Модель DAC позволяет владельцу объекта определить, кто может получить доступ к тому объекту, и каким образом. Как и любая другая модель управления доступом, реализация DAC может быть объяснена с точки зрения того, какие субъекты и объекты находятся под контролем данной модели, какие атрибуты безопасности используются моделью, какие правила контроля доступа и правила преобразования атрибутов определены в модели, а также какие существуют механизмы переопределения (привилегии, связанные с программным обеспечением), позволяющие обойти эти правила.
Субъекты и объекты в Linux — это регулярные процессы и потоки ядра. Они представлены структурой
Атрибуты субъектов, используемые для реализации политики DAC, включают в себя UID процесса, GID, дополнительные группы, и полномочия процессов. Эти атрибуты хранятся в структуре
Правила контроля доступа DAC определяют, каким образом определенный процесс с соответствующими атрибутами безопасности DAC может получить доступ к объекту с набором атрибутов безопасности DAC. Кроме того, правила управления доступом DAC также определяют, как и при каких условиях происходит изменение значений атрибутов безопасности для субъектов и объектов.
Привилегии, связанные с программным обеспечением для политики DAC основываются на возможностях
Субъекты и объекты в Linux — это регулярные процессы и потоки ядра. Они представлены структурой
task_struct
. Потоки ядра исполняются только в привилегированном режиме, и не ограничены политикой DAC. Все объекты-хранилища, такие как обычные файлы, символьные и блочные файлы, каталоги, сокеты, объекты IPC и кольца ключей ядра, находятся под контролем политики DAC. Атрибуты субъектов, используемые для реализации политики DAC, включают в себя UID процесса, GID, дополнительные группы, и полномочия процессов. Эти атрибуты хранятся в структуре
task_structure
процесса; к ним выполняются системные вызовы. Атрибуты объектов, используемые для реализации политики DAC, включают в себя следующее: владелец, владелец группы, биты полномочий и списки управления доступом POSIX.1e (Access Control Lists, ACLs) для объектов файловой системы. Эти атрибуты хранятся в ядре и, для размещенных на диске файловых систем, в индексном дескрипторе файла, находящемся на диске. Правила контроля доступа DAC определяют, каким образом определенный процесс с соответствующими атрибутами безопасности DAC может получить доступ к объекту с набором атрибутов безопасности DAC. Кроме того, правила управления доступом DAC также определяют, как и при каких условиях происходит изменение значений атрибутов безопасности для субъектов и объектов.
Привилегии, связанные с программным обеспечением для политики DAC основываются на возможностях
CAP_DAC_OVERRIDE
, CAP_DAC_READ_SEARCH
, которые могут быть присвоены процессу. Процессу, обладающему этими возможностями, предоставляют привилегии, связанные с программным обеспечением применительно к DAC, поскольку при этом предоставляются возможности обойти политики контроля доступа системы.
Комментариев нет :
Отправить комментарий