Привилегии, связанные с программным обеспечением в Linux обеспечивают возможность переопределить механизмы управления доступом ядра. Linux реализует следующие модели управления доступом:
На рисунке ниже показана схема доступа к объекту файловой системы, а также объекту IPC, и реализация управления доступом. Только ядро может соединить приложения пространства пользователя с объектами файловой системы или с объектами IPC, поскольку у пространства пользователя отсутствует прямой доступ к ячейкам запоминающего устройства.
Eправление доступом используется каждый раз, когда субъект пытается получить доступ к объекту-хранилищу. И субъекты, и объекты имеют атрибуты безопасности, которые используются политикой DAC и политикой управления доступом, реализуемыми LSM. Ядро определяет существующие права доступа на основании этих атрибутов и правил контроля доступа. Если доступ предоставлен политикой DAC, вызывается специальный обработчик прерываний LSM, чтобы оценить доступ на основе загруженного модуля LSM. То, какой LSM загружен, определяется конфигурацией исследуемой системы.
- Дискретное управление доступом, осуществляемое с использованием объектов-хранилищ.
- Механизмы проверки безопасности на основе полномочий, ограничивающие выполнение системных вызовов или подмножеств системных вызовов только вызывающими сторонами, имеющими соответствующую возможность.
- Проверки прав доступа модулем обеспечения защиты Linux (Linux Security Module, LSM) — политики DAC реализованы с использованием модулей LSM. При доступе к именованным объектам, вначале применяются политики DAC, а проверки прав доступа LSM применяются только в том случае, если DAC разрешает доступ. Ядро реализует привилегии, связанные с программным обеспечением, для политики DAC.
На рисунке ниже показана схема доступа к объекту файловой системы, а также объекту IPC, и реализация управления доступом. Только ядро может соединить приложения пространства пользователя с объектами файловой системы или с объектами IPC, поскольку у пространства пользователя отсутствует прямой доступ к ячейкам запоминающего устройства.
Eправление доступом используется каждый раз, когда субъект пытается получить доступ к объекту-хранилищу. И субъекты, и объекты имеют атрибуты безопасности, которые используются политикой DAC и политикой управления доступом, реализуемыми LSM. Ядро определяет существующие права доступа на основании этих атрибутов и правил контроля доступа. Если доступ предоставлен политикой DAC, вызывается специальный обработчик прерываний LSM, чтобы оценить доступ на основе загруженного модуля LSM. То, какой LSM загружен, определяется конфигурацией исследуемой системы.
Комментариев нет :
Отправить комментарий