Введение

ВАЖНО!

В этой статье описывается способ расширения зоны действия беспроводной сети на основе оборудования Asus класса дом/малый офис. Например, Asus WL-320gE и Asus WL-520gU. Статья написана по мотивам настройки конкретной сети в квартире в условиях плохого приема. Т.е. все нижеизложенное работает, причем стабильно.

Часто в небольшом, но и не в маленьком помещении (офис, квартира с множеством бетонных стен, двухэтажные помещения) сигнал от одного маршрутизатора недостаточно силен, чтобы уверенно покрыть все пространство. В таких случаях становиться необходимым настроить усилитель (он же репитер, повторитель) WiFi сигнала.

Одним из вариантов решения проблемы может быть установка отдельных маршрутизаторов в соседних помещениях, с разными сетями. В этом случае разрозненные участки сети смогут выходить в интернет на хорошей скорости, но при этом не смогут взаимодействовать друг с другом. Для домашней WiFi сети вариант приемлемый, но не для офиса.

Итак, нам нужно, чтобы на всем пространстве офиса была стабильная сеть WiFi. Для этого нам нужно иметь два устройства – маршрутизатор WiFi и точку доступа WiFi с функцией повторителя (repeater).

Справка (Википедия): Wireless Distribution System (WDS) — технология, позволяющая расширить зону покрытия беспроводной сети путем объединения нескольких WiFi точек доступа в единую сеть без необходимости наличия проводного соединения между ними (что является обязательным при традиционной схеме построения сети). Отличительной чертой технологии по сравнению с другими решениями является сохранение MAC адресов клиентов сети.

Оборудование

Отмечу, что реализация функции WDS у разных производителей может отличаться, поэтому лучше всего использовать в качестве опорных пунктов распределенной беспроводной сети устройства одного производителя.

Для примера возьмем широко распространенные маршрутизатор Asus WL-520gU и точку доступа Asus WL-320gE.

	Точка доступа Asus WL-320gE работает в режимах точки доступа, беспроводного клиента, беспроводного моста, ретранслятора и беспроводного маршрутизатора. Нас будет интересовать возможность использовать точку доступа как ретранслятор. Страница описания на сайте Asus: http://ru.asus.com/Product.aspx?P_ID=VmvALkGKZLlRjzeR
	Маршрутизатор Asus WL-520gU поддерживает WDS. Эта информация доступна на сайте ru.asus.com. Страница описания на сайте Asus:http://ru.asus.com/product.aspx?P_ID=cOWUB0XOSysr4sBM

Настройка маршрутизатора Asus Wl-520gU

Маршрутизатор Asus WL-520gU в нашем примере будет подключен к проводному провайдеру интернет и будет являться шлюзом для всех остальных компьютеров в сети.

Настройка маршрутизатора осуществляется через веб-интерфейс и не представляет никакой сложности.

Адрес маршрутизатора Asus WL-520gU в локальной сети пусть будет 192.168.1.1. Также он будет являться сервером DHCP в локальной сети (хотя в сети могут быть и другие DHCP-серверы). Нас это не должно сильно волновать. Главное – чтобы маршрутизатор и точка доступа не были бы серверами DHCP одновременно.

Настройку соединения с провайдером я опущу, т.к. у всех это будет по-разному.

Приведу настройки WiFi-сети и опций для возможности использования WDS.

• Меню Wireless -> Interface:
  
  SSID: yourNetworkName
  Channel: 10
  Wireless Mode: Auto, установлена галочка 54g Protection
  Auth. mode: WPA-Personal
  WPA-Encryption: TKIP
  Network Key Rotation Interval: 0
• Меню Wireless -> Bridge:
  
  AP Mode: Hybrid
  Channel: 10
  Connect to APs in Remote Bridge List: Yes (у меня при этом сам список Remote Bridge List не содержал ни одного mac-адреса)
• Меню Wireless -> Advanced:
  
  Enable AfterBurner: Disabled
  Hide SSID: No (думаю, можно поиграться и сделать Yes, но реально на безопасность сети скрытие SSID не повлияет - лучше пароль придумайте похитрее.)
• Меню System Setup -> Operation Mode:
  
  Выбрать режим Home Gateway

Настройка точки доступа Asus Wl-320gE как повторителя

Точка доступа в нашей сети будет иметь адрес 192.168.1.2. Как уже было сказано выше, DHCP-сервер на этой точке доступа должен быть выключен.

• Меню IP Config -> LAN:
  
  IP: 192.168.1.2
  Mask: 255.255.255.0
  Gateway: 192.168.1.1
• Меню Wireless -> Interface:
  
  SSID: yourNetworkName
  Wireless Mode: Auto (галочка на 54g Protection почему-то не установлена)
  Auth. mode: WPA-PSK/WPA2-PSK
  WPA/WPA2-Encryption: TKIP
  …
  Network Key Rotation Interval: 0
• Меню Wireless -> Advanced:
  
  Hide SSID: No
  Set AP Isolated: No
  …
  Mode: URE
  Настройки URE:
  SSID: yourNetworkName
  Auth. mode: WPA/WPA2-PSK
  WPA/WPA2-Encryption: TKIP
  Network Key Rotation Interval: 0

Нюансы

Открытый SSID

Думаю, что многие обратят внимание на то, что в приведенных настройках SSID сети не скрыт. Это можно считать недостатком. Но этому есть объяснение. Сеть настраивалась у заказчика, который не ставит максимальную безопасность во главе угла, но вот простоту добавления новых устройств требовал. С этим могут столкнуться многие. Если вы не админ конкретной сети, то по десять раз объяснять, как добавить КПК или новый ноутбук к сети надоест очень быстро. По этой причине я не могу сказать, насколько удобна в работе распределенная сеть со скрытым SSID.

WPA vs. WPA2

В идеальном случае надо использовать максимальную защиту, т.е. WPA2. Но большинство беспроводных принтеров, мобильников и пр. имеют разные реализации беспроводных модулей, поэтому часто WPA2 не дает подключить практически всю периферию. В вашем случае может быть возможным использовать только WPA2.

Фильрация по MAC-адресам

Я не настраивал фильтрацию по MAC-адресам точек доступа, по соображениям, похожим на изложенные в п.1 - мне не нужны лишние проблемы с конфигурированием. Кроме того, сеть была домашней и не требовала особых мер безопасности. P.S. Что касается WiFi в офисе - я вообще против этого. Правда, бывает, что иначе и не сделать.

Итог

Вот и все. Учитывая, что настройку распределенной беспроводной сети последний раз я делал год назад, прошу не ругать меня за отсутствие каких-либо деталей или присутствие опечаток. Как всегда, комментарии приветствуются. Еще раз отмечу, при использовании прошивок от Asus для использования шифрования WPA/WPA2 нельзя настраивать WDS. Надо настраивать повторитель сигнала основного маршрутизатора.

Дополнения

• добавлено 19.10.11: После экспериментов с прошивкой может пригодиться статья "Восстановление прошивки Asus WL-500gP".
• добавлено 20.10.11: До кучи: если вы решите использовать роутер, прошитый в DD-WRT (другие не пробовал, если знаете, скажите) в качестве повторителя, то вы столкнетесь с кучей неясностей и в конце если и сделаете это, то скорее всего это будет режим Repeater Bridge и вторая беспроводная сеть, на которую придется переключаться беспроводным клиентам если они будут перемещаться из одной зоны сети в другую.
  
  Вывод: самое простое и правильное, на мой взгляд, это использовать специальное устройство, типа описанного в этой статье выше Asus WL-320gE. Это работает. В отличие от танцев, с которыми я лично не раз и не два сталкивался.
  
  PS: Если кто-нибудь из посетителей сайта придерживается иного мнения или знает, как сделать нормальный повторитель WiFi из роутера, прошитого в DD-WRT или другую альтернативную прошивку - очень прошу высказываться, многим пригодится. Эту статью ежедневно просматривают куча народа - это говорит о том, что эта тема нужна и интересует многих! Давайте поможем другим советом!
• добавлено 28.02.2012: Где-то два месяца назад я пробовал расширить зону действия сети на основе роутера Asus WL-500gP (на родной прошивке Asus) с помощью Asus RT-N12. Несмотря на заявленную возможность работать репитером, постоянно прекращался доступ в интернет в тех местах, где можно было "зацепить" и Asus WL-500gP и Asus RT-N12. Я сдал репитер Asus RT-N12 обратно в магазин. Т.к. ничего адекватного на тот момент я не нашел, на время отложил поиски. Буквально сегодня утром купил аж два роутера Asus RT-N10U (с функцией повторителя), думал выкинуть старый Asus WL-500gP, т.к. я почему-то подумал, что возможно проблема была из-за него, все-таки для него прошивка уже достаточно старая. Как же я обрадовался, когда ради эксперимента "подцепил" один из Asus RT-N10U как повторитель к существующей сети и все заработало! Учитывая довольно большое количество оргтехники, уже настроенной на работу с Asus WL-500gP, я так пока и оставил один из новых роутеров нераспечатанным. В итоге, прекрасно себя показала связка из старого роутера Asus WL-500gP и нового в режиме репитера Asus RT-N10U.

Автор

Иванов Илья, http://bozza.ru, 2009

Вступление

Предыдущее название статьи: "Установка Firefox в сети Windows 2003 средствами групповой политики".

Считается, что пользователи в сети должны иметь ограниченные права и привилегии. В том числе на установку программ. Это правильно. А в вашей сети используется Firefox как основной браузер и вы уже задолбались бегать от компа к компу, вводить админские кредиты и устанавливать новые версии Firefox, выходящие с завидной регулярностью. Значительно упростить этот процесс можно с помощью домена Windows 2003, оснастки "Active Directory - Пользователи и компьютеры" и редактора групповой политики gpmc.msc.

Итак, задача: максимально упростить обновления браузера Firefox, установленного на подавляющем количестве компьютеров в сети. Исходные данные: домен Windows 2003.

Подготавливаем MSI-файл для Firefox

Думаю, что добавлю потом отдельную статью о том, откуда можно брать файлы Windows Installer вида "firefox.msi". Скажу лишь, что в нашем случае сам msi-файл и шаблон firefox.adm можно скачать отсюда.

Расшариваем какую-либо папку на сервере и даем к ней доступ юзерам на чтение, админу - полный:

В данном примере административный шаблон firefox.adm лежит в расшаренной папке, думаю, что это не совсем правильно, но зато легче не растерять связанные друг с другом файлы шаблона и инсталляшки.

Если у вас пользователи домена уже находятся в Users или где-то еще и вы не намерены их оттуда перемещать, пропускайте следующий параграф.

Подготовка организационного подразделения (OU)

Вообще-то держать пользователей домена в Users (по-умолчанию) не рекомедуется, в т.ч. на курсах Microsoft. Поэтому мы создадим новое рганизационное подразделение (OU), к которому будем в последствии применять политику распространения Firefox.

Шаг 1: сделаем OU "OurUsers" и поместим в него пользователя "user1"

Шаг 2: Создадим отдельную политику для созданного подразделения "OurUsers"

Запускаем редактор групповой политики GPMC.MSC:

... и создаем связанную только с нашим OU "OurUsers" групповую политику под названием "Install Custom Software":

... редактируем нашу политику "Install Custom Software":

Шаг 3: Готовим дистрибутив Firefox для развертывания в сети

В разделе "User Configuration" -> "Software settings" -> "Software Installation" щелкаем правой мышкой и создаем новый объект для установки - наш будущий инсталлятор Firefox:

Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку. Важно: выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети:

Выбираем "Assigned" (Назначенный):

Публикуем:

На этом работа с веткой "Software Installation" закончена. переходим к ветке "User Configuration" -> "Administrative Templates" и создаем новый шаблон на основе файлика firefox.adm, так же кем-то предусмотрительно скачанного ранее:

Ок, мы сделали новый шаблон "Firefox". Теперь отредактируем его, как нам того требуется. Настроек не так много, но минимум все-таки настроить можно - стартовая страница, адрес прокси и пр.

Все. С шаблонами и прочими зверями покончено. Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force

Шаг 4: Устанавливаем на клиенте свежий Firefox

Созерцаем пару секунд окно командного интерпритатора и пробуем залогиниться под учетной записью "user1" на рабочую станцию. Выполняем команду "gpupdate /force", выходим и снова залогиниваемся на рабочей станции. Запускаем на рабочей станции "Установка и удаление программ", и в окне "Установка программ" созерцаем:

Вот! Теперь даже пользователь с ограниченными правами сможет установить уже настроенный броузер Firefox, а если Firefox уже был установлен, то он быдет обновлен до новой версии, в которой исправлены всякие недочеты и уязвимости.

Отмечу, что установить программу, подготовленную таким способом, сможет пользователь даже с минимальными юзерскими правами. Достаточно сделать пару кликов мышкой, без всяких админских учетных записей.

Минусы

Нельзя не сказать о существенных минусах этого способа. Первый, и, наверное, самый существенный - описанный способ это НЕ АВТОМАТИЧЕСКАЯ УСТАНОВКА ПРОГРАММ НА ВСЕ КОМПЬЮТЕРЫ В ДОМЕНЕ. Для автоматической установки используется другой метод, думаю, позже я опишу его, а пока сам до конца не понял, как просто и четко работать с MST-файлами настроек в случае подготовки дистрибутива для автоматического развертывания в сети. Отмечу, что статей про автоматическое развертывание пакета Microsoft Office в сети домена довольно много, но попробуйте найдите хоть что-то вразумительное о том, как сделать шаблон настроек firefox.mst - и вы меня поймете.

Кстати, если вы знаете ПРОСТЫЕ И ПОНЯТНЫЕ объяснения, как подготавливать MST-файлы, ОБЯЗАТЕЛЬНО ПИШИТЕ ОБ ЭТОМ в комментариях к этой статье.

Второй минус - опять же непрозрачность подготовки шаблона firefox.adm. Признаюсь, я не успел в этом покопаться, поэтому опять же - КОММЕНТАРИИ И СОВЕТЫ ПРИВЕТСТВУЮТСЯ.

Материалы

В подготовке материала я использовал:

1. http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
2. http://www.mednikov.ru/?p=85

и вечер собственного времени.

(содержимое одной из глав книги OpenVPN: Building and Integrating Virtual Private Networks)

One striking possibility OpenVPN offers is a setup where:

• An OpenVPN machine acts as a server that protects the company's network, admitting access for OpenVPN clients.
• The clients are automatically assigned IPs by the server.
• The clients are equipped with certificates, and identified and authorized by these certificates.

The scripting parameter learn-address in the server's OpenVPN configuration file will have the server execute a script whenever an authorized client connects to the VPN and is assigned an address. This parameter takes the full path to a script as an option:

In this example, the script openvpnFW will be executed each time a client is assigned an IP address and will be passed three variables by the OpenVPN server process:

1. $1: The action taken; this may be one of add, delete, update
2. $2: The IP assigned to the client connecting
3. $3: The common name in the subject line of the client's certificate

Add the line learn-address /etc/openvpn/scripts/openvpnFW to your OpenVPN server configuration file and edit the file /etc/openvpn/scripts/openvpnFW to be like the following. These lines will show how to make use of these parameters in a short Linux shell script:

This script will only export the variables passed to the logfile, including a timestamp that is added by the command date. Stop and start your tunnel a few times. Now let's have a look at the file /var/log/openvpn/connections.log:

This example shows my VPN client reconnecting every day. This alone might yet be an interesting feature, if you want to keep track of your users and their VPN connections. However, we can do more. Let's add some more lines to our openvpnFW script:

Two simple tests are run and, depending on the content of the variable $1, different firewall scripts are executed. Let's express this in brief. If the first variable passed is add, then the script /etc/openvpn/scripts/$2.FW_connect.sh is run, where $2 will be replaced by the IP of the client connecting. If for example a client mfeilner connects and is assigned the IP 10.99.0.3, then the variables passed to this script openvpnFW will be:

And the script run will be called: /etc/openvpn/scripts/10.99.0.3.FW_connect.sh.
However, if the variables passed to openvpnFW are the following:

then the script /etc/openvpn/scripts/10.99.0.3.FW_disconnect.sh will be executed.

I think you have already guessed that these two scripts contain firewall rules (like iptables statements) for the client with the certificate mfeilner. Even though all of this could be done within one single script, I prefer to have the tests and firewall rules split up in several scripts.

This setup can become very powerful and fairly complex. A client that has its default route set through the tunnel can be allowed selective Internet access, simply by enabling or disabling, routing or forwarding. And access to the local servers can also be easily managed: E.g. A SAP server might only be available for road warriors from 7 am to 6 pm, whereas during the night firewall rules protect the server.

Автор grinder, источник: http://www.linuxstudio.ru

Настало время поговорить о швабре на которую наступают новички. Речь сегодня пойдет о правах доступа. И так вы садитесь за компьютер, работа не идет и в порыве вы уничтожаете случайно важные системные файлы. Или ваши знакомые или сослуживцы залезли в папку которую не должны были видеть. Или ... Ситуация я думаю знакомая. Но зато согласитесь удобно. Я сам себе режиссер, что хочу то делаю, любая программа, пользователь имеет доступ ко всем системным файлам и ресурсам, никаких ограничений. Красота. Отсюда эпидемии вирусов. Так вот в Linux всего такого нет. Почему?

Файлы в Linux имеют двух владельцев: пользователя (user owner) и группу (group owner) под которой понимается определенный список пользователей и причем владелец файла не обязательно должен быть членом группы владеющей файлом. Каждый пользователь может быть членом сразу нескольких групп одна из которых называется первичной (primary), а все остальные - дополнительными (supplementary). Это дает большую гибкость в организации доступа к определенному файлу. Совместное использование некоторым ресурсом организовать очень просто, достаточно создать новую группу и включить в нее всех кому это действительно необходимо, а если человек предположим перешел в другой отдел и уже нет необходимости в использовании данного файла. А все очень просто, необходимо просто выключить его из состава данной группы. Ну а, что делать с остальными неужели они так и не смогут хотя бы прочитать содержимое файла или их прийдется каждый раз включать и исключать из группы. А вот для всех остальных (other) которые не принадлежат ни к user owner и group owner права доступа устанавливаются отдельно и как правило самые минимальные. Обычно владельцем файла является пользователь который создал данный файл. Владелец-группа вновь создаваемого файла устанавливается равной первичной группе пользователя создавшего файл, но в некоторых версиях Unix владелец-группа наследуется от владельца-группы каталога в котором создается файл. Для изменения владельца файла используется команда chown в качестве параметров принимающая имя нового владельца и список файлов: # chown new_owner file1 file2 ...Конечно же на месте названия файла может быть и имя каталога, но при этом владелец файлов внутри каталога не изменится, для того чтобы это произошло лучше всего воспользоваться флагом -R (chown -R). При использовании данной команды (впрочем как и большинства) можно пользоваться регулярными выражениями если есть необходимость отобрать файлы удовлетворяющие определенному критерию (chown - R lys *.с). Для изменения владельца группы используется команда chgrp, синтаксис использования данной команды аналогичен предыдущей: # chgrp sales /home/sales/*. Кстати команда chown позволяет сразу установить и группу-владельца для этого необходимо сразу за именем владельца без пробелов и др. знаков поставить двоеточие и написать название необходимой группы

# chown - R sergej:gljuk *

допускается и такой вариант записи:

# chown - R :gljuk * (т.е. аналог команды chgrp).

Владение файлом определяет те операции которые тот или иной пользователь может совершить над файлом. Самые очевидные из них это изменение владельца и группы для некоторого файла. Эти операции может проделать суперпользователь и владелец файла (в производных BSD UNIX только суперпользователь). Если с первым все понятно, то например написав программу и сделать затем ее владельцем, например суперпользователя увы не получится, и хотя вариант изменения владельцем допускается варианта такого применения я честно говоря не нашел. А вот группу, если вы являетесь владельцем файла, можно изменить только на свою первичную (по умолчанию имеет то же название, как и имя соответствующего пользователя). Эти все ограничения введены по нескольким причинам, чтобы никто не мог подсунуть какой ни будь зловредный файл и для того чтобы если на компьютере установлен лимит дискового пространства для конкретного пользователя, нельзя было просто переопределив владельца превысить его.

Следующие базовые операции которые можно совершить над файлом: это доступ на чтение (Read), доступ на запись (Write) и доступ на выполнение (eXecute). Эти операции устанавливаются для каждой из трех групп пользователей раздельно. Причем проделать это может только пользователь владелец и конечно же суперпользователь. Для установки соответствующих прав используется команда chmod. Применяется она в двух формах абсолютной - когда игнорируются старые права, а безусловно устанавливаются новые, и относительной - когда к имеющимся правам добавляются/убираются другие. Абсолютная форма предполагает задание прав доступа к файлу прямым заданием его в восьмеричной форме. Для того чтобы получить полный код необходимого режима файла, необходимо просто сложить значения кодов приведенных в таблице.

Таким образом команда # chmod 755 file устанавливает следующие права доступа, это исполняемый файл, запустить его на выполнение и прочитать содержимое имеют право все (т.е. владелец, группа и остальные), а владелец дополнительно имеет право на изменение содержимого - запись. Это кстати пример задания прав классического cgi сценария.

Относительная форма команды требует конкретного указания классов доступа ('u'- владелец, ‘g'- группа, ‘o'- остальные , ‘a' -все вместе), соответствующие права доступа ('r' - чтение, ‘w' - запись, ‘x' - выполнение) и операцию которую необходимо произвести для списка файлов ('+' добавить , ‘-' удалить, ‘=' присвоить) для соответствующего списка файлов. Например команда # chmod u+w, ug+r, a+x file добавляет дополнительно к имеющимся всем право запустить файл на выполнение, группа и владелец смогут прочесть содержимое, а владелец кроме того и изменить содержание. Да и команда ‘=' относится скорее к абсолютному заданию прав доступа так как устанавливает соответствующие права вместо имеющихся.

Просмотреть соответствующие права доступа, а также владельца и группу можно с помощью команды ls -l:

[sergej@grinder sergej]$ ls -l

итого 2

drwxrwxr-x 2 sergej sergej 1024 Авг 17 09:45 bin
-rw-rw-r- 1 sergej sergej 604 Авг 22 21:07 printenv.pl

Буква ‘d' означает, что это каталог, прочерк ‘-' - обыкновенный файл, ‘l' - символическая связь, ‘b'- блочное устройство, ‘c' - символьное устройство. Исполняемый файл может быть как откомпилированной программой (для его запуска необходимо только право на выполнение) и скриптом. Чтобы запустить на выполнение последний необходимо дополнительно право на чтение, так как программа-интерпретатор должна перед этим его прочитать. Значение прав доступа для различных типов файлов также различно. Вы ведь не забыли, что все остальное: каталоги, устройства, сокеты и именованные каналы тоже являются файлами. Например для последних трех право на выполнение смысла не имеет. Для символических связей они контролируются целевым файлом. Для каталогов они имеют немного другой смысл. Каталог по своей сути файл содержащий имена всех файлов которые содержатся в данном каталоге, а также указатели на дополнительную информацию, позволяющие операционной системе производить необходимые операции. Так вот право на чтение каталога позволяет всего лишь получить только имена файлов, находящихся в данном каталоге. А вот для того, чтобы получить дополнительную информацию, необходимы право на исполнение так, как уже прийдется заглянуть в "метаданные" каждого файла. Также чтобы перейти в какой ни будь каталог (cd) (и все каталоги на пути) необходимо иметь право на выполнение. Поэтому например часто создав каталог для домашней страницы Web-сервера Apache (public_html) и при попытке открыть его http://localhost/~user_name, получаете сообщение о том, что узел не достижим одной из причин является, то что сервер просто не может прочитать содержимое соответствующего каталога и всех каталогов на пути к нему. Кстати из-за наличия этих особенностей можно добиться так называемого эффекта "dark directory". Когда есть возможность создать каталог файлы в котором доступны только если пользователь знает точно имя соответствующего файла. Давайте посмотрим, как создать такой каталог.

[sergej@grinder sergej]$ mkdir darkcat # создаем каталог

[sergej@grinder sergej]$ chmod a-r+x darkcat # устанавливает необходимые права доступа, добавляем исполнение для всех и убираем возможность чтения списка файлов

[sergej@grinder sergej]$ ls -l # маленькая проверка

d-wx-wx-x 2 sergej sergej 1024 Сен 7 15:14 darkcat

[sergej@grinder sergej]$ cp myfile darkcat # копируем файл в каталог

[sergej@grinder sergej]$ cd darkcat # переходим в каталог

[sergej@grinder darkcat]$ ls -l # пробуем прочитать список файлов

ls: .: Permission denied # вот те раз

[sergej@grinder darkcat]$ cat myfile # выводим содержимое файла на терминал

Получилось.

Право на запись для каталога позволяет изменять его содержимое т.е. удалять и записывать файлы, при этом права доступа к конкретному файлу игнорируются.

Еще один момент права на доступ проверяются в такой последовательности: суперпользователь, владелец, группа-владелец и остальные. Отсюда если вы являясь владельце забыли установить для себя право например на запись, но установили его всем остальным и не надейтесь, что сможете записать в него что-нибудь, даже если вы являетесь членом группы, просто потому, что все остальные могут, а вы являетесь владельцем. Система при запросе нужного ресурса проверит кем он запрашивается в приведенной выше последовательности и допустит только к разрешенным операциям, дальнейшая проверка прав просто проводится не будет.

Справедливости стоит отметить, что права доступа имеет не пользователь, а процесс запущенный ним. Не вдаваясь в подробности (я думаю о процессах разговор отдельный), каждый пользователь зарегистрировавшись в системе получает свою копию текущего процесса shell который имеет установленные идентификаторы RID и RGID реальные индетификаторы пользователя и первичной группы пользователя. А все процессы запущенные пользователем (дочерними), которые наследуют все переменные в том числе и RID, RGID. К чему это я собственно. У нас остались не рассмотренными три режима файла: бит сохранения задачи (stisky bit или save text mode), а также флаги SUID и SGID. Со stisky bit все просто, этот бит указывает на необходимость сохранения копии выполняющейся программы в памяти после завершения выполнения. Этот режим позволяет сэкономить время на запуске программы при частом использовании, но в современных системах применение этого режима встречается редко. А вот флаги SUID и SGID позволяют изменить (расширить) права пользователя (группы) запустившего программу на выполнение, на время выполнения программы. Как уже говорилось запущенное приложение имеют права доступа к системным ресурсам такие же, что и пользователь, запустивший программу. А установки этих флагов позволяет назначить права доступа исходя из прав доступа владельца файла. Отсюда если владельцем запущенного приложения является root, то любой независимо кто запустил данное приложение будет иметь права суперпользователя. При этом при установке флага SUID наследуется права владельца файла, а SGID - группы-владельца.

В качестве примера где может применяться это свойство рассмотрим утилиту passwd, которая позволяет изменить пользователю свой пароль. Все учетные записи и пароли (в зашифрованном виде) хранятся в файлах /etc/passwd и /etc/shadow, если предоставить право каждому пользователю на самолично вносить изменения в эти файлы напрямую, то можете представить, что это будет. И естественно вам и не кто и не даст такое право.

[sergej@grinder sergej]$ ls -l /etc/passwd /etc/shadow

-rw-r-r- 1 root root 1628 Авг 13 18:31 /etc/passwd

-r--- 1 root root 1081 Авг 13 18:31 /etc/shadow

Как видите все пользователи имеют право только на чтение файла /etc/passwd, а записывать информацию может только root (а /etc/shadow как вы видите закрыли от всех, чтобы пароли не могли подобрать). Теперь смотрим на утилиту passwd:

[sergej@grinder sergej]$ ls -l /usr/bin/passwd

-r-s-x-x 1 root root 15104 Мар 14 03:44 /usr/bin/passwd

Буква 's' означает, что установлен флаг SUID, а владельцем файла является его величество root и теперь кто бы ни запустил утилиту на выполнение, на время работы программы он временно получает права суперпользователя, т.е. произвести запись в защищенный системный файл. Естественно утилита должна (и делает это) производить изменение учетной записи только запустившего ее пользователя. Как вы понимаете требования по безопасности к программам использующим данный метод должны быть повышены. Это наверное самая большая дыра во всех Unix, потому что найдя ошибку в одной из программ использующих биты SUID/SGID можно производить любые действия не обладая при этом правами суперпользователя. А аксиома программирования говорит, что ошибки будут всегда. Поэтому сейчас где можно пытаются уйти или сильно изменить этот механизм. Да почитайте хотя бы аннотацию к большинству дистрибутивов Linux, там производитель с гордостью сообщает, что такие то программы уже не используют механизм SUID/SGID. Для установки битов SUID/SGID в символьной форме используется буква - 's', sticky bit устанавливается буквой -'t', а с помощью буквы ‘l' можно установить блокировку файла, для устранения возможных конфликтов когда несколько процессов попытаются работать с одним и тем же файлом. И еще один интересный момент.

[sergej@grinder sergej]$ ls -l /

drwxrwxrwt 25 root root 4096 Сен 8 20:08 tmp

Посмотрите, в каталоге /tmp установлен sticky bit. Зачем? Как говорилось предоставление права на запись в каталог позволяет удалять все файлы даже те владельцами которых он не является. Чтобы избежать этого устанавливается sticky bit для каталога и теперь удалить файл может только пользователь создавший его. А при установке бита SGID для каталога, все вновь созданные файлы будут теперь наследовать группу не по пользователю создавшему его, а по группе-владельцу каталога.

А теперь для чего все это собственно я вам рассказываю т.е. о наших швабрах. Представьте такую ситуацию смотрировали CDROM под root и скопировали с него файлы в домашний каталог обычного пользователь, поработали и выключили компьютер. Угадайте на следующий день вы сможете открыть там хоть один файл. Да работать мне целую неделю в Windows если да, а все потому, что владельцем файла окажется все тот же суперпользователь. Это относится и к различным конфигурационным файлам скопированным в домашний каталог (или созданным под root), процесс запущенный обычным пользователем просто не сможет его прочитать и пользоваться вы будете общесистемным, недоумевая почему не вступают в силу настройки произведенные вами. А вот еще ситуация настроили принтер утилитой princonf, под обычным пользователем не печатает. Почему? А потому, что вам не дано право на выполнение. Самый радикальный метод который я встречал в некоторых книгах выглядит так.

[root@grinder sergej]# chmod a+rwx /dev/*

Все получают право на выполнение, чтение и запись и проблема решена, причем проделав сразу для всех файлов данного каталога вы решите ее раз и на всегда. Для домашнего пользователя в принципе такое решение сойдет. Но оно как раз в духе Windows. Более культурный вариант выглядит так.

[sergej@grinder sergej]$ ls -l /dev/lp0

crw-rw-- 1 root lp 6, 0 Апр 11 17:25 /dev/lp0

Видите право на выполнение дано root и членам группы lp, отсюда если нужен принтер добавьте себя в эту группу. Либо прямым редактированием файла /etc/group (sergej:x:500:sergej,gdm,mysql,named,nobody,sound,lp), либо с помощью различных графических утилит вроде System Setting.
Зачем все это?

Например не играет звук. Смотрим.

[sergej@grinder sergej]$ ls -l /dev/dsp

crw--- 1 sergej root 14, 3 Апр 11 17:25 /dev/dsp

Получается что только пользователь sergej будет слушать музыку. Парадокс однако. Пришлось создавать группу sound и добавить в нее себя, сделать владельцем обиженного root'a, а для группы sound определить чтение. Справедливости хотелось отметить, что права доступа это заслуга не только операционной , но и файловой системы ext2. В inode файла внесена вся необходимая информация о соответствующих правах доступа.

Или например на форумах часто спрашивают как сделать чтобы ppp соединение было доступно обычному пользователю. А все просто. Не нужно ничего выдумывать. Ищем пользователя и группу которая имет доступ к этому сервису и добавляем себя любимого. В Ubuntu это группа dip.

Вот и в принципе и все. Бывшего пользователя Windows несколько раздражает такой подход когда собственноручно созданный файл нельзя даже прочитать, но зато такой подход дисциплинирует, лучше всяких запретов. По этой же причине в Linux мало приживаются вирусы, для того чтобы нанести серьезный ущерб системе нужны соответствующие права. Linux forever.