеспечения квотирования в Linux были разработаны две версии соответствующей подсистемы. В ядра 2.4.x и 2.6.x интегрирована вторая версия. Первая версия была ранее интегрирована в ядра 2.2.x.
Для включения квотирования необходимо выполнить следующие действия:
1. Внести соответствующие дополнения в файл /etc/fstab, в котором хранится список монтируемых при загрузке файловых систем:
Рисунок -- Пример строк из файла /etc/fstab
2. Создать на соответствующих разделах и наполнить файлы aquota.user и aquota.group (применительно к первой версии назывались quota.user и quota.group):
Рисунок -- Пример определения квот для пользователя user1
3. Перемонтировать файловые системы и выполнить команду quotaon.
Для манипулирования с квотами могут использоваться команды quotactl (контроль), quotacheck (обновить файлы aquota.user и aquota.group), quotaoff (выключить) и др.
Механизм разделения файловых ресурсов в Linux реализуется посредством NFS (будет рассмотрено позже при изучении сетей Linux).
Файловые системы ext3 и ext4 поддерживают три режима журналирования:
1. journal – выполняется запись в журнал всех изменений в файлах и файловой системе (наиболее медленный режим, но наиболее надежный). [понимать]
2. ordered (по умолчанию) – в журнал записываются только изменения в файловой системе, а сами данные файла записываются на носитель только после записи изменений в файловой системе.
3. writeback – в журнал записываются только изменения в файловой системе, плюс обычный способ записи данных файла (наиболее быстрый, но наименее надежный режим).
Кроме ext3 и ext4, в Linux часто используются еще три журналируемые файловые системы:
1. ReiserFS – разработка Namesys.
2. JFS – портированная разработка IBM.
3. XFS – портированная разработка Silicon Graphics.
По сути дела, все варианты – это патчи, либо включенные в ядро, либо накладываемые на него.
В Linux имеется несколько вариантов организации печати: BSD, PDQ, CUPS, PPR, LPRng. Системы печати сильно связаны с программным комплексом Tex. Классической является использующая клиент-серверную модель система печати BSD.
Для системы печати BSD необходимы:
1. lpd – демон печати, который должен быть запущен на сервере.
2. lpr – пользовательская клиентская команда печати, взаимодействующая с lpd и формирующая для него задания.
Кроме того, можно пользоваться командами: lpq (вывод на экран списка заданий), lprm (удаление задания из очереди печати), lpc (контроль) и др.
Стандартным конфигурационным файлом lpd является /etc/printcap.
Рисунок -- Пример описания принтера в конфигурационном файле /etc/printcap
Если требуется печатать на принтере, подключенном к Linux-серверу из Windows-клиента, то на стороне клиента необходимо создать дополнительный локальный LPR-порт с указанием имен сервера и принтера.
Совокупность ПО, призванного обеспечить резервное хранение информации, известно под общей аббревиатурой B&R (Backup and Restore).
Как в Windows так и в Linux заложены различные стандартные средства B&R, но часто применяется и соответствующее стороннее ПО: Paragon Drive Backup, Norton Ghost, NTI Backup NOW!, Acronis True Image, Genie Backup Manager Pro, Tolis BRU и др.
Возможности, на которые следует обращать внимание при выборе ПО B&R:
1. Восстановление не только каталогов или разделов, а также таблиц разделов и загрузочных секторов.
2. Наличие режима работы в качестве сервиса ОС.
3. Режимы сохранения: полные бэкапы (backups), инкрементные бэкапы и др.)
4. Спектр поддерживаемых резервных накопителей.
5. Аварийная загрузка и автоматически восстанавливающиеся архивы.
6. Сжатие, защита паролем, верификация.
7. Работа по расписанию.
8. Восстановление пользовательских настроек.
9. Поддерживаемые ОС.