'єкта. Якщо об'єкт має кілька господарів, вони можуть бути об'єднані загальним суб'єктом - групою. Така схема дозволяє значно скоротити розмір таблиці прав суб'єктів стосовно об'єктів. Ця схема також називається об'єкт-суб'єктна модель.
Недоліком цієї схеми є значне полегшення управління доступом, що не дозволяє простроить складні відносини між суб'єктами та об'єктами.
Аутентифікація і авторизація. Авторизація - це процес визначення того, має чи не має деякий суб'єкт доступ до деякого об'єкту. Авторизація може бути:
статичної-питання про доступ до об'єкта вирішується один раз, коли права задаються або змінюються, при цьому користувачеві ставиться у відповідність деякий номінальний суб'єкт системи;
динамічної-прийняття рішення про доступ проводиться при кожному зверненні до об'єкта, часто це носить характер обмеження можливостей користувача за обсягом пам'яті і дискового простору, часу роботи тощо.
Процесу авторизації завжди повинен передувати процес аутентифікації. Аутентифікація - це механізм зіставлення працюючого користувача системи деякого номінального суб'єкту. Як правило, при цьому користувачеві необхідно ввести пароль або надати секретний ключ.
2.3 Концепції безпеки UNIX
В UNIX роль номінального суб'єкта безпеки відіграє користувач. Кожному користувачеві видається (зазвичай - одне) вхідне ім'я (login). Кожному вхідному імені відповідає єдине число, ідентифікатор користувача (User IDentifier, UID). Це число і є ярлик суб'єкта, яким система користується для визначення прав доступу.
Кожен користувач входить в одну або більше груп. Група - це утворення, яке має власний ідентифікатор групи (Group IDentifier, GID), об'єднує декількох користувачів системи, а стало бути, відповідає поняттю множинний суб'єкт. Значить, GID - це ярлик множинного суб'єкта, яких у дійсного суб'єкта може бути більше одного. Таким чином, одному UID відповідає список GID.
Роль дійсного (працюючого з об'єктами) суб'єкта відіграє процес. Кожен процес забезпечений єдиним UID: це ідентифікатор запустив процес користувача. Будь-який процес, породжений деяким процесом, успадковує його UID. Таким чином, всі процеси, що запускаються за бажанням користувача, матимуть його ідентифікатор. UID враховуються, наприклад, коли один процес посилає іншому сигнал. У загальному випадку дозволяється посилати сигнали «своїм» процесам (тим, що мають такий же UID).
Права доступу. Роль об'єкта в UNIX грають багато реальні об'єкти, зокрема представлені в файлової системі: файли, каталоги, пристрої, канали і т. п.. Кожен файл забезпечений UID - ідентифікатором користувача-власника. Вдобавок у файлу є єдиний GID, що визначає групу, якій він належить.
На рівні файлової системи в UNIX визначається три види доступу: читання (read, r), запис (write, w) і використання (execution, x). Право на читання з файлу дає доступ до міститься в ньому інформації, а право запису - можливість її змінювати. При кожному файлі є список того, що з ним може робити власник (якщо збігається UID процесу і файла), член групи власників (якщо збігається GID) і хто завгодно (якщо нічого не збігається). Такий список для кожного об'єкта системи займає всього кілька байт.
