Стандартные модели доступа Unix

В последние годы было проведено много исследований в области гибкого управления доступом. Надо отметить, что все эти методы предназначены для квалифицированных пользователей и требуют специальной настройки.

Однако в результате можно получить защищенную систему, способную выстоять даже при постоянных атаках. Начнем с обзора стандартных моделей доступа Unix.


Дискретное управление доступом (Discretionari Access Control, DAC)


DAC - это формальное имя стандартной системы пользователей и прав доступа, которая признана всеми Unix-пользователями. В данной системе доступ к объекту (например к файлу) контролируется владельцем данного объекта с помощью прав доступа.

Владелец может контролировать не только тех пользователей, которыми положен доступ к объекту, но и контролировать режим доступа (например, чтение, запись, выполнение).

Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.


Модель тип-домен (Domain Type Enforcement, DTE)

- это одна из реализаций MAC, основанная на концепции минимальных привилегий: процессу должны быть предоставлены минимально необходимые привилегии (то есть только те, которые реально обязательны процессу).В DTE объекты (файлы) формируют типы, а субъекты (процессы) - домены.

Таблица DDT (Domain Defination Table - таблица определения домена) описывает, как домены и типы могут взаимодействовать друг с другом.


Списки управления доступом (Access Control Lists, ACL)


Unix-система права доступа файлов определены режимами файлов:

битов задают, кто может получить доступ к этому файлу, и определяют режимы доступа. Так как для прав доступа применяются 9 битов, то это позволяет создать три класса пользователей (владелец, группа, остальные) и три класса доступа (чтение, запись, выполнение).

Файловые системы ext2 и ext3 (обе в настоящее время используется в Linux-системах) поддерживают расширенные атрибуты файлов (Extended Attributes, EA), позволяющие задать дополнительные параметры в виде пары имя: значение для каждого файла.

Расширенные атрибуты могут употребляться для обслуживания прав доступа для дополнительных групп пользователей, что дает возможность создавать списки управления доступом (ACL), ACL надо считать расширением традиционной модели прав доступа.


Управление доступом на основе ролей (Role-based Access Control, RBAC)


В RBAC-системе каждому пользователю назначены одна или несколько определенных ролей (роль и UID - это не одно и то же), которые он может реализовывать в системе, то есть некоторые действия, которые разрешены этому пользователю.


Мандатное управление доступом (Mandatory Access Control, MAC)


В MAC-системе доступ к объекту контролируется не владельцем, а администратором системы. По сути, это еще одна система со всемогущей учетной записью администратора вместо распределения задач по администрированию между отдельными пользователями. MAC - это только теоретическая модель, на которой базируется некоторые другие системы управления доступом.


Мандатная модель ОС МСВС 3.0

доступ домен файл мандатный

Система мандатного управления доступом доставляет много проблем начинающим разработчикам под МСВС. Типичная проблема - невозможность работы с файлами, доступ к которым закрыт мандатными метками. Обычно эту проблему объясняют глючностью МСВС. Хотя дело вовсе не в МСВС. Всё дело в неправильном применении мандатных меток. А неправильное использование меток связано с непониманием основных принципов мандатного управления доступом. В этой статье я изложу основные принципы мандатной модели - основы безопасного доступа к файлам в этой операционной системе. Я специально не стал описывать практическую сторону вопроса, чтобы сфокусировать внимание именно на основах модели.

Ни для кого не секрет, что МСВС на самом деле есть старый, добрый RedHat (больше старый, чем добрый). Эти две операционные системы отличаются не многим. Кроме измененных картинок рабочего стола, и флага РФ на диалоге входа пользователей в систему, есть несколько различий, связанных с ограничениями, накладываемыми допусками к закрытым сведениям. Одним из таких отличий является присутствие в МСВС кроме дискреционного, ещё и мандатного управления доступом. Кроме повышенного уровня безопасности это доставляет ещё и проблемы, при разработке программ.

Кроме описанных выше проблем, бывают и более интересные случаи. Есть база данных, хранящаяся на сервере. С этой базой невозможно работать с компьютера, на котором установлен не нулевой уровень доступа. А дело в том, что МСВС во все отправляемые пакеты добавляет информацию о текущем уровне секретности, что делает эти пакеты непригодными для чтения.

При бездумном назначении мандатных меток общим для всех пользователей файлов, они становятся недоступными для некоторых пользователей. В результате, вход в систему невозможен.

Есть ещё много проблем. Все эти проблемы не так сложны, если знать чем они вызваны и как их решить. Но на практике, не всегда ясно, чем вызван сбой. А как решить проблему тем более не ясно. Кроме того, в библиотеке Qt 4.2 (насколько мне известно, 4.2 - текущая сертифицированная для МСВС версия библиотек) по ясным причинам отсутствуют классы для работы с мандатными метками. Всё это вместе осложняет жизнь разработчику.

В основе мандатного управления доступом в ОС МСВС лежит мандатная модель безопасности Белла-Ла Падулы. Эта модель основывается на правилах секретного документооборота применяемых во многих странах.

В отличие от дискреционного управления, в котором пользователям непосредственно прописываются права на чтение, запись и выполнение, в мандатной модели управление доступом происходит неявным образом. Всем пользователям (субъектам) и файлам (объектам) назначаются уровни доступа. Например, «секретно», «совершенно секретно».

Пример иерархии уровней доступа:


Уровни доступа упорядочиваются по доминированию одного уровня над другим. Затем доступ к защищённым файлам осуществляется по двум простым правилам:

. Пользователь имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.

Это правило обеспечивает защиту информации, обрабатываемой более высокоуровневыми пользователями, от доступа со стороны низкоуровневых пользователей.

. Пользователь имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Это правило предотвращает нарушение режима доступа со стороны высокоуровневых участников процесса обработки информации к низкоуровневым пользователям.

Проиллюстрируем оба правила рисунком:


На рисунке изображены отношения пользователя с уровнем «секретно» с субъектами в трехуровневой мандатной модели.

Причем, «совершенно секретно» > «секретно» > «не секретно»

Таким образом, назначив всем объектам и субъектам уровни доступа, мы определим все допустимые взаимодействия внутри системы. Из выше описанных правил видно, что мандатное управление доступом не ограничивает взаимодействие объектов и субъектов, находящихся на одном уровне доступа. Поэтому, для эффективного управления доступом, мандатная модель применяется совместно с дискреционной, которая описывает взаимодействие объектов и субъектов, находящихся на одном уровне.

В модели Белла-Ла Падулы имеется только два вида доступа: чтение и запись. Если необходимы другие виды доступа: например, выполнение, то они все равно будут сводиться к чтению и записи. Это связано с тем, что в модели регистрируются не действия пользователей над файлами, а потоки информации. Которые могут быть двух видов: от пользователя к файлу (запись), и от файла к пользователю (чтение).

Дальнейшее развитие модели Белла-Ла Падулы привело к появлению множества мандатных моделей. Тем не менее, модель Белла-Ла Падулы является классической моделью мандатного управления доступом.

Понимание этих основных принципов модели, позволит избежать многих проблем связанных с мандатным доступом к файлам, а возможно, даже поможет правильно настроить доступ в системе.


Источники


1.#"justify">2.#"justify">.В. Олифер, Н. Олифер «Компьютерные сети. Принципы, технологии, протоколы» - 4 издание - 2010 год.



Похожие материалы:

Автор и повествователь в рассказе Н.С.Лескова «Левша»

Для подготовки данной работы были использованы.

Опричнина

В особенности ясен и действителен был этот прием в Великом Новогороде при Иване III и в Казане при самом Иване IV. Лишаемый местной. Для усиления средств опричнины Грозный поймал в опричнину весь московский север. Мало помалу опричнина. Тогда ше никто не понимал что этот террор большего всего подрывал силы самого правительства и готовил ему жестокие неудачи вне и кризис внутри государства. До. Суть опричнины состояла в том что Грозный применил к.

Особенности зрения человека

. Принцип строения зрительного анализатора. Центры головного мозга анализирующие восприятие. Са и зрительный каскад. Любое ощущение имеет параметра пространственный временной коли ПЛАН.

Грипп: основы этиологии, эпидемиологии, вакцинация

В течение многих столетий и вплоть до середины XIX в. грипп и гриппоподобные заболевания описывались под различными названиями. ЭТИОЛОГИЯ На настоящее время группа гриппозных вирусов исчерпывается пока тремя серологическими типами А В и С. Темпы распространения гриппа А в первую очередь зависят от появления его новых антигенных вариантов. За время жизни одного поколения людей гг. в мире. Грипп grippus острое вирусное заболевание.

Cоциальные мотивы в лирике А. Блока

Все ли спокойно в народе так в форме вопроса звучит название одного из ранних стихотворений Блока. Народ неспокоен он власти. Поднимались из тьмы погребов стихотворение о пробуждении в народе недовольства желания изменить. В году Блок пишет два стихотворения в которых он в поэтической форме выражает идею свержения самодержавия как историческую необходимость. Предчувствие. Поэтическое творчество А. Блока одного из.