Access Control List

From ICO wiki
Jump to navigationJump to search

Pääsupiiramisloend (ACL ehk Access Control List) on rida õigusi, mis on lisatud teatud objektile. Pääsuloend täpsustab millised kasutajad või süsteemi protsessid on lubatud ligi pääseda teatud objektile ning millised operatsioonid on lubatud teha antud objektiga.

Kuidas pääsupiiramisloend toimib?

Tüüpilises pääsupiiramisloendis määratakse igas kirjes (ACE ehk Access Control Entrie) subjekt (näiteks User või Group) ja sellele kaasnevad õigused. Kui subjekt tahab sooritada mingeid operatsioone antud objektiga siis pääsupiiramisloendil põhinevas turvamudelis operatsioonisüsteem kõigepealt otsib loendist vastavad kirjed, et otsustada kas nõutud operatsioon on lubatud või mitte.

Pääsupiiramisloendi tüübid

System Access Control List (SACL)

SACL võimaldab administraatoritel pidada logi selle kohta, kes on üritanud ligipääseda kaitstud objektile ning milliseid operatsioone on seal sooritatud. Kuna iga kirje kajastab, mis tüüpi ligipääsuga on tegemist ning kes üritas ligi pääseda, salvestatakse need andmed logi faili (security event log), mida saab vaadata Event Viewer's. Pääsuloendi kirjed (Access Control Entries) SACL's saavad genereerida auditi salvestatud kirjeid, kui ligipääsu katse nurjub või õnnestub.

Discretionary Access Control List (DACL)

DACL ehk valikuline pääsupiiramisloend tähendab seda, et objekti omanikul või loojal on täielik õigus piirata ligipääsu antud objektile, samas ka niimoodi, et ligipääs lubatakse kõikidele teistele. Süsteemil on kohustuslik pääsupiirang siis, kui see allub üle terve süsteemi kehtivatele piirangutele, mis on pääsupiiramisloendis määratletud õigustest tähtsamad. Harilikud pääsupiiramisloendite süsteemid määravad õiguseid üksikutele kasutajatele, mis võib suure kasutajahulga puhul tülikaks osutuda. Uuemas, rollidel põhinevas pääsupiirangus, antakse õiguseid rollidele, ning rolle jaotatakse omakorda kasutajatele.

Liigid

Network Access Control List

Networking ACL on pääsuloend, mis niiöelda filtreerib võrguliiklust. Ruuter vaatleb igat andmepaketti, et kindlaks teha, kas saata see edasi või jätta see maha, põhinedes pääsuloedisse määratud kriteeriumitest. Pääsuloednisse määratud kriteeriumid võivad olla näiteks kasutaja MAC aaddress, IP aadress ja pordi number.

Filesystem Access Control List

Failisüsteemides on peamiseks piiramise vahendiks kasutajatunnus (POSIX-is jõus olev UID).Loend on andmestruktuur, harilikult tabel, mis sisaldab kirjeid üksikute kasutajate või rühmade õigustest kindlatele süsteemiobjektidele, nagu programmid, protsessid, või failid. Linux-is, Mac OS X-is, OpenVS-is, ning Windows-is nimetatakse neid kirjeid pääsupiiramiskirjeteks (ingl.k. Access Control Entries). Igal ligipääsetaval objektil on selle pääsupiiramisloendile suunav tunnus. Kindlaid ligipääsuõiguseid määravad õigused: näiteks kas kasutajal on lubatud objektist lugeda, sinna kirjutada, ning seda käivitada. Mõningad pääsupiiramisloendid on võimelised piirama seda, kas kasutajal või nende rühmal on lubatud objekti pääsupiiramisloendit muuta.

Kuidas kasutada pääsupiiramisloendit?

Kasutatud kirjandus