© Георгиевский Анатолий, 19.11.2005

Наш опыт развертывания кластера на Виндовс выявил низкую защищенность кластера. Ситуация, когда на ваш персональный компьютер некий "продвинутый" пользователь запускает троянского коня или выключает вам компьютер никак не исключается. В частности, нами было показано, что любой непривилегированный пользователь может удаленно включить и выключить компьютер с MPI и легко получить доступ на чтение ваших документов. Можно, например, под MPI запустить коммандный процессор (cmd.exe) и получить терминальный доступ к вашему компьютеру, откуда подключать удаленные диски, копировать файлы и совершать любые другие слабо контролируемые действия. Раздолье для хакеров.

Вряд ли можно совсем исключить такую ситуацию, однако можно сформулировать несколько базовых принципов организации сообщества пользователей ПК для объединения вычислительных ресурсов.

Настройка безопасности компьютеров для работы в кластере

Дисковые квоты

Для работы вычислительных задач часто требуется дисковое пространство для временного хранения результатов. Декларируется, что любая MPI-программа намеренно или по ошибке может заполнить весь объем выделенного дискового пространства. Квоты выделения дискового пространства должны быть выставлены для пользователя, от имени которого запускается процесс. Включить управление квотами на локальном компьютере можно "диск X:"/"Свойства"/"Квота"/...

Настройка безопасности каталогов

Для удаленного пользователя ПК можно ограничить доступ к папкам и документам других пользователей. Для каждой папки или группы папок можно установить ограничение доступа, владельца и администратора прав доступа. Исторически сложилось, что я все свои документы храню на диске "D" и сортирую по нескольким папкам: "личное", "проекты", "временное", "дистрибутивы", "статьи/документация" .. - эта структура живет в моем каталоге "Анатолий Георгиевский". Назначение прав не вызывает сомнений: себе можно позволить всё; "временное" - хлам, никому не нужный, "документация" - всем читать, не стирать, не редактировать, допускается создавать новые файлы, "проекты" - доступ на чтение/изменение для рабочих групп, если проект ведется коллективно, и т.д..

В Виндовс управление правами доступа к каталогам возможно только на дисках с NTFS. Операции настройки прав доступ осуществляются из раздела "Свойства"/"Безопасность". Прежде всего стоит отказать в доступе супер-пользователю "Все". "Дополнительно" можно назначать владельца каталога и сбрасывать разрешения на подкаталоги.

Если вы привыкли хранить свои документы в папке "Мои документы" или на работчем столе, то виндовс самостоятельно следит за обеспечением безопасности ваших документов. Никакой другой пользователь, кроме "администратора" и "системы" не может получить доступ к вашим документам. НЕ требуется настраивать системные каталоги "Documents and Settings", "Program Files" и "WINNT". Политики безопасностии по умолчанию не допускают изменения содержимого этих папок без ведома владельца или системного администратора.

При создании вложенных каталогов права доступа наследуются. При создании папки в корне диска права доступа наследуются от корня диска. Можно щелкнуть мышкой на иконку диска и настроить наследуемые политики безопасности.

()