SEGURIDAD EN UNIX Y REDES

Capítulo 4El sistema de ficherosNOTA: Obviamente, en este capítulo no hablaremos del tratamiento de ficheros (creación,borrado, modificación, jerarquía de directorios. . . ), sino de temas referentes a laseguridad de los archivos y el sistema de ficheros. Para información sobre la gestiónde ficheros se puede consultar cualquier obra que estudie Unix desde una perspectivageneral, como [TY82], [CR94] o [Man91]. Para un conocimiento más profundo sobre losficheros y los sistemas de archivos se puede consultar [Tan91], [Bac86] (bsd), [GC94](System V) o, en el caso de Linux, [CDM97] o [BBD + 96].4.1 IntroducciónDentro del sistema Unix todo son archivos: desde la memoria física del equipo hasta el ratón, pasandopor módems, teclado, impresoras o terminales. Esta filosofía de diseño es uno de los factoresque más éxito y potencia proporciona a Unix ([KP84]), pero también uno de los que más peligrosentraña: un simple error en un permiso puede permitir a un usuario modificar todo un disco duroo leer los datos tecleados desde una terminal. Por esto, una correcta utilización de los permisos,atributos y otros controles sobre los ficheros es vital para la seguridad de un sistema.En un sistema Unix típico existen tres tipos básicos de archivos: ficheros planos, directorios, yficheros especiales (dispositivos) 1 ; generalmente, al hablar de ficheros nos solemos referir a todosellos si no se especifica lo contrario. Los ficheros planos son secuencias de bytes que a priori noposeen ni estructura interna ni contenido significante para el sistema: su significado depende de lasaplicaciones que interpretan su contenido. Los directorios son archivos cuyo contenido son otrosficheros de cualquier tipo (planos, más directorios, o ficheros especiales), y los ficheros especialesson ficheros que representan dispositivos del sistema; este último tipo se divide en dos grupos: losdispositivos orientados a carácter y los orientados a bloque. La principal diferencia entre amboses la forma de realizar operaciones de entrada/salida: mientras que los dispositivos orientados acarácter las realizan byte a byte (esto es, carácter a carácter), los orientados a bloque las realizanen bloques de caracteres.El sistema de ficheros es la parte del núcleo más visible por los usuarios; se encarga de abstraerpropiedades físicas de diferentes dispositivos para proporcionar una interfaz única de almacenamiento:el archivo. Cada sistema Unix tiene su sistema de archivos nativo (por ejemplo, ext2 enLinux, ufs en Solaris o efs en IRIX), por lo que para acceder a todos ellos de la misma forma elnúcleo de Unix incorpora una capa superior denominada VFS (Virtual File System) encargada deproporcionar un acceso uniforme a diferentes tipos de sistema de ficheros.Un inodo o nodo índice es una estructura de datos que relaciona un grupo de bloques de un1 Otros tipos de archivos, como los enlaces simbólicos, los sockets o los pipes no los vamos a tratar aquí.47