UNIX-pohjaisten sovellusten alijärjestelmä (SUA) tarjoaa POSIX (Portable Operating System Interface) -yhteensopivan alijärjestelmän, jossa voidaan suorittaa UNIX-komentotulkkeja, apuohjelmia ja sovelluksia Microsoft® Windows® -sovellusten rinnalla. Tässä ohjeaiheessa kerrotaan joistakin huomioon otettavista seikoista niiden käyttäjien kannalta, jotka tarvitsevat POSIX-yhteensopivan käyttöjärjestelmän.
Komentotulkin POSIX-yhteensopivuus
SUA:n Korn-komentotulkki toimii perinteisen Korn-komentotulkin tavoin ja on lähes yhtenevä POSIX-määritysten mukaisen toiminnan kanssa. Jos tiukka POSIX-määritysten noudattaminen on tärkeää, kuten joissakin työympäristöissä on, lue lisätietoja Korn-komentotulkin ja POSIX:n välisistä eroista ksh(1)-komennon dokumentaatiosta, joka sisältyy UNIX-pohjaisten sovellusten alijärjestelmän apuohjelmien ja SDK:n paketissa oleviin ohjetiedostoihin.
Korn-komentotulkin täydellinen POSIX.2-määritysten mukaisuus vaatii Korn-komentotulkin suorittamista POSIX-tilassa. Voit suorittaa Korn-komentotulkin POSIX-tilassa jollakin seuraavista tavoista:
-
Avaa Korn-komentotulkki käyttäen valitsinta -o posix.
-
Suorita komentojoukko -o posix komentotulkista.
-
Aseta komentotulkin parametri POSIXLY_CORRECT.
C-komentotulkki ei tue POSIX-yhteensopivuutta. Toisin kuin Korn-komentotulkissa, C-komentotulkissa ei ole POSIX-tilan komentovalitsimia.
Kansioiden oikeuksien läpikulun tarkistus
Oletusarvoisesti Windows-käyttäjillä on oikeus siirtyä kansiopuun läpi, vaikkei heillä olisi oikeutta käyttää kaikkia polkuun sisältyviä kansioita. POSIX-järjestelmissä kansiota ei voi käyttää, ellei käyttäjällä ole oikeutta käyttää kaikkia kansioon johtavaan polkuun sisältyviä kansioita. Tätä POSIX-ominaisuutta kutsutaan läpikulun tarkistukseksi. Jos sinulla ei esimerkiksi ole oikeutta käyttää tiettyä kansiota, et voi vaihtaa mitään sen alikansiota työkansioksi, vaikka sinulla olisi oikeus käyttää alikansioita. Windowsissa voit oletusarvoisesti vaihtaa työkansioksi minkä tahansa alikansion, johon sinulla on oikeudet.
Windowsissa on erityinen käyttöoikeus nimeltä Kansion läpikulku tai tiedoston suoritus, jonka voi asettaa käyttäjälle tai ryhmälle. Tämän käyttöoikeuden avulla voit sallia tai estää kulkemisen kansiopuun läpi. Kansion läpikulkuoikeus on voimassa vain silloin, kun ryhmälle tai käyttäjälle ei ole myönnetty Läpikulun tarkistuksen ohitus -oikeutta Ryhmäkäytännöt-laajennuksessa. Microsoft Windows 2000 -käyttöjärjestelmässä Kaikki-ryhmälle annetaan oletusarvon mukaan Läpikulun tarkistuksen ohitus -oikeus. Windows Server® 2008 R2-, Windows® 7-, Windows Server® 2008-, Windows Vista®-, Windows Server 2003- ja Windows XP -käyttöjärjestelmissä tämä oikeus on ryhmillä Järjestelmänvalvojat, Varmuuskopiointioperaattorit, Kaikki, Tehokäyttäjät ja Käyttäjät. Jos tiukka POSIX-standardien mukaisuus on tärkeää, poista Läpikulun tarkistuksen ohitus -oikeus kaikilta käyttäjiltä ja ryhmiltä Varmuuskopiointioperaattorit-ryhmää lukuun ottamatta. Jos haluat noudattaa monissa muissa UNIX-toteutuksissa root-käyttäjälle myönnettäviä oikeuksia, poista Läpikulun tarkistuksen ohitus -oikeus kaikilta käyttäjiltä Järjestelmänvalvojat- ja Varmuuskopiointioperaattorit-ryhmiä lukuun ottamatta.
Läpikulun tarkistuskäsittelyn poikkeukset su- ja setuid-komentoja varten
Root-käyttäjien, jotka suorittavat järjestelmää toisten käyttäjien oikeuksilla käyttämällä su-komentoa, ja käyttäjien, jotka käyttävät setuid-prosesseja (ja prosesseja, jotka sisältävät setuid-prosesseihin liittyviä kutsuja), toiminta poikkeaa edellä kuvatusta oletustoiminnasta, sillä he voivat käyttää joitakin hakemiston läpikulkuoikeuksia.
Kun Läpikulun tarkistuksen ohitus -oikeus poistetaan käyttäjätililtä, toiminta muuttuu POSIX-yhteensopivaksi. Kun root-käyttäjä yrittää suorittaa su-komennon mille tahansa toiselle käyttäjälle antamatta salasanaa, tulokseksi saatava istunto ei kuitenkaan toimi edellä kuvatulla tavalla. Prosessit, jotka käynnistetään sen jälkeen, kun root-käyttäjä on suorittanut su-komennon antamatta salasanaa, voivat käyttää hakemistopuuta ja siirtyä siinä, vaikka niillä ei välttämättä ole oikeuksia kaikkiin polun hakemistoihin.
Setuid-prosessit ja setuid-, seteuid- tai setreuid-kutsuja tekevät prosessit toimivat myös samalla tavalla. Jos nämä prosessit suorittavalta käyttäjätililtä on poistettu Läpikulun tarkistuksen ohitus -oikeus, prosessit voivat läpikäydä hakemistorakenteen, vaikka niillä ei ehkä ole oikeuksia kaikkiin rakenteen kansioihin.