РСБАК

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален. Найти источники:   «RSBAC» — новости   · газеты   · книги   · ученые   · JSTOR ( август 2023 г. ) ( Узнайте, как и когда удалить это сообщение )

Управление доступом на основе набора правил ( RSBAC ) — это платформа управления доступом с открытым исходным кодом для текущих ядер Linux , которая стабильно используется в рабочей среде с января 2000 года (версия 1.0.9a).

• Бесплатная Генеральная общественная лицензия GNU ( GPL ) с открытым исходным кодом. Расширение безопасности ядра Linux.
• Независимость от правительств и крупных компаний
• Несколько хорошо известных и новых моделей безопасности, например обязательный контроль доступа ( MAC ), список управления доступом ( ACL ) и совместимость ролей (RC).
• Сканирование вирусов при доступе с интерфейсом Dazuko
• Детальный контроль над доступом к сети отдельных пользователей и программ.
• Полный доступ к управлению пользователями на уровне ядра.
• Возможна любая комбинация моделей безопасности.
• Легко расширяемый: напишите свою собственную модель для регистрации во время выполнения.
• Поддержка последних ядер
• Стабильный для производственного использования
• Легко переносится на другие операционные системы

Архитектура системы RSBAC была получена и расширена на основе Обобщенной структуры контроля доступа ( GFAC ), разработанной Маршаллом Абрамсом и Леонардом Ла Падулой.

RSBAC означает «управление доступом на основе набора правил», а также является решением управления доступом на основе ролей ( RBAC ). Эти две аббревиатуры могут вызвать путаницу.

В своем эссе «Моделирование набора правил доверенной компьютерной системы» Леонард ЛаПадула описывает, как подход Generalized Framework for Access Control (GFAC) может быть реализован в UNIX System V. операционной системе Он ввел четкое разделение между средством контроля доступа (AEF), средством принятия решения о доступе (ADF) с правилами контроля доступа (ACR) и информацией контроля доступа (ACI).

AEF как часть функции системного вызова вызывает ADF, который использует ACI и правила для возврата решения и набора новых значений атрибутов ACI. Затем решение применяется AEF, который также устанавливает новые значения атрибутов и, в случае разрешенного доступа, предоставляет субъекту доступ к объекту.

Эта структура требует, чтобы все системные вызовы, связанные с безопасностью, были расширены за счет перехвата AEF, а также необходим четко определенный интерфейс между AEF и ADF. Для лучшего моделирования использовался набор типов запросов, в которых должны были быть выражены все функциональные возможности системных вызовов. Общая структура GFAC также включена в стандарт ISO 10181-3 «Среды безопасности для открытых систем: структура контроля доступа» и в стандарт API авторизации (AZN) Открытой группы .

Первый прототип RSBAC последовал предложениям Ла Падулы и реализовал некоторые политики контроля доступа, кратко описанные там, а именно обязательный контроль доступа ( MAC ), функциональный контроль (FC). ^{[ нужны разъяснения ]} и модификация информации о безопасности (SIM), а также Модель конфиденциальности Симоны Фишер-Хюбнер .

С тех пор многие аспекты системы сильно изменились, например, текущая структура поддерживает больше типов объектов, включает общее управление списками и контроль доступа к сети, содержит несколько дополнительных моделей безопасности и поддерживает регистрацию модулей принятия решений во время выполнения и системные вызовы для их администрирования.

RSBAC очень близок к Linux с улучшенной безопасностью ( SELinux ), поскольку в их конструкции гораздо больше общего, чем у других средств управления доступом. ^{[ нужна ссылка ]} например AppArmor .

Однако RSBAC использует собственный код перехвата вместо использования модуля безопасности Linux ( LSM ). Благодаря этому RSBAC технически является заменой самого LSM и реализует модули, аналогичные SELinux, но с дополнительным функционалом. ^{[ нужна ссылка ]}

Платформа RSBAC включает в себя полный статус объекта и полную информацию о состоянии ядра при принятии решений, что делает ее более гибкой и надежной. ^{[ нужна ссылка ]} Однако за это приходится платить несколько более высокими накладными расходами в самой структуре. Хотя системы с поддержкой SELinux и RSBAC оказывают одинаковое влияние на производительность, влияние LSM само по себе незначительно по сравнению с одной лишь структурой RSBAC. ^{[ нужна ссылка ]}

По этой причине, ^{[ нужна ссылка ]} LSM был выбран в качестве уникального механизма защиты безопасности по умолчанию в ядре Linux, RSBAC поставляется только в виде отдельного патча.

RSBAC был первым патчем для управления доступом на основе ролей ( RBAC ) и обязательным контролем доступа ( MAC ). ^{[ нужна ссылка ]}

• Домашняя страница RSBAC
• Эссе Леонарда ЛаПадулы о GFAC. Архивировано 11 октября 2006 г. в Wayback Machine.
• Сравнительная таблица контроля доступа Gentoo Wiki