Практические кейсы и задания по работе с DAC

Вы - системный администратор в школьной физико-математической лаборатории. Необходимо организовать хранилище данных для различных исследовательских проектов с разным уровнем доступа для участников.

Настроить структуру каталогов и разграничение доступа в Linux-системе для следующих ролей:

• Руководители проектов (полный доступ к своим проектам)
• Исследователи (чтение/запись в рабочие директории, только чтение документации)
• Студенты-практиканты (только чтение определенных материалов)
• Технический персонал (доступ только к директории с ПО)

1. Создайте структуру каталогов:

   /projects/
     ├── physics/
     │   ├── docs/
     │   ├── data/
     │   └── results/
     ├── mathematics/
     │   ├── docs/
     │   ├── data/
     │   └── results/
     └── software/
   

2. Создайте группы пользователей:

   • physics_leads
   • physics_researchers
   • math_leads
   • math_researchers
   • students
   • tech_staff

3. Назначьте базовые разрешения, например:

   • Для директорий проектов: 750 (rwxr-x—)
   • Для общих материалов: 755 (rwxr-xr-x)
   • Для рабочих данных: 770 (rwxrwx—)

4. Установите нужные ACL для специфических случаев доступа

1. Какие проблемы могут возникнуть, если исследователь скопирует данные за пределы защищенной структуры?
2. Как реализовать доступ студента только к определенным файлам проекта?
3. Что произойдет, если файл будет создан с неправильными разрешениями по умолчанию?

В вашей школе внедрена информационная система для хранения данных об успеваемости. Необходимо настроить разграничение доступа к данным согласно политике безопасности.

Настроить DAC в Windows-системе для следующих категорий пользователей:

• Администрация (полный доступ ко всем данным)
• Учителя (доступ к данным своих предметов и классов)
• Классные руководители (полный доступ к данным своего класса)
• Ученики (доступ только к своим оценкам)
• Родители (доступ к оценкам своих детей)

1. Создайте структуру папок с учетом категорий данных:

   D:\SchoolSystem\
     ├── Administration\
     ├── Classes\
     │   ├── Class_10A\
     │   ├── Class_10B\
     │   └── ...
     ├── Subjects\
     │   ├── Physics\
     │   ├── Mathematics\
     │   └── ...
     └── Students\
         ├── Personal_Files\
         └── Grades\
   

2. Настройте группы безопасности Windows:

   • School_Admins
   • Teachers
   • Class_Leaders
   • Students
   • Parents

3. Установите базовые разрешения через интерфейс “Свойства > Безопасность”

4. Используйте дополнительные разрешения для особых случаев

1. Какие действия следует предпринять при переводе ученика из одного класса в другой?
2. Как реализовать доступ замещающего учителя к данным только на период замены?
3. Какие недостатки имеет данная схема с точки зрения масштабируемости?

Вы участвуете в международном научном проекте, где необходимо обеспечить совместный доступ к базе данных экспериментальных результатов.

Разработать схему прав доступа для СУБД MySQL/MariaDB с учетом следующих ролей:

• Главный исследователь (полный доступ)
• Участники эксперимента (чтение всех данных, запись только своих результатов)
• Аналитики (только чтение всех данных)
• Внешние рецензенты (ограниченный доступ на чтение)

1. Спроектируйте структуру базы данных с учетом требований безопасности:

   • Таблицы с данными экспериментов
   • Таблицы с результатами анализа
   • Таблицы с метаданными и документацией

2. Создайте пользователей и назначьте привилегии:

   • Для главного исследователя: все привилегии на базу данных
   • Для участников: SELECT на все таблицы, INSERT/UPDATE только в таблицы своих результатов
   • Для аналитиков: только SELECT на все таблицы данных
   • Для рецензентов: SELECT только на определенные представления данных

3. Используйте представления (VIEW) для ограничения доступа к отдельным столбцам или записям

1. Как реализовать ограничение на редактирование данных после определенной даты?
2. Какие механизмы аудита можно включить для отслеживания доступа к данным?
3. Как обеспечить безопасность при доступе к базе данных через интернет?

Ваша команда разрабатывает программное обеспечение для моделирования физических процессов. Необходимо организовать совместную работу над кодом с разграничением доступа.

Настроить репозиторий Git с применением DAC:

• Руководитель проекта (полный доступ)
• Старшие разработчики (полный доступ к определенным модулям, возможность утверждения изменений)
• Младшие разработчики (только внесение изменений в определенные директории)
• Тестировщики (только чтение и создание issues)

1. Создайте репозиторий с правильной структурой каталогов

2. Настройте защищенные ветки (protected branches):

   • main - только для утвержденных изменений
   • develop - для интеграции проверенного кода
   • Тематические ветки для отдельных компонентов

3. Настройте правила для pull request:

   • Обязательное утверждение старшими разработчиками
   • Прохождение автоматических тестов
   • Соответствие стандартам кодирования

4. Определите правила доступа к различным частям репозитория

1. Как обеспечить защиту от случайного или намеренного удаления кода?
2. Какие механизмы можно использовать для контроля качества вносимых изменений?
3. Как реализовать временный доступ для внешнего консультанта?

В школе хранятся персональные данные, результаты психологических тестов и медицинская информация об учащихся. Требуется обеспечить защиту этих данных в соответствии с законодательством.

Разработать политику безопасности и настроить DAC для защиты конфиденциальных данных:

• Директор (доступ ко всем данным)
• Заместители директора (доступ к определенным категориям данных)
• Психолог (доступ только к психологическим данным)
• Медработник (доступ только к медицинским данным)
• Классные руководители (ограниченный доступ к данным своего класса)

1. Классифицируйте данные по уровням конфиденциальности:

   • Общедоступные данные
   • Персональные данные общего характера
   • Конфиденциальные персональные данные
   • Особо чувствительные данные

2. Создайте изолированные хранилища для разных типов данных

3. Настройте разграничение доступа с использованием:

   • Стандартных прав доступа ОС
   • Шифрования для особо чувствительных данных
   • Журналирования всех операций доступа

4. Разработайте регламент доступа к данным в экстренных ситуациях

1. Какие механизмы DAC недостаточны для защиты особо чувствительных данных?
2. Как обеспечить баланс между безопасностью и доступностью данных?
3. Какие дополнительные меры (помимо DAC) необходимы для полной защиты?

Проведите аудит настроек доступа в вашей домашней или школьной системе:

1. Проанализируйте права доступа к важным файлам и каталогам
2. Выявите потенциальные уязвимости и небезопасные настройки
3. Предложите меры по устранению найденных проблем
4. Составьте отчет с рекомендациями

Для одного из приведенных выше кейсов:

1. Определите возможные угрозы безопасности данных
2. Оцените вероятность и потенциальный ущерб от каждой угрозы
3. Определите, какие из угроз не могут быть предотвращены только средствами DAC
4. Предложите комплексное решение по защите данных

Сравните реализации DAC в различных системах:

1. Windows (NTFS ACL)
2. Linux (стандартные разрешения и расширенные ACL)
3. macOS (комбинация UNIX-прав и ACL)
4. Сетевые файловые системы (NFS, SMB/CIFS)

Составьте сравнительную таблицу по критериям:

• Гранулярность контроля
• Удобство администрирования
• Производительность
• Интеграция с другими механизмами безопасности

Спроектируйте систему доступа для школьного сервера, реализующую принцип наименьших привилегий:

1. Определите все категории пользователей и их потребности в доступе
2. Создайте детальную матрицу доступа
3. Предложите техническую реализацию с использованием DAC
4. Обоснуйте выбор конкретных механизмов и настроек

Проведите эксперимент по оценке эффективности различных конфигураций DAC:

1. Настройте тестовую среду с различными вариантами разграничения доступа
2. Разработайте методику тестирования защищенности
3. Проведите моделирование нескольких типов атак
4. Проанализируйте результаты и сделайте выводы об эффективности