- •Рецензенты:
- •Ответственные за выпуск:
- •Оглавление
- •Введение
- •1. Назначение и функции операционной системы
- •1.1. Функциональные компоненты операционной системы автономного компьютера
- •1.1.1. Управление процессами
- •1.1.2. Управление памятью
- •1.1.3. Управление файлами и внешними устройствами
- •1.1.4. Защита данных и администрирование
- •1.1.5. Интерфейс прикладного программирования
- •1.1.6. Пользовательский интерфейс
- •Вопросы для самопроверки
- •Контрольные вопросы
- •1.2. Сетевые операционные системы
- •1.2.1. Сетевые и распределенные ос
- •1.2.2. Два значения термина «сетевая ос»
- •1.2.3. Функциональные компоненты сетевой ос
- •1.2.4. Сетевые службы и сетевые сервисы
- •1.2.5. Встроенные сетевые службы и сетевые оболочки
- •1.3. Требования к современным операционным системам
- •Вопросы для самопроверки
- •Контрольные вопросы
- •2. Архитектура операционной системы
- •2.1. Ядро и вспомогательные модули ос
- •2.2. Ядро и привилегированный режим
- •2.3. Многослойная структура ос
- •2.4. Аппаратная зависимость ос
- •2.5. Переносимость операционной системы
- •Вопросы для самопроверки
- •Контрольные вопросы
- •2.6. Микроядерная архитектура
- •2.6.1. Концепция
- •2.6.2. Преимущества и недостатки микроядерной архитектуры
- •2.7. Совместимость и множественные прикладные среды
- •2.7.1. Двоичная совместимость и совместимость исходных текстов
- •2.7.2. Трансляция библиотек
- •2.7.3. Способы реализации прикладных программных сред
- •Вопросы для самопроверки
- •Контрольные вопросы
- •3. Процессы и потоки
- •3.1. Мультипрограммирование
- •3.1.1. Мультипрограммирование в системах пакетной обработки
- •3.1.2. Мультипрограммирование в системах разделения времени
- •3.1.3. Мультипрограммирование в системах реального времени
- •Вопросы для самопроверки
- •Контрольные вопросы
- •3.2. Мультипроцессорная обработка
- •Вопросы для самопроверки
- •Контрольные вопросы
- •3.3. Планирование процессов и потоков
- •3.4. Понятия «процесс» и «поток»
- •3.4.1. Создание процессов и потоков
- •3.4.2. Планирование и диспетчеризация потоков
- •3.4.3. Состояния потока
- •3.4.4. Вытесняющие и невытесняющие алгоритмы планирования
- •3.4.5. Алгоритмы планирования, основанные на квантовании
- •3.4.6. Алгоритмы планирования, основанные на приоритетах
- •3.4.7. Смешанные алгоритмы планирования
- •3.5. Синхронизация процессов и потоков
- •3.5.1. Цели и средства синхронизации
- •3.5.2. Сигналы
- •Вопросы для самопроверки
- •Контрольные вопросы
- •4. Управление памятью
- •4.1. Функции операционной системы по управлению памятью
- •4.2. Типы адресов
- •Вопросы для самопроверки
- •Контрольные вопросы
- •4.3. Алгоритмы распределения памяти
- •4.3.1. Алгоритмы распределения без использования внешней памяти Распределение памяти динамическими разделами
- •Распределение памяти перемещаемыми разделами
- •4.3.2. Алгоритмы распределения с использованием внешней памяти
- •Свопинг и виртуальная память
- •Страничное распределение
- •Сегментное распределение
- •Сегментно-страничное распределение
- •Разделяемые сегменты памяти
- •Вопросы для самопроверки
- •Контрольные вопросы
- •5. Ввод-вывод и файловая система
- •5.1. Задачи операционной системы по управлению файлами и устройствами
- •5.2. Специальные файлы
- •5.3. Логическая организация файловой системы
- •5.3.1. Цели и задачи файловой системы
- •5.3.2. Типы файлов
- •5.3.3. Иерархическая структура файловой системы
- •5.3.4. Имена файлов
- •5.3.5. Монтирование
- •5.3.6. Атрибуты файлов
- •5.3.7. Логическая организация файла
- •Вопросы для самопроверки
- •Контрольные вопросы
- •5.4. Физическая организация файловой системы
- •5.4.1. Диски, разделы, секторы, кластеры
- •5.4.2. Физическая организация и адресация файла
- •2048 Записей
- •5.5. Физическая организация fat
- •Кластер № 17 – начальный кластер файла file1; кластер № 18 – начальный кластер файла file2
- •5.6. Физическая организация файловых систем s5 и ufs
- •5.7. Физическая организация файловой системы ntfs
- •5.7.1. Структура тома ntfs
- •5.7.2. Структура файлов ntfs
- •5.7.3. Каталоги ntfs
- •Вопросы для самопроверки
- •Контрольные вопросы
- •5.8. Контроль доступа к файлам
- •5.8.1. Доступ к файлам как частный случай доступа к разделяемым ресурсам
- •5.8.2. Механизм контроля доступа
- •Имена файлов
- •5.8.3. Организация контроля доступа в ос unix
- •Процесс
- •Запрос операции
- •Вопросы для самопроверки
- •Контрольные вопросы
- •5.8.4. Организация контроля доступа в ос Windows nt
- •5.8.5. Разрешения на доступ к каталогам и файлам
- •Соотношение индивидуальных и стандартных разрешений для файлов
- •Вопросы для самопроверки
- •Контрольные вопросы
- •Ответы на вопросы для самопроверки
- •Лабораторные работы
- •Методические указания для проведения лабораторных занятий и выполнения контрольной работы
- •Лабораторная работа № 1 Системный реестр Windows 9x. Редактор базы данных регистрации
- •Редактор системного реестра. Утилита regedit.Exe
- •Командный файл системного реестра
- •Утилита редактора системных правил Poledit
- •Список ключей системного реестра
- •Заблокировать возможность удаления принтеров.
- •Заблокировать возможность добавления принтеров.
- •Скрыть вкладку «Устройства» утилиты «Система».
- •Скрыть вкладку «Профили оборудования» утилиты «Система».
- •Лабораторная работа № 2 Администрирование сетевой ос Windows xp
- •Установка удаленного терминала (Remote DeskTop Connection)
- •Работа с Windows 2003 Server
- •Утилиты панели управления
- •Управление рабочей станцией
- •Администрирование
- •Конфигурирование сервера
- •Управление контроллером домена
- •Предоставление доступа к ресурсам сервера
- •Привилегия клиента удаленного терминала
- •Панель задач. Управление процессами
- •Лабораторная работа № 3 Командные центры Windows 9х
- •Утилита «Дата/время»
- •Утилита «Клавиатура»
- •Утилита «Мышь»
- •Утилита «Специальные возможности»
- •Утилита «Принтеры»
- •Утилита «Шрифты»
- •Утилита «Установка и удаление программ»
- •Утилита «Система»
- •Утилита «Язык и стандарты» Окно утилиты Язык и стандарты содержит вкладки Денежные единицы, Время, Дата, Региональные стандарты, Числа.
- •Рабочий стол. Свойства рабочего стола
- •Лабораторная работа № 4 Установка ос Fedora Core X. Режимы работы системы. Инсталляция приложений
- •Подготовка жесткого диска к инсталляции ос Linux
- •Программа редактирования разделов жесткого диска PowerQuest PartitionMagic 8.0
- •Создать как: (Create as:) Logical Partition Тип раздела: (Partition type:) Linux Ext3 Размер: (Size:) 9500
- •Инсталляция ос Fedora Core X
- •Графический интерфейс gnome ос Linux
- •Лабораторная работа № 4 Установка ос Fedora Core X
- •Текстовый интерфейс ос Linux Алфавитно-цифровой терминал
- •Режимы работы ос Linux
- •Установка приложений в ос Red Hat
- •Лабораторная работа № 5 Подсистемы управления ос
- •Управление ресурсами ос Linux
- •Графические утилиты управления процессами. Системный монитор
- •Подсистемы управления, общие для всех ресурсов
- •Администрирование в ос Red Hat. Локальные системы
- •Пользовательский интерфейс
- •Регистрация событий
- •Лабораторная работа № 6 Файловые системы. Сетевые сервисы ос Linux
- •Команды и утилиты, предназначенные для работы с файловыми системами
- •Создание, редактирование и удаление разделов жесткого диска. Утилита fdisk
- •Создание и локализация файловой системы
- •Файловые службы и сетевые файловые системы
- •Автомонтирование
- •Сервисы Linux
- •Список вопросов к контрольной работе
- •Библиографический список
Вопросы для самопроверки
На какие области разбивает файловая система FAT логический раздел диска?
Укажите основную информационную составляющую файловой системы NTFS.
Что является основной компонентой файла в NTFS?
Для каких целей в NTFS используется информация об узлах B-дерева?
Контрольные вопросы
В каких единицах дискового пространства ОС выделяет место под файлы?
Что понимают под разделом (partition) жесткого диска?
Обязательно ли одно логическое устройство размещается на одном жестком диске?
Какому параметру соответствует количество индексных указателей в таблице FAT?
Какое максимальное количество кластеров может поддерживать файловая система FAT16?
В каком случае в файловой системе FAT16 гарантируется надежное восстановление файла?
Как в терминах ОС UNIX принято называть информационную структуру, в которой хранятся характеристики файла?
Чем является индексный дескриптор с точки зрения идентификации файла?
Может ли файл в ОС UNIX иметь более одного символьного имени?
Какая базовая единица дискового пространства используется для хранения информации в NTFS?
Какое количество стандартных записей содержит первый отрезок MFT?
Какие поля содержатся в атрибуте файла?
На какие типы делят файлы в NTFS в зависимости от способа их размещения?
Какая информация содержится в поле Data больших файлов?
Какую информацию содержит атрибут Index Root?
Какие атрибуты связаны с конкретным файлом в каталожной записи?
5.8. Контроль доступа к файлам
5.8.1. Доступ к файлам как частный случай доступа к разделяемым ресурсам
Файлы – это частный, хотя и самый популярный, вид разделяемых ресурсов, доступ к которым операционная система должна контролировать. Существуют и другие виды ресурсов, с которыми пользователи работают в режиме совместного использования. Прежде всего, это различные внешние устройства: принтеры, модемы, графопостроители и т.п. Область памяти, используемая для обмена данными между процессами, также является примером разделяемого ресурса. Да и сами процессы в некоторых случаях выступают в этой роли, например, когда пользователи ОС посылают процессам сигналы, на которые процесс должен реагировать.
Во всех этих случаях действует общая схема: пользователи пытаются выполнить с разделяемым ресурсом определенные операции, а ОС должна решать, имеют ли пользователи на это право. Пользователи являются субъектами доступа, а разделяемые ресурсы – объектами. Пользователь осуществляет доступ к объектам операционной системы не непосредственно, а с помощью прикладных процессов, которые запускаются от его имени. Для каждого типа объектов существует набор операций, которые с ними можно выполнять. Например, для файлов это операции чтения, записи, удаления, выполнения; для принтера – перезапуск, очистка очереди документов, приостановка печати документа и т.д. Система контроля доступа ОС должна предоставлять средства для задания прав пользователей по отношению к объектам дифференцированно по операциям, например, пользователю может быть разрешена операция чтения и выполнения файла, а операция удаления – запрещена.
Во многих операционных системах реализованы механизмы, которые позволяют управлять доступом к объектам различного типа с единых позиций. Так, представление устройств ввода-вывода в виде специальных файлов в операционных системах UNIX является примером такого подхода: в этом случае при доступе к устройствам используются те же атрибуты безопасности и алгоритмы, что и при доступе к обычным файлам и каталогам. Еще дальше продвинулась в этом направлении операционная система Windows NT. В ней используется унифицированная структура – объект безопасности. Она создается не только для файлов и внешних устройств, но и для любых разделяемых ресурсов, например секций памяти. Это позволяет использовать в Windows NT для контроля доступа к ресурсам любого вида общий модуль ядра – менеджер безопасности.
В качестве субъектов доступа могут выступать как отдельные пользователи, так и группы пользователей. Определение индивидуальных прав доступа для каждого пользователя позволяет максимально гибко задать политику расходования разделяемых ресурсов в вычислительной системе. Однако этот способ приводит в больших системах к чрезмерной загрузке администратора рутинной работой по повторению одних и тех же операций для пользователей с одинаковыми правами. Объединение таких пользователей в группу и задание прав доступа в целом для группы является одним из основных приемов администрирования в больших системах.
У каждого объекта доступа существует владелец. Владельцем может быть как отдельный пользователь, так и группа пользователей. Владелец объекта имеет право выполнять с ним любые допустимые для данного объекта операции. Во многих операционных системах существует особый пользователь (superuser, root, administrator), который имеет все права по отношению к любым объектам системы, не обязательно являясь их владельцем. Под таким именем работает администратор системы, которому необходим полный доступ ко всем файлам и устройствам для управления политикой доступа.
Различают два основных подхода к определению прав доступа.
Избирательный доступ имеет место, когда для каждого объекта сам владелец может определить допустимые операции с объектами. Этот подход называется также произвольным (от discretionary – предоставленный на собственное усмотрение) доступом, так как позволяет администратору и владельцам объектов определить права доступа произвольным образом, по их желанию. Между пользователями и группами пользователей в системах с избирательным доступом нет жестких иерархических взаимоотношений, т.е. взаимоотношений, которые определены по умолчанию и которые нельзя изменить. Исключение делается только для администратора, по умолчанию наделяемого всеми правами.
Мандатный доступ (от mandatory – обязательный, принудительный) – это такой подход к определению прав доступа, при котором система наделяет пользователя определенными правами по отношению к каждому разделяемому ресурсу (в данном случае файлу) в зависимости от того, к какой группе пользователь отнесен. От имени системы выступает администратор, а владельцы объектов лишены возможности управлять доступом к ним по своему усмотрению. Все группы пользователей в такой системе образуют строгую иерархию, причем каждая группа пользуется всеми правами группы более низкого уровня иерархии, к которым добавляются права данного уровня. Членам какой-либо группы не разрешается предоставлять свои права членам групп более низких уровней иерархии.
Мандатный способ доступа близок к схемам, применяемым для доступа к секретным документам: пользователь может входить в одну из групп, отличающихся правом доступа к документам с соответствующим грифом секретности, например, «для служебного пользования», «секретно», «совершенно секретно» и «государственная тайна». При этом пользователи группы «совершенно секретно» имеют право работать с документами «секретно» и «для служебного пользования», так как эти виды доступа разрешены для более низких в иерархии групп. Однако сами пользователи не распоряжаются правами доступа – этой возможностью наделен только особый чиновник учреждения.
Мандатные системы доступа считаются более надежными, но менее гибкими, обычно они применяются в специализированных вычислительных системах с повышенными требованиями к защите информации. В универсальных системах используются, как правило, избирательные методы доступа, о которых и будет идти речь ниже.
Для определенности далее будем рассматривать механизмы контроля доступа к таким объектам, как файлы и каталоги, но необходимо понимать, что эти же механизмы могут использоваться в современных операционных системах для контроля доступа к объектам любого типа и отличия заключаются лишь в наборе операций, характерных для того или иного класса объектов.