В останні роки було проведено багато досліджень в області гнучкого управління доступом. Треба відзначити, що всі ці методи призначені для кваліфікованих користувачів і вимагають спеціальної настройки. p align="justify"> Проте в результаті можна отримати захищену систему, здатну вистояти навіть при постійних атаках. Почнемо з огляду стандартних моделей доступу Unix. br/>
Дискретне управління доступом (Discretionari Access Control, DAC)
DAC - це формальне ім'я стандартної системи користувачів і прав доступу, яка визнана всіма Unix-користувачами. У даній системі доступ до об'єкта (наприклад до файлу) контролюється власником даного об'єкта за допомогою прав доступу. p align="justify"> Власник може контролювати не тільки тих користувачів, якими покладено доступ до об'єкта, а й контролювати режим доступу (наприклад, читання, запис, виконання).
Дискретне управління доступом являє собою розмежування доступу між пойменованими суб'єктами і пойменованими об'єктами. Суб'єкт з певним правом доступу може передати це право будь-якому іншому суб'єкту. Даний вид організується на базі методів розмежування за списками або за допомогою матриці. br/>
Модель тип-домен (Domain Type Enforcement, DTE)
- це одна з реалізацій MAC, заснована на концепції мінімальних привілеїв: процесу повинні бути надані мінімально необхідні привілеї (тобто тільки ті, які реально обов'язкові процесу). У DTE об'єкти (файли) формують типи, а суб'єкти (процеси) - домени.
Таблиця DDT (Domain Defination Table - таблиця визначення домену) описує, як домени і типи можуть взаємодіяти один з одним.
Списки управління доступом (Access Control Lists, ACL)
Unix-система права доступу файлів визначені режимами файлів:
бітів задають, хто може отримати доступ до цього файлу, і визначають режими доступу. Так як для прав доступу застосовуються 9 бітів, то це дозволяє створити три класи користувачів (власник, група, решта) і три класи доступу (читання, запис, виконання). p align="justify"> Файлові системи ext2 і ext3 (обидві в даний час використовується в Linux-системах) підтримують розширені атрибути файлів (Extended Attributes, EA), що дозволяють задати додаткові параметри у вигляді пари ім'я: значення для кожного файлу.
Розширені атрибути можуть вживатися для обслуговування прав доступу для додаткових груп користувачів, що дає можливість створювати списки управління доступом (ACL), ACL треба вважати розширенням традиційної моделі прав доступу.
Управління доступом на основі ролей (Role-based Access Control, RBAC)
У RBAC-системі кожному користувачеві призначені одна або кілька певних ро...
