A UNIX-alapú alkalmazások alrendszere (SUA) egy POSIX-kompatibilis alrendszert biztosít, amely képes a Microsoft® Windows® alkalmazások mellett natívan futtatni UNIX-rendszerhéjakat, -segédprogramokat és -alkalmazásokat is. A témakör azon felhasználóknak nyújt segítséget, akiknek a POSIX szabványnak megfelelő operációs rendszerre van szükségük.

POSIX-rendszerhéjkompatibilitás

Az SUA Korn rendszerhéj működése a hagyományos Korn rendszerhéjét követi, amely csaknem azonos a POSIX működésével. Ha szigorú POSIX-megfelelőségre van szükség - amit néhány munkakörnyezet megkíván - a Korn rendszerhéj és a POSIX közötti eltérések megtalálhatóak a ksh(1) dokumentációjában, amely a UNIX-alapú alkalmazások alrendszere segédprogramjait és szoftverfejlesztői csomagját tartalmazó letölthető csomag súgójában található.

A Korn rendszerhéj POSIX.2-megfelelőségének érdekében a Korn rendszerhéjat POSIX módban kell futtatni. A Korn rendszerhéj POSIX-módban történő futtatásához tegye a következők egyikét:

  • Futtassa a Korn rendszerhéjat az -o posix kapcsolóval.

  • Futtassa a set -o posix parancsot a rendszerhéjból.

  • Állítsa be a POSIXLY_CORRECT rendszerhéj-paramétert.

A POSIX-megfelelőség a C rendszerhéjban nem támogatott. A Korn rendszerhéjjal ellentétben a C rendszerhéj nem rendelkezik POSIX-módot beállító parancssori kapcsolóval.

A könyvtárra vonatkozó engedélyek bejárásellenőrzése

Alapértelmezés szerint a Windows felhasználóknak egy könyvtárfa mentén való mozgásra van engedélyük, mindamellett elképzelhető, hogy nincs az elérési út minden egyes könyvtárához hozzáférési joguk. POSIX rendszereken a felhasználó nem férhet hozzá egy adott könyvtárhoz, hacsak nem rendelkezik a könyvtárhoz vezető elérési út mentén elhelyezkedő minden egyes könyvtár hozzáférési jogával. Ez a POSIX-sajátosság bejárásellenőrzésként ismeretes. Ha például nincs hozzáférési joga egy könyvtárhoz, nem válthat az aktuális könyvtárról az adott könyvtár egyik alkönyvtárára sem. Ez akkor is igaz, ha az alkönyvtárakhoz rendelkezik hozzáférési jogokkal. Alapértelmezés szerint a Windows rendszerben átválthat az aktuális könyvtárról bármely olyan alkönyvtárra, amelyhez rendelkezik engedélyekkel.

A Windows rendszerben van egy speciális engedély – a Mappa bejárása, fájl végrehajtása engedély –, amelyet felhasználóhoz vagy csoporthoz állíthat be. Ezzel engedélyezheti vagy tilthatja az egy könyvtárfa mentén való mozgást. A Mappa bejárása engedélyt csak akkor alkalmazza a rendszer, ha a Csoportházirend beépülő programban a csoport vagy a felhasználó nem rendelkezik a Bejárás ellenőrzésének mellőzése felhasználói engedéllyel. Alaphelyzetben a Microsoft Windows 2000-ben a Mindenki csoport rendelkezik a Bejárás ellenőrzésének mellőzése felhasználói engedéllyel. A Windows Server® 2008 R2, Windows® 7, Windows Server® 2008, Windows Vista®, Windows Server 2003 és Windows XP operációs rendszerekben a Rendszergazdák, a Biztonságimásolat-felelősök, a Mindenki, a Kiemelt felhasználók és a Felhasználók csoport mind rendelkezik ezzel a joggal. Ha a POSIX szabványoknak való szigorú megfelelés a cél, törölje – a Biztonságimásolat-felelősök csoport kivételével – minden felhasználó és csoport Bejárás ellenőrzésének mellőzése felhasználói engedélyét. Ha – számos más UNIX-implementációhoz hasonlóan – a rendszergazdák számára meg kívánja adni ezt a jogot, törölje – a Rendszergazdák és a Biztonságimásolat-felelősök csoport kivételével – minden felhasználó és csoport Bejárás ellenőrzésének mellőzése felhasználói engedélyét.

A bejárás-ellenőrzés viselkedés eltérése su és setuid beállítások esetén.

Azok a gyökérfelhasználók, akik a su parancsot használják a más felhasználó nevén történő futtatáshoz, és azok a felhasználók, akik a setuid folyamatokat (és a setuid parancshoz kapcsolódó hívásokat tartalmazó folyamatokat) használják, eltérnek a fent leírt alapértelmezés szerinti viselkedéstől, azzal, hogy bizonyos könyvtárbejárási jogokkal rendelkeznek.

A Bejárás ellenőrzésének mellőzése jog eltávolítása a felhasználói fiókoktól POSIX-kompatibilis viselkedést eredményez. Amikor azonban egy gyökérfelhasználó más felhasználónév alatt megpróbálja futtatni a su parancsot jelszó nélkül, az eredményként jelentkező munkamenet nem a fent leírt viselkedést mutatja. A gyökérfelhasználó által jelszó nélkül futtatott su parancs után kezdett folyamatok hozzáférhetnek és módosíthatják a könyvtárfát annak ellenére, hogy nem mindig rendelkeznek az elérési úton lévő összes könyvtárhoz hozzáférési engedéllyel.

A Setuid folyamatok és a setuid, seteuid vagy setreuid parancsokat hívó folyamatok szintén ugyanilyen viselkedést tanúsítanak. Amennyiben az ilyen folyamatokat futtató felhasználó fiókjától eltávolítja a Bejárás ellenőrzésének mellőzése jogosultságot, a folyamatok végig tudnak haladni a könyvtárfán, annak ellenére, hogy nem mindig rendelkeznek az elérési úton lévő összes könyvtárhoz hozzáférési engedéllyel.

Lásd még