| Red Hat Enterprise Linux 4: Introdução à Administração de Sistemas | ||
|---|---|---|
| Anterior | Capítulo 6. Administrando Contas de Usuário e Acesso a Recursos | Próxima |
Criar contas de usuário é somente uma parte do trabalho de um administrador de sistemas. A administração dos recursos dos usuários também é essencial. Sendo assim, devemos considerar três pontos:
Quem pode acessar os dados compartilhados
Onde os usuários acessam estes dados
Quais são as barreiras para evitar o abuso de recursos
As seções seguintes trazem uma breve revisão destes tópicos.
O acesso de um usuário a uma determinada aplicação, arquivo ou diretório é determinado pelas permissões dadas à aplicação, ao arquivo ou ao diretório.
Além disso, geralmente é útil conceder permissões diferentes a categorias diferentes de usuários. Por exemplo: o armazenamento temporário compartilhado deve ser capaz de evitar remoções acidentais (ou maléficas) dos arquivos de um usuário por outros usuários, enquanto deve permitir acesso completo ao proprietário (owner).
Um outro exemplo é o acesso atribuído ao diretório home de um usuário. Somente o proprietário (owner) do diretório home deve ser capaz de criar ou visualizar arquivos ali. Os outros usuários devem ter todo o acesso negado (a não ser que o usuário queira o contrário). Isto aumenta a privacidade do usuário e evita a possível desapropriação de arquivos pessoais.
Não obstante, há diversas situações nas quais usuários múltiplos precisam de acesso aos mesmos recursos de uma máquina. Nestes casos, pode ser necessário criar grupos compartilhados cuidadosamente.
Conforme mencionado na introdução, grupos são construções lógicas que podem ser usadas para agrupar contas de usuários para um propósito específico.
Ao administrar os usuários de uma empresa, é bom identificar quais dados devem ser acessados por determinados departamentos, quais dados devem ser negados aos outros, e quais dados devem ser compartilhados entre todos. Determinar estas questões auxilia na criação de uma estrutura apropriada de grupos, juntamente às permissões apropriadas para os dados compartilhados.
Por exemplo: assuma que o departamento de contas a receber deve manter uma lista das contas inadimplentes de seus pagamentos. Eles também devem compartilhar esta lista com o departamento de cobrança. Se as contas dos funcionários de ambos departamentos, contas a pagar e cobrança, são membros de um grupo chamado contas, estas informações podem ser inseridas num diretório compartilhado (de propriedade do grupo contas) com permissões de leitura e gravação (read and write) para o grupo no diretório.
Aqui estão alguns dos desafios enfrentados pelos administradores de sistemas ao criar os grupos:
Quais grupos criar
Quem deve ser inserido num determinado grupo
Que tipos de permissões estes recursos compartilhados devem ter
É muito útil estabelecer uma estratégia de bom senso para estas questões. Uma das possibilidades é espelhar a estrutura de sua empresa na criação dos grupos. Por exemplo: se há um departamento de finanças, crie um grupo chamado finanças e torne todos os funcionários do departamento de finanças membros deste grupo. Se as informações financeiras são muito delicadas para a empresa como um todo, mas essenciais para os gerentes sêniors da empresa, então dê a eles permissões de grupo para acessar os diretórios e dados usados pelo departamento de finanças, adicionando todos os gerentes sêniors ao grupo finanças.
Também é aconselhável ser cuidadoso ao conceder permissões aos usuários. Desta maneira, as informações delicadas têm menor probabilidade de cair em mãos erradas.
Ao criar a estrutura de grupos de sua empresa desta maneira, é possível atender às necessidades de acesso a dados compartilhados de forma segura e eficaz.
Ao compartilhar dados entre usuários, é comum ter um servidor central (ou um grupo de servidores) que disponibiliza determinados diretórios para outras máquinas da rede. Desta maneira, os dados são armazenados em um lugar; não é necessário sincronizar os dados entre diversas máquinas.
Antes de adotar esta estratégia, você deve primeiro determinar quais sistemas devem ter acesso aos dados armazenados centralmente. Ao fazer isso, anote os sistemas operacionais usados pelos sistemas. Estas informações são importantes para sua habilidade em implementar uma estratégia como esta, pois seu servidor de armazenamento deve ser capaz de servir seus dados para cada um dos sistemas operacionais utilizados na sua empresa.
Infelizmente, uma vez que os dados são compartilhados entre os diversos computadores de uma rede, o potencial de conflitos pela propriedade do arquivo pode aumentar.
Há benefícios no caso dos dados serem armazenados centralmente e acessados por diversos computadores através de uma rede. Entretanto, assuma por um momento que cada um destes computadores tem uma lista de contas de usuários mantida localmente. E se a lista de usuários em cada um destes sistemas não for consistente com a lista de usuários no servidor central? Pior ainda, e se as listas de usuários em cada um destes sistemas não forem consistentes nem mesmo entre si?
Muitas destas questões dependem de como os usuários e as permissões de acesso são implementadas em cada sistema, mas em alguns casos é possível o usuário A de um sistema ser conhecido como usuário B em outro sistema. Isto torna-se um problema latente quando os dados são armazenados entre estes dois sistemas, já que os dados que o usuário A tem permissão para acessar de um sistema também podem ser lidos pelo usuáro B de outro sistema.
Por este motivo, muitas empresas usam algum tipo de banco de dados central dos usuários. Isto garante que não ocorra sobreposições entre as listas de usuários de sistemas diferentes.
Uma outra questão enfrentada por administradores de sistemas é decidir se os usuários devem ou não ter diretórios home armazenados centralmente.
A principal vantagem dos diretórios home centralizados num servidor ligado à rede é que, se o usuário se autenticar em qualquer máquina da rede, ele poderá acessar os arquivos de seu diretório home.
A desvantagem é que, se a rede cair, os usuários da empresa toda não poderão acessar seus arquivos. Em algumas situações (como em empresas que adotam o uso geral de laptops), talvez não seja quisto ter diretórios home centralizados. Mas, se faz sentido para sua empresa, implementar diretórios home centralizados pode facilitar bastante a vida do administrador de sistemas.
A organização de grupos e a atribuição de permissões para recursos compartilhados feitos de maneira cuidadosa estão dentre as coisas mais importantes que um administrador de sistemas pode fazer para evitar o abuso de recursos dentre os usuários de uma empresa. Desta maneira, aqueles que não devem ter acesso aos recursos delicados têm o acesso negado.
Não importa como a sua empresa se comporta; a melhor proteção contra o abuso de recursos é sempre a vigilância por parte do administrador de sistemas. Manter seus olhos bem abertos frequentemente é a única maneira de evitar uma surpresa desagradável esperando por você em sua mesa.