Jump to content

Список контроля доступа

(Перенаправлено из списка контроля доступа )

В компьютерной безопасности список контроля доступа ( ACL ) представляет собой список разрешений. [а] связанный с системным ресурсом (объектом или объектом). ACL определяет, каким пользователям или системным процессам предоставляется доступ к ресурсам, а также какие операции разрешены с данными ресурсами. [1] Каждая запись в типичном ACL определяет субъект и операцию. Например,

  • Если файловый объект имеет список ACL, содержащий (Алиса: читать, писать; Боб: читать) , это даст Алисе разрешение на чтение и запись файла, а Бобу — только на его чтение.
  • Если профиль RACF CONSOLE CLASS(TSOAUTH) имеет список ACL, содержащий (АЛИСА:ЧИТАТЬ) , это даст ALICE разрешение на использование команды TSO CONSOLE.

Реализации [ править ]

Многие виды операционных систем реализуют ACL или имеют историческую реализацию; первая реализация списков ACL была в файловой системе Multics в 1965 году. [2] [3]

ACL файловой системы [ править ]

ACL файловой системы — это структура данных (обычно таблица), содержащая записи, которые определяют права отдельного пользователя или группы на определенные системные объекты, такие как программы, процессы или файлы. Эти записи известны как записи контроля доступа (ACE) в Microsoft Windows NT . [4] OpenVMS и Unix-подобные операционные системы , такие как Linux , macOS и Solaris . Каждый доступный объект содержит идентификатор своего ACL. Привилегии или разрешения определяют конкретные права доступа, например, может ли пользователь читать, записывать или выполнять объект. В некоторых реализациях ACE может контролировать, может ли пользователь или группа пользователей изменять ACL для объекта.

Одной из первых операционных систем, предоставивших ACL файловой системы, была Multics . В PRIMOS использовались ACL как минимум еще в 1984 году. [5]

В 1990-х годах модели ACL и RBAC прошли тщательное тестирование. [ кем? ] и используется для администрирования прав доступа к файлам.

POSIX ACL [ править ]

Рабочая группа POSIX 1003.1e/1003.2c предприняла попытку стандартизировать списки ACL, в результате чего появилось то, что теперь известно как «POSIX.1e ACL» или просто «POSIX ACL». [6] Черновики POSIX.1e/POSIX.2c были отозваны в 1997 году из-за того, что участники потеряли интерес к финансированию проекта и обратились к более мощным альтернативам, таким как NFSv4 ACL. [7] По состоянию на декабрь 2019 г. В Интернете не удалось найти живые источники черновика, но его все еще можно найти в Интернет-архиве . [8]

Большинство Unix и Unix-подобных операционных систем (например, Linux начиная с 2.5.46 или ноября 2002 г., [9] FreeBSD или Solaris ) поддерживают списки ACL POSIX.1e (не обязательно черновик 17). В этих системах списки ACL обычно хранятся в расширенных атрибутах файла.

NFSv4 ACL [ править ]

ACL NFSv4 гораздо мощнее черновых ACL POSIX. В отличие от проектов списков ACL POSIX, списки ACL NFSv4 определяются фактически опубликованным стандартом как часть сетевой файловой системы .

ACL NFSv4 поддерживаются многими Unix и Unix-подобными операционными системами. Примеры включают AIX , FreeBSD , [10] Mac OS X , начиная с версии 10.4 (« Тигр »), или Solaris с файловой системой ZFS , [11] поддержка списков ACL NFSv4 , которые являются частью стандарта NFSv4. Существует две экспериментальные реализации списков ACL NFSv4 для Linux: Поддержка списков ACL NFSv4 для Ext3 . файловой системы [12] и более поздний Richacls , который обеспечивает поддержку ACL NFSv4 для файловой системы Ext4 . [13] Как и в случае со списками ACL POSIX, списки ACL NFSv4 обычно хранятся в виде расширенных атрибутов в Unix-подобных системах.

Списки ACL NFSv4 организованы почти идентично спискам ACL Windows NT, используемым в NTFS . [14] Списки ACL NFSv4.1 представляют собой расширенный набор списков ACL NT и черновых версий ACL POSIX. [15] Samba поддерживает сохранение списков ACL NT для файлов, совместно используемых по SMB, разными способами, один из которых — в виде списков ACL в кодировке NFSv4. [16]

ACL Active Directory [ править ]

Microsoft от Служба Active Directory реализует сервер LDAP , который хранит и распространяет информацию о конфигурации пользователей и компьютеров в домене. [17] Active Directory расширяет спецификацию LDAP, добавляя тот же тип механизма списков управления доступом, который Windows NT использует для файловой системы NTFS. Затем Windows 2000 расширила синтаксис записей управления доступом, чтобы они могли не только предоставлять или запрещать доступ ко всем объектам LDAP, но также и к отдельным атрибутам внутри этих объектов. [18]

Сетевые списки управления доступом [ править ]

На некоторых типах проприетарного компьютерного оборудования (в частности, маршрутизаторах и коммутаторах ) список контроля доступа содержит правила, которые применяются к номерам портов или IP-адресам , доступным на узле или другом уровне 3 , каждый из которых содержит список узлов и /или сети, которым разрешено использовать услугу. Хотя дополнительно можно настроить списки контроля доступа на основе имен сетевых доменов , это сомнительная идея, поскольку отдельные заголовки TCP , UDP и ICMP не содержат имен доменов. Следовательно, устройство, реализующее список управления доступом, должно отдельно преобразовывать имена в числовые адреса. Это представляет собой дополнительную поверхность атаки для злоумышленника, который пытается поставить под угрозу безопасность системы, которую защищает список контроля доступа. Как отдельные серверы , так и маршрутизаторы могут иметь сетевые списки управления доступом. Списки контроля доступа обычно можно настроить для управления как входящим, так и исходящим трафиком, и в этом контексте они аналогичны брандмауэрам . Как и брандмауэры, списки ACL могут подчиняться правилам и стандартам безопасности, таким как PCI DSS .

Реализации SQL [ править ]

Алгоритмы ACL были портированы на SQL и системы реляционных баз данных . Многие «современные» (2000-е и 2010-е годы) SQL системы на базе , такие как системы планирования ресурсов предприятия и управления контентом , использовали модели ACL в своих модулях администрирования.

Сравнение с RBAC [ править ]

Основной альтернативой модели ACL является модель управления доступом на основе ролей (RBAC). «Минимальную модель RBAC», RBACm , можно сравнить с механизмом ACL, ACLg , где в качестве записей в ACL разрешены только группы. Баркли (1997) [19] показали, что RBACm и ACLg эквивалентны.

В современных реализациях SQL списки ACL также управляют группами и наследованием в иерархии групп. Таким образом, «современные ACL» могут выражать все, что выражает RBAC, и являются особенно мощными (по сравнению со «старыми ACL») в своей способности выражать политику контроля доступа с точки зрения того, как администраторы рассматривают организации.

Для обмена данными и для «сравнений высокого уровня» данные ACL можно преобразовать в XACML . [20]

См. также [ править ]

Примечания [ править ]

  1. ^ Например, разрешения файловой системы , разрешение на выполнение определенных действий.

Ссылки [ править ]

  1. ^ Р. Ширей (август 2007 г.). Глоссарий по интернет-безопасности, версия 2 . дои : 10.17487/RFC4949 . РФК 4949 . Проверено 19 мая 2023 г.
  2. ^ Ричард Э. Смит. Элементарная информационная безопасность . п. 150.
  3. ^ Дейли, Р.К.; Нойманн, П.Г. (1965). «Файловая система общего назначения для вторичного хранилища» . AFIPS '65 (осень, часть I): Материалы осенней совместной компьютерной конференции, состоявшейся 30 ноября — 1 декабря 1965 г., часть I. АКМ Пресс. п. 213. дои : 10.1145/1463891.1463915 .
  4. ^ «Управление авторизацией и контролем доступа» . Microsoft Learn . 11 сентября 2009 г. Проверено 15 мая 2024 г.
  5. ^ «PSI Pacer Software, Inc. Gnet-II, версия 3.0» . Коммуникации. Компьютерный мир . Том. 18, нет. 21. 21 мая 1984 г. п. 54. ISSN   0010-4841 . Проверено 30 июня 2017 г. В новой версии Gnet-II (версия 3.0) добавлен механизм безопасности линии, реализованный в подсистеме Primos ACL.
  6. ^ Грюнбахер, Андреас. «Списки управления доступом POSIX в Linux» . Усеникс . Проверено 12 декабря 2019 г.
  7. ^ вюрцкурдле. «Почему POSIX.1e был отозван?» . Unix StackExchange . Проверено 12 декабря 2019 г.
  8. ^ Трюмпер, Винфрид (28 февраля 1999 г.). «Краткое описание Posix.1e» . Архивировано из оригинала 23 июля 2008 г.
  9. ^ «Примечания к выпуску Red Hat Enterprise Linux AS 3 (выпуск x86)» . Красная шляпа . 2003. Архивировано из оригинала 02 декабря 2013 г. Проверено 08 апреля 2013 г. Функции EA (расширенные атрибуты) и ACL (списки управления доступом) теперь доступны для файловых систем ext3. Кроме того, для NFS доступна функциональность ACL.
  10. ^ «Списки управления доступом NFSv4» . FreeBSD . 12 сентября 2011 г. Проверено 08 апреля 2013 г.
  11. ^ «Глава 8. Использование списков ACL и атрибутов для защиты файлов ZFS» . Корпорация Оракл . 01.10.2009 . Проверено 08 апреля 2013 г.
  12. ^ Грюнбахер, Андреас (май 2008 г.). «Встроенные списки управления доступом NFSv4 в Linux» . СУЗЕ . Архивировано из оригинала 20 июня 2013 г. Проверено 08 апреля 2013 г.
  13. ^ Грюнбахер, Андреас (июль – сентябрь 2010 г.). «Richacls — собственные списки управления доступом NFSv4 в Linux» . bestbits.at. Архивировано из оригинала 20 марта 2013 г. Проверено 08 апреля 2013 г.
  14. ^ «ACL» . НФС Linux .
  15. ^ «Сопоставление черновиков ACL NFSv4 и Posix» .
  16. ^ «vfs_nfs4acl_xattr(8)» . Руководство по Самбе .
  17. ^ «[MS-ADTS]: Техническая спецификация Active Directory» .
  18. ^ Свифт, Майкл М. (ноябрь 2002 г.). «Улучшение детализации контроля доступа для Windows 2000 ». Транзакции ACM по информационной и системной безопасности . 5 (4): 398–437. дои : 10.1145/581271.581273 . S2CID   10702162 .
  19. ^ Дж. Баркли (1997) « Сравнение простых моделей управления доступом на основе ролей и списков управления доступом », в «Материалах второго семинара ACM по управлению доступом на основе ролей», страницы 127-132.
  20. ^ Г. Карджот, А. Шаде и Э. Ван Херревеген (2008) « Реализация политик на основе ACL в XACML », в «Ежегодной конференции по приложениям компьютерной безопасности 2008 года».

Дальнейшее чтение [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Access-control_list&oldid=1223942308"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 5b28fc38e44209e490f6b394a37657ad__1715752560
URL1:https://arc.ask3.ru/arc/aa/5b/ad/5b28fc38e44209e490f6b394a37657ad.html
Заголовок, (Title) документа по адресу, URL1:
Access-control list - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)