Каталоги NTFS

Каждый каталог NTFS представляет собой один вход в таблицу MFT, который содержит атрибут Index Root – список файлов, входящих в каталог. Индексы позволяют сортировать файлы для ускорения поиска, основанного на значении определенного атрибута. Обычно в файловых системах файлы сортируются по имени. NTFS позволяет использовать для сортировки любой атрибут, если он хранится в резидентной форме. Существуют две формы хранения списка файлов.

Небольшие каталоги (small indexes). Если количество файлов в каталоге невелико, то список файлов может быть резидентным в записи в MFT, являющейся каталогом (рис. 5.14).

SI	FN	IR <a.bat, 27> <c.sys, 92> <zyx, N > <####>	SD

#### – признак конца файлов

Рис. 5.14. Небольшой каталог

Для резидентного хранения списка используется единственный атрибут - Index Root. Список файлов содержит значения атрибутов файла. По умолчанию – это имя файла, а также номер записи MTF, содержащей начальную запись файла.

Большие каталоги (large indexes). По мере того как каталог растет, список файлов может потребовать нерезидентной формы хранения. Однако начальная часть списка всегда остается резидентной в корневой записи каталога в таблице MFT (рис. 5.15). Имена файлов резидентной части списка файлов являются узлами так называемого В-дерева (двоичного дерева). Остальные части списка файлов размещаются вне MFT. Для их поиска используется специальный атрибут Index Allocation, представляющий собой адреса отрезков, хранящих остальные части списка файлов каталога. Одни части списков являются листьями дерева, а другие являются промежуточными узлами, т.е. содержат наряду с именами файлов атрибут Index Allocation, указывающий на списки файлов более низких уровней.

Узлы двоичного дерева делят весь список файлов на несколько групп. Имя каждого файла-узла является именем последнего файла в соответствующей группе. Считается, что имена файлов сравниваются лексикографически, т.е. сначала принимаются во внимание коды первых символов двух сравниваемых имен. При этом имя считается меньшим, если код его первого символа имеет меньшее арифметическое значение. При равенстве кодов первых символов сравниваются коды вторых символов имен и т.д. Например, файл f1.exe, являющийся первым узлом двоичного дерева (поле IR), показанного на рис. 5.15, имеет имя, лексикографически большее имен avia.exe, az.exe,..., emax.exe, образующих первую группу списка имен каталога. Соответственно файл ltr.exe имеет наибольшее имя среди всех имен второй группы, а все файлы с именами, большими ltr.exe, образуют третью и последнюю группу.

SI	FN	IR <f1.exe, Nf1.exe> <ltr.exe, Nltr.exe> <####>	IA	SD
IR <avia.doc, Navia.doc> <az.exe, Naz.exe> … <emax.exe, Nemax.exe> <####>
IR <gl.htm, Ngl.htm> <green.com, Ngreen.com> … <caw.doc, Ncaw.doc> <####>
IR<main1.c, Nmain1.c> … <zero.txt, Nzero.txt> <####>

Рис. 5.15. Большой каталог

Поиск в каталоге уникального имени файла, которым в NTFS является номер основной записи о файле в MFT, по его символьному имени происхо­дит следующим образом. Сначала искомое символьное имя сравнивается с именем первого узла в резидентной части индекса. Если искомое имя меньше, то это означает, что его нужно искать в первой нерезидентной группе, для чего из атрибута Index Allocation извлекается адрес отрезка , хранящего имена файлов первой группы. Среди имен этой группы поиск осуществляется прямым перебором и сравнением до пол­ного совпадения всех символов искомого имени с именем, хранящимся в каталоге. При совпадении из каталога извлекается номер основной записи о файле в MFT и остальные характеристики файла берутся уже
оттуда.

Если искомое имя больше имени первого узла резидентной части ин­декса, то его сравнивают с именем второго узла; если искомое имя меньше, то описанная процедура применяется ко второй нерезидентной группе имен, и т.д. В результате вместо перебора большого количества имен (в худшем случае - всех имен каталога) выполняется сравнение с гораздо меньшим ко­личеством имен узлов и имен в одной из групп каталога.

Если одна из групп каталога становится слишком большой, то ее также делят на группы, последние имена каждой новой группы оставляют в исход­ном нерезидентном атрибуте Index Root, а все остальные имена новых групп переносят в новые нерезидентные атрибуты типа Index Root
(на рис. 5.15 этот случай не показан). К исходному нерезидентному атрибуту Index Root добав­ляется атрибут размещения индекса, указывающий на отрезки индекса новых групп. Если теперь при поиске искомого имени в нерезидентной части ин­декса первого уровня какое-либо сравнение показывает, что искомое имя оказывается меньше, чем одно из хранящихся там имен, то это говорит о том, что в данном атрибуте точного сравнения имени уже быть не может и нужно перейти к подгруппе имен следующего уровня дерева.

Вопросы для самопроверки

149. На какие области разбивает файловая система FAT логический раз­дел диска?

150. Укажите основную информационную составляющую файловой сис­темы NTFS.

151. Что является основной компонентой файла в NTFS?

152. Для каких целей в NTFS используется информация об узлах
B-де­рева?

Контрольные вопросы

153. В каких единицах дискового пространства ОС выделяет место под файлы?

154. Что понимают под разделом (partition) жесткого диска?

155. Обязательно ли одно логическое устройство размещается на одном жестком диске?

156. Какому параметру соответствует количество индексных указателей в таблице FAT?

157. Какое максимальное количество кластеров может поддерживать фай­ловая система FAT16?

158. В каком случае в файловой системе FAT16 гарантируется надежное восстановление файла?

159. Как в терминах ОС UNIX принято называть информационную струк­туру, в которой хранятся характеристики файла?

160. Чем является индексный дескриптор с точки зрения идентификации файла?

161. Может ли файл в ОС UNIX иметь более одного символьного
имени?

162. Какая базовая единица дискового пространства используется для хра­нения информации в NTFS?

163. Какое количество стандартных записей содержит первый отрезок MFT?

164. Какие поля содержатся в атрибуте файла?

165. На какие типы делят файлы в NTFS в зависимости от способа их раз­мещения?

166. Какая информация содержится в поле Data больших файлов?

167. Какую информацию содержит атрибут Index Root?

168. Какие атрибуты связаны с конкретным файлом в каталожной
за­писи?

5.8. Контроль доступа к файлам

5.8.1. Доступ к файлам как частный случай доступа
к разделяемым ре­сурсам

Файлы – это частный, хотя и самый популярный, вид разделяемых ре­сурсов, доступ к которым операционная система должна контролировать. Существуют и другие виды ресурсов, с которыми пользователи работают в режиме совместного использования. Прежде всего, это различные внешние устройства: принтеры, мо­демы, графопостроители и т.п. Область памяти, используемая для обмена дан­ными между процессами, также является при­мером разделяемого ресурса. Да и сами процессы в некоторых случаях вы­ступают в этой роли, например, когда пользователи ОС посылают процессам сигналы, на которые процесс должен реа­гировать.

Во всех этих случаях действует общая схема: пользователи пытаются выполнить с разделяемым ресурсом определенные операции, а ОС должна решать, имеют ли пользователи на это право. Пользователи являются
субъ­ектами доступа, а разделяемые ресурсы – объектами. Пользователь осуще­ствляет доступ к объек­там операционной системы не непосредственно, а с помощью прикладных про­цессов, которые запускаются от его имени. Для каждого типа объектов сущест­вует набор операций, которые с ними можно выполнять. Например, для файлов это операции чтения, записи, удаления, выполнения; для принтера – перезапуск, очистка очереди документов, приос­тановка печати документа и т.д. Система контроля доступа ОС должна пре­доставлять средства для задания прав пользо­вателей по отношению к объек­там дифференцированно по операциям, например, пользователю может быть разрешена операция чтения и выполнения файла, а операция удаления – за­прещена.

Во многих операционных системах реализованы механизмы, которые позволяют управлять доступом к объектам различного типа с единых пози­ций. Так, пред­ставление устройств ввода-вывода в виде специальных файлов в операционных системах UNIX является примером такого подхода:
в этом случае при доступе к устройствам используются те же атрибуты безопасно­сти и алгоритмы, что и при доступе к обычным файлам и каталогам. Еще дальше продвинулась в этом на­правлении операционная система Windows NT. В ней используется унифици­рованная структура – объект безопасности. Она создается не только для файлов и внешних устройств, но и для лю­бых разделяемых ресурсов, например секций па­мяти. Это позволяет исполь­зовать в Windows NT для контроля доступа к ресурсам любого вида общий модуль ядра – менеджер безопасности.

В качестве субъектов доступа могут выступать как отдельные пользова­тели, так и группы пользователей. Определение индивидуальных прав дос­тупа для каждо­го пользователя позволяет максимально гибко задать поли­тику расходования разделяемых ресурсов в вычислительной системе. Однако этот способ приводит в больших системах к чрезмерной загрузке админист­ратора рутинной работой по повторению одних и тех же операций для поль­зователей с одинаковыми права­ми. Объединение таких пользователей в группу и задание прав доступа в целом для группы является одним из основ­ных приемов администрирования в боль­ших системах.

У каждого объекта доступа существует владелец. Владельцем может быть как отдельный пользователь, так и группа пользователей. Владелец объекта имеет право выполнять с ним любые допустимые для данного объ­екта операции. Во многих операционных системах существует особый поль­зователь (superuser, root, administrator), который имеет все права по отноше­нию к любым объектам систе­мы, не обязательно являясь их владельцем. Под таким именем работает админи­стратор системы, которому необходим пол­ный доступ ко всем файлам и устрой­ствам для управления политикой дос­тупа.

Различают два основных подхода к определению прав доступа.

Избирательный доступ имеет место, когда для каждого объекта сам владелец может определить допустимые операции с объектами. Этот подход называет­ся также произвольным (от discretionary – предоставленный на соб­ственное усмотрение) доступом, так как позволяет администратору и вла­дельцам объ­ектов определить права доступа произвольным образом, по их желанию. Ме­жду пользователями и группами пользователей в системах с из­бирательным доступом нет жестких иерархических взаимоотношений, т.е. взаимоотно­шений, которые определены по умолчанию и которые нельзя изменить. Ис­ключение делается только для администратора, по умолчанию наделяемого всеми правами.

Мандатный доступ (от mandatory –обязательный, принудительный) – это такой подход к определению прав доступа, при котором система наделяет поль­зователя определенными правами по отношению к каждому разделяе­мому ресурсу (в данном случае файлу) в зависимости от того, к какой группе поль­зователь отнесен. От имени системы выступает администратор, а вла­дельцы объектов лишены возможности управлять доступом к ним по своему усмот­рению. Все группы пользователей в такой системе образуют строгую иерар­хию, причем каждая группа пользуется всеми правами группы более низкого уровня иерархии, к которым добавляются права данного уровня. Членам ка­кой-либо группы не разрешается предоставлять свои права членам групп бо­лее низких уровней иерархии.

Мандатный способ доступа близок к схемам, применяемым для доступа к секретным документам: пользователь может вхо­дить в одну из групп, отли­чающихся правом доступа к документам с соот­ветствующим грифом сек­ретности, например, «для служебного пользования», «секретно», «совер­шенно секретно» и «государственная тайна». При этом поль­зователи группы «совершенно секретно» имеют право работать с документа­ми «секретно» и «для служебного пользования», так как эти виды доступа разрешены для бо­лее низких в иерархии групп. Однако сами пользователи не распоряжаются правами доступа – этой возможностью наделен только осо­бый чиновник уч­реждения.

Мандатные системы доступа считаются более надежными, но менее гиб­кими, обычно они применяются в специализированных вычислительных сис­темах с повышенными требованиями к защите информации.
В универсаль­ных системах используются, как правило, избирательные методы доступа, о которых и будет идти речь ниже.

Для определенности далее будем рассматривать механизмы контроля доступа к таким объектам, как файлы и каталоги, но необходимо понимать, что эти же ме­ханизмы могут использоваться в современных операционных системах для кон­троля доступа к объектам любого типа и отличия заключа­ются лишь в наборе операций, характерных для того или иного класса объек­тов.