Qual è il motivo per cui le autorizzazioni di accesso di tipo UNIX (sia quelle tradizionali del gruppo utenti che quelle estese) vengono classificate come una forma di DAC (controllo di accesso discrezionale) e non MAC (CA obbligatorio)?
Cosa sarebbe necessario per loro essere considerati come un sistema MAC?
Con le autorizzazioni dei file UNIX, il controllo degli accessi è a discrezione del proprietario del file. Il proprietario può scegliere di non avere alcun controllo sul file (ad es. 0777). Questo è distinto dai sistemi obbligatori, in cui il controllo degli accessi non è semplicemente il proprietario dell'oggetto.
Per capire veramente come si presenta un sistema MAC, per prima cosa sono necessarie alcune definizioni:
Il vero "problema" con gli ACL Unix è che "oggetto" si applica solo agli utenti. In un sistema di controllo degli accessi obbligatorio anche i processi stessi sono soggetti a pieno titolo. La ragione per cui gli ACL Unix sono discrezionali, quindi, è che i vari soggetti nel sistema sono autorizzati ad ereditare / assumere le autorizzazioni che l'utente o il gruppo ha.
I sistemi MAC non funzionano così. In un sistema MAC, un processo riceve le proprie regole e può essere in grado di estendersi oltre la potenza dell'utente o essere ulteriormente limitato rispetto all'utente, a seconda della politica.
Per trasformare questo sistema in un sistema MAC completo, probabilmente dovresti riprogettarlo: così com'è, non ha la capacità di supportare il MAC.
Nell'unix il creatore del file o della directory decide chi può accedervi. Unix distingue i diritti in tre diverse categorie di lettura, scrittura, esecuzione e struttura ad albero di gruppi di utenti diversi, gruppo proprietario altri.
In un sistema che usa MAC, il loro è un criterio centrale su cui i file possono accedere gli utenti.
Leggi altre domande sui tag access-control