Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены:
- отдельное изолированное хранение данных аутентификации каждого пользователя системы таким cобразом, чтобы процессы аутентификации и процессы изменения данных аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы;
- поддержка изоляции временных пользовательских файлов.
Вообще это немного странный пункт, ибо все дистрибутивы на базе ядра Linux являются истинно многопользовательскими, даже больше - все Unix-like системы являются истинно многопользовательскими, вследствие чего изолированность сеансов пользователей стоит на первом месте. Без механизмов изоляции невозможно бы было использовать в 60-70гг огромные мейнфреймы нескольким пользователям одновременно, что, в контексте стоимости обслуживания компьютера, недопустимо.
В качестве основы изоляции процессов друг от друга применяются Пространства имён
https://man7.org/linux/man-pages/man7/namespaces.7.htmlhttps://man7.org/linux/man-pages/man7/user_namespaces.7.html
Далее используются механизмы управления правами доступа.
![[Pasted image 20250522125236.png]]
![[43) Изоляция приложений]]
![[45) Управление фиксированными состояниями ключевых объектов]]
На примере htop можно увидеть, что некоторые процессы запущены под пользователем root - самый главный пользователь системы, basealt - текущий пользователь, а также messagebu и nscd - это псевдопользователи. Каждый пользователь работает независимо друг от друга. В рамках одного сеанса пользователя нельзя использовать файлы и ресурсы, у которых права доступа запрещают использование другими пользователями.
В ОС Альт СП за аутентификацию пользователей в локальной системе отвечают модули PAM (Pluggable Authentication Modules, подключаемые модули аутентификации). Реализация модулей PAM представляет собой набор разделяемых объектов (библиотек), работающих в пространстве пользователей, которые загружаются в память и выполняются каждый раз, когда программе нужно аутентифицировать пользователя.
Модуль Центра управления системой (ЦУС) «Локальные учетные записи» alterator-users предназначен для администрирования локальных пользователей. Модуль «Локальные учетные записи» доступен как в GUI в экспертном режиме (раздел «Пользователи» → «Локальные учетные записи») , так и в веб-интерфейсе по адресу https://ip-address:8080. В ОС Альт СП реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11–2012.
Идентификация и аутентификация может осуществляться с использованием токена и модуля pam_pkcs11, а так же централизованно при реализации логической модели «Альт Домен» и FreeIPA.
В ОС Альт СП управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов,осуществляется с помощью утилит(smem, sfill, dm-secdel)
Изоляция временных пользовательских файлов происходит за счёт Sticky bit: sticky bit используется в основном для каталогов, чтобы защитить в них файлы. Из такого каталога пользователь может удалить только те файлы, владельцем которых он является. Примером может служить каталог /tmp, в который запись открыта для всех пользователей, но нежелательно удаление чужих файлов.
ls -dl /tmp
где t — это sticky bit.