Qualcuno può spiegare a me l'RBAC?

Naviga le tue risposte
4

Da link

Contrariamente al modello DAC, che è orientato agli oggetti, il modello RBAC di AzMan tenta di orientare l'esperienza amministrativa comune attorno ai ruoli degli utenti. Anziché assegnare autorizzazioni agli oggetti, un framework RBAC di AzMan consente alle applicazioni di presentare agli amministratori un'esperienza di gestione più allineata con la struttura organizzativa di un'azienda. AzMan RBAC fornisce un oggetto centrale, un ruolo, assegnato a un utente per eseguire un particolare lavoro o una funzione dell'applicazione. Idealmente, un'applicazione RBAC è progettata in modo tale che l'amministratore richieda meno conoscenza della struttura di archiviazione dell'oggetto. Questo approccio può essere utilizzato se l'applicazione RBAC fornisce un'astrazione di semplificazione in raccolte di risorse denominate scope.

Qualcuno può spiegarmi come questo è diverso dagli ACL degli utenti / gruppi?

per es.

Dire che voglio che i manager abbiano accesso in lettura a / mnt / network_performance_reports, che gli amministratori di sistema abbiano accesso completo in lettura / scrittura e che tutti gli altri non abbiano accesso.

Penserei che (su Linux con POSIX ACL, non conosco veramente Windows) potrei

  • imposta un ACL predefinito su / mnt in modo che tutto sotto esso sia effettivamente chmod 0700 (directory) o 0600 (file).
  • crea un gruppo di amministratori di sistema e imposta un ACL predefinito di lettura / scrittura per amministratori di sistema
  • crea un gruppo di gestori e imposta un ACL predefinito di sola lettura per i gestori

Non è esattamente facile da gestire (non centralizzato, blech!) ma fa la stessa cosa, vero? Non penso di capire abbastanza il concetto.

Quando le persone parlano di RBAC nei sistemi operativi, stanno effettivamente parlando di un livello di astrazione sui sistemi MAC / DAC per rendere la gestione di quelle più semplice per le grandi organizzazioni? O stanno parlando di qualcosa che è diverso internamente ; cioè è associato a metodi e strutture dati completamente diversi nel kernel del sistema operativo?

    
posta DanL4096 18.07.2014 - 15:37
fonte

5 risposte

2

In primo luogo, penso che dovremmo chiarire il vocabolario. DAC significa controllo di accesso discrezionale, il che significa che qualcuno (da definire) può decidere chi accede a cosa all'interno del sistema, quando MAC, controllo obbligatorio degli accessi, tende a riguardare sistemi in cui l'accesso non può essere fornito all'interno del sistema. A mio avviso, né DAC né MAC implicano un'implementazione specifica.

Riguardo a RBAC nel mondo UNIX, IBM ha una buona spiegazione sul perché questo è importante: link . L'implementazione AIX RBAC implementa una partizione dell'insieme di tutti gli accessi root e consente a ruoli specifici di avere accesso amministrativo specifico (sulla rete, sulle password e così via)

Il tuo esempio con amministratori di sistema e gestori è buono, sebbene limitato allo spazio utente e all'accesso ai file.

Quindi, riguardo alla tua ultima domanda sulla posizione di un'implementazione RBAC UNIX (layer o interni diversi), sembra che dipenda in gran parte da quale accesso stiamo parlando.

  • Se si tratta dell'accesso ai file, l'RBAC può essere implementato con funzioni esistenti, sebbene le risorse a cui un ruolo può accedere non siano gestite centralmente come lei ha menzionato. Uno strato di astrazione potrebbe occuparsene.
  • se gli accessi root devono essere divisi in molti accessi (l'implementazione AIX RBAC), quindi suppongo che sia necessario un lavoro interno con nuovi metodi e strutture dati nel kernel del sistema operativo.

Spero che questo aiuti, Cordiali saluti,

    
risposta data 30.07.2014 - 22:37
fonte
0

Risposta per i commenti di @woliveirajr sopra. In teoria, non vi è alcuna differenza tra RBAC "minimo" implementato nelle autorizzazioni del file system e ACL che applicano le autorizzazioni solo ai gruppi. Quindi suppongo che l'implementazione di Windows sia un livello di astrazione sugli ACL di Windows, piuttosto che un sistema di autorizzazioni separato che utilizza il proprio driver o simili.

    
risposta data 18.07.2014 - 16:56
fonte
0

Dovresti controllare la fonte autorevole per RBAC, vale a dire il NIST. Hanno un intero sito web dedicato all'RBAC.

risposta data 19.07.2014 - 03:15
fonte
0

Dopo aver fatto una piccola ricerca sulla tua domanda, ho letto che sia il MAC che il DAC possono essere implementati con RBAC.

Ovviamente c'è una chiara connessione tra RBAC e DAC quando si tratta semplicemente di mantenere ACL. RBAC sembra essere solo uno stile di organizzazione di livello superiore, meno granulare. L'RBAC è più appropriato per gestire aspetti come la separazione dei doveri, oltre al controllo dell'accesso agli oggetti dati.

    
risposta data 19.07.2014 - 10:19
fonte
0

RBAC utilizza un insieme di politiche e set di regole per limitare le azioni di più utenti, incluso root, quindi, in sostanza, rende inutilizzabili gli exploit root locali. L'RBAC di Grsecurity è il mio preferito, limita l'output di dmesg () e netstat () in modo che l'attaccante non possa trovare alcuna informazione utile per attaccare il sistema.

    
risposta data 24.07.2014 - 02:57
fonte

Leggi altre domande sui tag

Attacco SSH MITM in corso Queste precauzioni sono sufficienti per l'imbroglio?