RSBAC - RSBAC - Wikipedia

RSBAC je otevřený zdroj Řízení přístupu rámec pro aktuální Linuxová jádra, který je ve stabilním produkčním provozu od ledna 2000 (verze 1.0.9a).

Funkce

  • Free open source GNU General Public License (GPL ) Rozšíření zabezpečení jádra Linuxu
  • Nezávislý na vládách a velkých společnostech
  • Několik známých a nových modelů zabezpečení, např. povinná kontrola přístupu (MAC ), seznam řízení přístupu (ACL ) a kompatibilita rolí (RC)
  • On-access antivirová kontrola s rozhraním Dazuko
  • Podrobná kontrola nad jednotlivými přístupy uživatelů a programů k síti
  • Plně řízený přístup správa uživatelů na úrovni jádra
  • Je možná jakákoli kombinace bezpečnostních modelů
  • Snadno rozšiřitelné: napište svůj vlastní model pro registraci za běhu
  • Podpora nejnovějších jader
  • Stabilní pro produkční použití
  • Snadno přenosný do jiných operačních systémů

Architektura systému RSBAC byla odvozena a rozšířena z Generalized Framework for Access Control (GFAC ) Marshall Abrams a Leonard La Padula.

RSBAC znamená „řízení přístupu podle pravidel“ a je také řízení přístupu na základě rolí (RBAC ) řešení. Dvě zkratky mohou způsobit zmatek.

Ve své eseji „Modelování sady pravidel důvěryhodného počítačového systému“ Leonard LaPadula popisuje, jak by mohl být v rámci EU implementován přístup Generalized Framework for Access Control (GFAC) Systém UNIX V operační systém. Představil jasné oddělení mezi nástrojem pro prosazování přístupu (AEF), nástrojem pro rozhodování o přístupu (ADF) s pravidly kontroly přístupu (ACR) a informacemi o kontrole přístupu (ACI).

AEF jako součást funkce systémového volání volá ADF, který používá ACI a pravidla k vrácení rozhodnutí a sadu nových hodnot atributů ACI. Rozhodnutí je poté vynuceno AEF, který také nastavuje nové hodnoty atributů a v případě povoleného přístupu poskytuje přístup k objektu subjektu.

Tato struktura vyžaduje rozšíření všech systémových bezpečnostních volání o zachycení AEF a potřebuje dobře definované rozhraní mezi AEF a ADF. Pro lepší modelování byla použita sada typů požadavků, ve kterých měly být vyjádřeny všechny funkce systémových volání. Obecná struktura GFAC byla také zahrnuta do norem ISO 10181-3 Bezpečnostní rámce pro otevřené systémy: Rámec kontroly přístupu a do Otevřená skupina standardní autorizační (AZN) API.

První prototyp RSBAC následoval návrhy La Padula a implementoval některé stručně popsané zásady řízení přístupu, jmenovitě povinné řízení přístupu (MAC ), funkční řízení (FC)[je zapotřebí objasnění ] a Úpravy bezpečnostních informací (SIM), stejně jako model ochrany osobních údajů od Simone Fischer-Hübner.

Mnoho aspektů systému se od té doby hodně změnilo, např. aktuální rámec podporuje více typů objektů, zahrnuje obecnou správu seznamů a řízení přístupu k síti, obsahuje několik dalších modelů zabezpečení a podporuje runtime registraci rozhodovacích modulů a systémových volání pro jejich správu.

RSBAC a další řešení

RSBAC je velmi blízký zabezpečenému Linuxu (SELinux ), protože ve svém designu sdílejí mnohem více než jiné ovládací prvky přístupu[Citace je zapotřebí ] jako AppArmor.

RSBAC však namísto spoléhání se na bezpečnostní modul Linux přináší svůj vlastní hákový kód (LSM ). Z tohoto důvodu je RSBAC technicky náhradou za samotný LSM a implementuje moduly podobné SELinuxu, ale s dalšími funkcemi.[Citace je zapotřebí ]

Rámec RSBAC zahrnuje úplný stav objektu a má při rozhodování úplnou znalost stavu jádra, čímž je flexibilnější a spolehlivější.[Citace je zapotřebí ] To však přichází za cenu mírně vyšší režie v samotném rámci. Ačkoli systémy podporující SELinux a RSBAC mají podobný dopad na výkon, samotný dopad LSM je zanedbatelný ve srovnání se samotným rámcem RSBAC.[Citace je zapotřebí ]

Z tohoto důvodu,[Citace je zapotřebí ] LSM byl vybrán jako výchozí a jedinečný mechanismus hákování zabezpečení v jádře Linuxu, RSBAC přichází pouze jako samostatná oprava.

Dějiny

RSBAC bylo první linuxové řízení přístupu na základě rolí (RBAC ) a povinná kontrola přístupu (MAC ) náplast.[Citace je zapotřebí ]

Viz také

externí odkazy