Per capire veramente come si presenta un sistema MAC, per prima cosa sono necessarie alcune definizioni:
- Soggetto. Questo è il componente che richiede l'accesso a un oggetto.
- Oggetto. Questo è l'oggetto su cui è richiesto l'accesso.
- Attività. Questo è il tipo di azione che il soggetto desidera eseguire sull'oggetto.
Il vero "problema" con gli ACL Unix è che "oggetto" si applica solo agli utenti. In un sistema di controllo degli accessi obbligatorio anche i processi stessi sono soggetti a pieno titolo. La ragione per cui gli ACL Unix sono discrezionali, quindi, è che i vari soggetti nel sistema sono autorizzati ad ereditare / assumere le autorizzazioni che l'utente o il gruppo ha.
I sistemi MAC non funzionano così. In un sistema MAC, un processo riceve le proprie regole e può essere in grado di estendersi oltre la potenza dell'utente o essere ulteriormente limitato rispetto all'utente, a seconda della politica.
Per trasformare questo sistema in un sistema MAC completo, probabilmente dovresti riprogettarlo: così com'è, non ha la capacità di supportare il MAC.