Chi è l'amministratore del controllo di accesso obbligatorio

0

Un'implementazione obbligatoria del controllo degli accessi amministrata da un utente "normale" sarebbe discrezionale poiché l'utente potrebbe modificare le autorizzazioni come meglio crede? E se così fosse, non si radicherebbe come amministratore MAC, essendo un utente di sistema il cui privilegio potrebbe essere acquisito attraverso mezzi legittimi o illegittimi, renderebbe anche l'implementazione MAC discrezionale?

In altre parole, il MAC è obbligatorio solo se è immutabile? Cioè amministrato dal kernel del sistema operativo stesso?

    
posta Whome 12.11.2015 - 15:32
fonte

1 risposta

1

Stai colpendo uno degli sporchi segreti di infosec: MAC e DAC sono fondamentalmente la stessa cosa. Entrambi forniscono il controllo degli accessi, hanno solo concetti diversi che sono un "utente", un "amministratore" e una "risorsa". C'è una ragione per cui il MAC non è diventato popolare fino all'età dei computer amministrati da persone che in realtà non li usano da soli: su un mainframe multiutente, le ACL DAC impostate da root sembrano molto simili a MAC in pratica.

Al contrario, prendi un esempio di un sistema MAC "puro" allo stato dell'arte: i profili di cintura di sicurezza Apple, basati sul MAC applicato da BSD, sono famosi in iOS per impedire anche al proprietario del dispositivo di funzionare qualsiasi cosa al di fuori di una sandbox. Le autorizzazioni reali in questo caso sono fornite da "titolarità": file XML con un elenco di perms firmati da Apple e inclusi nel file binario. In questo sistema, Apple è l'amministratore MAC. Nessuno ha problemi a chiamare questo MAC, anche se sembra molto più simile al DAC sui propri modelli di ingegneria, in cui firmano un codice magico per consentire loro di infrangere le regole.

La vera differenza tra i sistemi MAC e DAC è che i sistemi MAC in genere hanno una nozione più completa delle risorse a cui è controllato l'accesso. Generalmente il DAC non ti impedisce di aprire una presa di rete; MAC potrebbe. MAC potrebbe prevenire IPC; Probabilmente il DAC no. Le chiamate di sistema consentite sono piuttosto granulari in MAC, non tanto in DAC.

Naturalmente, potresti ottenere molti degli stessi effetti dividendo i programmi in account utente individuali e usando DAC, perché MAC e DAC sono fondamentalmente omomorfici. Semplicemente differiscono in quali filosofie sono meglio allineare.

    
risposta data 13.11.2015 - 02:55
fonte