Perché gli ACL simili a UNIX non sono una forma di MAC

2

Qual è il motivo per cui le autorizzazioni di accesso di tipo UNIX (sia quelle tradizionali del gruppo utenti che quelle estese) vengono classificate come una forma di DAC (controllo di accesso discrezionale) e non MAC (CA obbligatorio)?

Cosa sarebbe necessario per loro essere considerati come un sistema MAC?

    
posta peterph 05.04.2013 - 11:15
fonte

3 risposte

4

Con le autorizzazioni dei file UNIX, il controllo degli accessi è a discrezione del proprietario del file. Il proprietario può scegliere di non avere alcun controllo sul file (ad es. 0777). Questo è distinto dai sistemi obbligatori, in cui il controllo degli accessi non è semplicemente il proprietario dell'oggetto.

    
risposta data 05.04.2013 - 14:31
fonte
3

Per capire veramente come si presenta un sistema MAC, per prima cosa sono necessarie alcune definizioni:

  • Soggetto. Questo è il componente che richiede l'accesso a un oggetto.
  • Oggetto. Questo è l'oggetto su cui è richiesto l'accesso.
  • Attività. Questo è il tipo di azione che il soggetto desidera eseguire sull'oggetto.

Il vero "problema" con gli ACL Unix è che "oggetto" si applica solo agli utenti. In un sistema di controllo degli accessi obbligatorio anche i processi stessi sono soggetti a pieno titolo. La ragione per cui gli ACL Unix sono discrezionali, quindi, è che i vari soggetti nel sistema sono autorizzati ad ereditare / assumere le autorizzazioni che l'utente o il gruppo ha.

I sistemi MAC non funzionano così. In un sistema MAC, un processo riceve le proprie regole e può essere in grado di estendersi oltre la potenza dell'utente o essere ulteriormente limitato rispetto all'utente, a seconda della politica.

Per trasformare questo sistema in un sistema MAC completo, probabilmente dovresti riprogettarlo: così com'è, non ha la capacità di supportare il MAC.

    
risposta data 05.04.2013 - 12:32
fonte
2

Nell'unix il creatore del file o della directory decide chi può accedervi. Unix distingue i diritti in tre diverse categorie di lettura, scrittura, esecuzione e struttura ad albero di gruppi di utenti diversi, gruppo proprietario altri.

In un sistema che usa MAC, il loro è un criterio centrale su cui i file possono accedere gli utenti.

    
risposta data 05.04.2013 - 11:28
fonte

Leggi altre domande sui tag