RSBAC - Википедия - RSBAC
RSBAC это открытый исходный код контроль доступа рамки для текущих Ядра Linux, который стабильно используется в производственной среде с января 2000 года (версия 1.0.9a).
Функции
- Бесплатная стандартная общественная лицензия GNU с открытым исходным кодом (GPL ) Расширение безопасности ядра Linux
- Независимость от правительств и крупных компаний
- Несколько известных и новых моделей безопасности, например принудительный контроль доступа (MAC ), список контроля доступа (ACL ) и совместимость ролей (RC)
- Проверка на вирусы при доступе с помощью интерфейса Dazuko
- Детальный контроль доступа к сети отдельных пользователей и программ
- От корки до корки доступ контролируемый управление пользователями на уровне ядра
- Возможна любая комбинация моделей безопасности
- Легко расширяемый: напишите свою собственную модель для регистрации во время выполнения
- Поддержка последних ядер
- Стабильно для производственного использования
- Легко переносится в другие операционные системы
Архитектура системы RSBAC была получена и расширена из Generalized Framework for Access Control (GFAC ) Маршалла Абрамса и Леонарда Ла Падулы.
RSBAC означает «управление доступом на основе набора правил», а также управление доступом на основе ролей (RBAC ) решение. Эти два акронима могут вызвать путаницу.
В своем эссе «Моделирование набора правил доверенной компьютерной системы», Леонард ЛаПадула описывает, как подход Generalized Framework for Access Control (GFAC) может быть реализован в Система UNIX V Операционная система. Он представил четкое разделение между средством обеспечения доступа (AEF), средством принятия решения о доступе (ADF) с правилами контроля доступа (ACR) и информацией контроля доступа (ACI).
AEF как часть функции системного вызова вызывает ADF, который использует ACI и правила для возврата решения и набора новых значений атрибутов ACI. Затем решение принудительно реализуется с помощью AEF, который также устанавливает новые значения атрибутов и, в случае разрешенного доступа, предоставляет объектный доступ субъекту.
Эта структура требует, чтобы все системные вызовы, относящиеся к безопасности, были расширены перехватом AEF, и ей нужен четко определенный интерфейс между AEF и ADF. Для лучшего моделирования использовался набор типов запросов, в которых должны были быть выражены все функции системных вызовов. Общая структура GFAC также была включена в стандарт ISO 10181-3 «Структуры безопасности для открытых систем: структура контроля доступа» и Открытая группа стандартный API авторизации (AZN).
Первый прототип RSBAC последовал предложениям Ла Падулы и реализовал некоторые политики управления доступом, кратко описанные там, а именно принудительный контроль доступа (MAC ), функциональный контроль (FC)[требуется разъяснение ] и Модификация информации о безопасности (SIM), а также Модель конфиденциальности от Симона Фишер-Хюбнер.
С тех пор многие аспекты системы сильно изменились, например текущая структура поддерживает больше типов объектов, включает общее управление списками и управление доступом к сети, содержит несколько дополнительных моделей безопасности и поддерживает регистрацию модулей принятия решений и системных вызовов для их администрирования во время выполнения.
RSBAC и другие решения
RSBAC очень близок к Security-Enhanced Linux (SELinux ), поскольку они имеют гораздо больше общего в своем дизайне, чем другие элементы управления доступом.[нужна цитата ] Такие как AppArmor.
Однако RSBAC предлагает свой собственный код подключения вместо того, чтобы полагаться на модуль безопасности Linux (LSM ). В связи с этим RSBAC технически является заменой самого LSM и реализует модули, похожие на SELinux, но с дополнительными функциями.[нужна цитата ]
Инфраструктура RSBAC включает в себя полный статус объекта и имеет полное представление о состоянии ядра при принятии решений, что делает его более гибким и надежным.[нужна цитата ] Однако это происходит за счет немного более высоких накладных расходов в самой структуре. Хотя системы с поддержкой SELinux и RSBAC оказывают одинаковое влияние на производительность, влияние LSM само по себе незначительно по сравнению с одной только структурой RSBAC.[нужна цитата ]
По этой причине,[нужна цитата ] LSM был выбран в качестве уникального механизма перехвата безопасности в ядре Linux по умолчанию, RSBAC поставляется только как отдельный патч.
История
RSBAC был первым управлением доступом на основе ролей Linux (RBAC ) и принудительный контроль доступа (MAC ) пластырь.[нужна цитата ]
Смотрите также
- Список контроля доступа
- Контроль доступа на основе атрибутов (ABAC)
- Контроль доступа на основе контекста (CBAC)
- Дискреционный контроль доступа (ЦАП)
- Контроль доступа на основе графа (GBAC)
- Контроль доступа на основе решеток (LBAC)
- Обязательный контроль доступа (MAC)
- Управление доступом на основе организации (OrBAC)
- Контроль доступа на основе ролей (RBAC)
- Безопасность на основе возможностей
- Аутентификация на основе местоположения
- Риск-ориентированная аутентификация
- Компьютерная безопасность
- PaX
- Linux с повышенной безопасностью