Безопасность файловых систем

Основные направления защиты.

Прежде чем что-то защищать, необходимо знать, что, от кого и от чего.

• Физическая защита:

– защита от физического проникновения в компьютер;

– защита от аппаратных сбоев.

• Защита рабочей станции (локальная безопасность).

• Защита сервера:

– защита от пользователей;

– защита от внешнего мира.

• Защита сети:

– защита от проникновения извне;

– защита от взломов изнутри.

Физическая безопасность

Первое, что следует сделать, это позаботиться о физической безопасности системы. Нет никакого прока от программной защиты, если из сервера можно просто изъять жесткий диск и переписать данные. Необходимо выяснить, кто имеет прямой физический доступ к системе, а также можно (и нужно ли) защитить систему от их потенциально вредного воздействия.

Степень физической безопасности напрямую зависит от ситуации и финансовых возможностей. Домашнему пользователю, скорее всего, не нужна сильная физическая защита. Офисный компьютер может понадобиться обезопасить на время отсутствия пользователя. А если это сервер, то его физическая защищенность должна быть максимальна, в идеальном случае он должен находиться в бронированной комнате без окон, с сейфовым замком на стальной двери.

Замки.

Практически любой серверный корпус имеет специальный замок или отверстия для установки навесного замка. Как правило, наружные отсеки для винчестеров тоже имеют замки.

Для корпуса обычного компьютера дело обстоит похуже. Сейчас редко встретишь компьютерный корпус, у которого есть замок блокировки клавиатуры, хотя еще лет пять назад он был обязательным элементом любого компьютерного корпуса. Но даже при наличии такого замка эта защита является крайне слабой – как правило, к замку подходит любой ключ от аналогичных корпусов, а с помощью обыкновенной канцелярской скрепки можно открыть его за несколько секунд. Тем не менее, для неопытного взломщика замок является непреодолимой преградой.

Хуже дело обстоит с ноутбуками – его можно просто взять со стола. Но любой современный ноутбук имеет специальное отверстие, куда крепится замок, похожий на велосипедный.

Охрана жесткого диска.

Если на жестком диске хранится информация, которая ни в коем случае не должна попасть в чужие руки, и лучше ее уничтожить, чем допустить пропажу, то для этого необходимо предпринять дополнительные меры. Если у вас небольшой сервер или рабочая станция, имеет смысл жесткий диск, на котором хранится информация, установить в специальную съемную корзину, так называемый Rack Mount. Это позволит по окончании работы извлекать жесткий диск из компьютера и прятать в сейф. Для больших серверов такое сделать несколько затруднительно, но иногда имеет смысл. В случае, если к вам заявляются гости, которым «невозможно отказать», можно практически моментально извлечь жесткий диск и уничтожить его, разбив об пол. (Автору известна фирма, возле сервера которой стоит охранник, в случае попытки прорыва в серверную обязанный выстрелом из пистолета уничтожить жесткие дискию.)

BIOS

BIOS является самым первым звеном, от которого зависят настройки компьютера, и попытка проникновения в BIOS будет произведена взломщиком в 99 % случаев. Практически любая BIOS имеет возможность установить два типа паролей – на вход в систему и на вход в BIOS. Это не дает стопроцентной защиты (установки BIOS могут быть обнулены, если кто-то имеет доступ вовнутрь корпуса), но может быть хорошим сдерживающим фактором. Однако следует помнить, что в случае установки загрузочного пароля на сервере система не сможет загрузиться без вмешательства администратора. (Очень неприятно, когда в три часа ночи вас выдергивают из постели для того, чтобы вы ввели пароль в сервер.)

Загрузочные устройства.

Если не установлен пароль в BIOS, велика вероятность, что взломщик попытается загрузить систему с помощью системной дискеты, CD-ROM-диска, Zip-дисковода и тому подобных съемных устройств. Это дает ему полный доступ к жестким дискам компьютера. Поэтому, помимо установки пароля на вход в BIOS, необходимо запретить в BIOS загрузку со всех устройств, кроме жесткого диска. Так же рекомендуется либо отключить в BIOS сервера дисководы съемных устройств, либо (при наличии такой возможности) физически отключить флоппи-, Zip– и тому подобные дисководы и CD-ROM, а иногда даже вообще не устанавливать их в сервер.

Глава 2. Реализация безопасности файловых систем

2.1. Основные параметры безопасности файловой системы

Разрушение файловой системы зачастую более опасно, чем разрушение компьютера. Поэтому необходимо предпринимать специальные меры для сохранения структуры файловой системы на диске. Помимо очевидных решений, например, своевременное дублирование информации (backup), файловые системы современных ОС содержат  специальные средства для поддержки собственной совместимости.

Целостность файловой системы.

Важный аспект надежной работы файловой системы контроль ее целостности. В результате файловых операций блоки диска могут считываться в память, модифицироваться  и затем записываться на диск. Причем, многие файловые операции затрагивают сразу несколько объектов файловой системы. И, если, вследствие непредсказуемого останова системы, на диске будут сохранены изменения только для части этих объектов (нарушена атомарность  файловой операции), файловая система на диске может быть оставлена в несовместимом состоянии. В результате могут возникнуть нарушения логики работы с данными, например,  появиться потерянные блоки диска, которые не принадлежат ни одному файлу и, в то же время помечены как занятые или наоборот блоки, помеченные, как свободные, но в то же время занятые (на них есть ссылка в индексном узле)  или другие нарушения.

В современных ОС предусмотрены меры, которые позволяют свести к минимуму ущерб от порчи файловой системы и, затем, восстановить ее целостность.

Очевидно, что для правильного функционирования файловой системы,  значимость отдельных данных неравноценна. Искажение содержимого пользовательских файлов не приводит к серьезным (с точки зрения целостности файловой системы) последствиям, тогда как несоответствия в файлах, содержащих управляющую информацию (директории, индексные узлы, суперблок и т.п.), могут  быть катастрофическими. Поэтому должен быть тщательно продуман порядок совершения операций  со структурами данных файловой системы.

Рассмотрим, пример создания жесткой связи для файла. Для этого файловой системе необходимо выполнить следующие операции:

1.        Создать новую запись в каталоге, указывающую на индексный узел файла

2.        Увеличить счетчик связей в индексном узле

Если аварийный останов произошел между 1-й и 2-й операциями, то в каталогах файловой системе будут существовать два имени файла, адресующих индексный узел со значением счетчика связей, равному 1. если теперь будет удалено одно из имен, это приведет к удалению файла как такового. Если же порядок операций изменен и, как прежде, останов произошел между первой и второй операциями, файл будет иметь несуществующую жесткую связь, но существующая запись в каталоге будет правильной. Хотя это тоже является ошибкой, но ее последствия менее серьезны, чем в предыдущем случае.

Другим средством поддержки целостности является способ реализации файловой операции в виде транзакции, примерно как, как это делается в СУБД.  Последовательность действий с объектами во время файловой операции протоколируется,  и, если произошел останов системы, то, имея в наличии протокол, можно осуществить откат системы назад в исходное целостное состояние, в котором она пребывала до начала операции. Такого рода журналирование реализовано в NTFS.

Если же нарушение все же произошло, то для устранения проблемы несовместимости можно прибегнуть к утилитам (fsck, chkdsk, scandisk и др.), которые  проверяют целостность файловой системы. Они могут запускаться после загрузки или после сбоя и осуществляют многократное сканирование разнообразных  структур данных файловой системы в поисках противоречий.

Возможны также  эвристические проверки. Например, нахождение индексного узла, номер, которого превышает их число на диске или  нахождение в пользовательских директориях файлов принадлежащих суперпользователю.

 Управление плохими блоками.

Наличие плохих блоков на диске обычное  дело. Под плохими блоками обычно понимают блоки диска, для которых вычисленная контрольная сумма  считываемых данных не совпадает с хранимой  контрольной суммой.  Часто появляются в процессе эксплуатации. Иногда они уже имеются при поставке вместе со списком, т.к. очень затруднительно для поставщиков сделать диск полностью свободным от дефектов.  Два решения проблемы плохих блоков - одно на уровне аппаратуры другое на уровне ядра ОС.

Первый способ -  хранить список плохих  блоков в контроллере диска. Когда контроллер инициализируется, он читает плохие блоки и замещает дефектный  блок  резервным, помечая отображение в списке плохих блоков. Все реальные запросы будут идти к  резервному блоку.  Следует иметь в виду, что при этом механизм подъемника (наиболее распространенный механизм обработки запросов к блокам диска) будет работать неэффективно. Дело в том, что  существует стратегия очередности обработки запросов к диску (подробнее см. главу ввод-вывод).  Стратегия диктует направление движения считывающей головки диска к  нужному цилиндру.  Обычно резервные блоки размещаются на внешних цилиндрах.  Если плохой блок расположен на внутреннем цилиндре,  и контроллер осуществляет  подстановку прозрачным образом, то кажущееся движение головки будет осуществляться  к внутреннему цилиндру, а фактическое к внешнему.  Это является нарушением стратегии и, следовательно, минусом данной схемы.

Решение на уровне ОС может быть следующим. Во-первых, необходимо  тщательно сконструировать файл, содержащий плохие блоки. Тогда они изымаются из списка свободных блоков.  Затем нужно сделать так, чтобы к этому файлу не было обращений. Если это возможно, то  проблема решена.

2.2. Безопасность файловых систем в Windows 7

Рассмотрим резервное копирование как элемент надежности файловой системы на примере Windows 7. С помощью элемента панели управления Архивация и восстановление можно:

        выполнять архивацию заданных папок по расписанию и восстанавливать их из резервной копии

        создать полный образ системы

        создать загрузочный диск для восстановления

В этой статье речь пойдет о возможностях резервного копирования Windows 7 - создании файловых архивов и дисковых образов.

Windows 7 позволяет создавать как резервные копии папок, так и полный образ разделов жесткого диска.

Этот функционал в совокупности с возможностью загрузки в среду восстановления без установочного диска способен удовлетворить запросы большинства домашних пользователей. Теперь они вполне могут обходиться без сторонних программ резервного копирования.

Варианты размещения резервной копии файлов приводятся в таблице.