1. 程式人生 > >Linux安全--訪問控制機制(ACM)

Linux安全--訪問控制機制(ACM)

  1. 訪問控制機制(ACM)
    ACM:即Access Control Mechanism

    ACM為系統管理員提供了一種控制哪些使用者、程序可以訪問不同的檔案、裝置和介面等的一種方式。當需要確保計算機系統或網路安全時,ACM是一個主要的考慮因素。

    ACM主要有以下6種方式:

    1) 自主訪問控制:Discretionary Access Control (DAC)

    2) 訪問控制列表:Access Control Lists (ACLs)

    3) 強制訪問控制:Mandatory Access Control (MAC)

    4) 基於角色的訪問控制:Role-based Access Control (RBAC)

    5) 多級安全:Multi-Level Security (MLS)

    6) 多類安全:Multi-Category Security (MCS)

1.1 自主訪問控制(DAC)
DAC為檔案系統中的物件(檔案、目錄、裝置等)定義基本的訪問控制,即典型的檔案許可權和共享等。此訪問機制通常由物件的所有者來決定。

1.2 訪問控制列表(ACL)
ACL為一個subject(程序、使用者等)可訪問哪些object提供了進一步的控制。

1.3 強制訪問控制(MAC)
MAC是一種安全機制,此安全機制是限制了使用者(subject)對它自己所建立的物件所擁有的“控制級別”。與DAC不一樣,在DAC中,使用者對他們自己的object(檔案、目錄、裝置等)擁有完全的控制權;而在MAC中,對所有的檔案系統objects增加了額外的labels或categories。在subjects(使用者或程序)與objects互動之前,它們必須對這些categories或labels進行合適的訪問(即先要進行許可權判斷)。

   對訪問的控制徹底化,對所有的檔案、目錄、埠的訪問,都是基於策略設定的。這些策略是由管理員設定的、一般使用者是無權更改的。

1.4 基於角色的訪問控制 (RBAC)
RBAC是控制使用者訪問檔案系統objects的一種可先方法。它不是基於使用者許可權進控制, 系統管理員基於商業功能需求建立對應的角色(Roles),這些角色對object有不同的型別和訪問級別。
與DAC和MAC系統相比,在DAC和MAC系統中,使用者基於它們自己和object的許可權來訪問objects;而在RBAC系統中,在使用者與objects(檔案、目錄、裝置等)互動之前,使用者必須是一個適當組的成員或角色。
從系統管理員的角度看,RBAC更易於通過控制組成員,從而控制哪些使用者可以訪問檔案系統的哪些部分。

  對於使用者只賦予最小許可權。對於使用者來說,被劃分成一些role,即使是root使用者,你要是不在sysadm_r裡,也還是不能實行sysadm_t管理操作的。因為,哪些role可以執行哪些domain也是在策略裡設定的。role也是可以遷移的,但是隻能按策略規定的遷移。 

1.5. 多級安全 (MLS)
Multi-Level Security (MLS)是一個具體的強制訪問控制安全方案。在此方案中,程序被叫做“Subjects”,檔案、目錄、套接字和其它作業系統被動實體被叫做“Objects”。

1.6. 多類安全 (MCS)
Multi-Category Security (MCS) 是一個增強的SELinux,允許使用者標記檔案類別。在SELinux中,MCS是MLSand重用MLS框架的介面卡。

相關推薦

Linux安全--訪問控制機制(ACM)

訪問控制機制(ACM) ACM:即Access Control Mechanism ACM為系統管理員提供了一種控制哪些使用者、程序可以訪問不同的檔案、裝置和介面等的一種方式。當需要確保計算機系統或網路安全時,ACM是一個主要的考慮因素。 ACM主要

informix 的安全訪問控制機制

資料庫安全資料庫安全是及其重要的,無論使購買產品和歷史分析資料,一個公司都需要有健全的資料庫安全計劃,通過如下方式來確定:誰可以訪問資料庫伺服器例項和資料庫從哪兒以什麼方式驗證使用者密碼使用者的授權級別使用者能夠執行的命令使用者能夠讀取或者修改的資料使用者能夠建立、修改或刪除

MAC訪問控制機制Linux系統中的實現:SELinux

SELinuxSELinux全稱:Security-Enhanced Linux,安全加強的Linux;SELinux系統的本來名稱為MAC:強制訪問控制;SELinux就是MAC訪問控制機制在Linux系統中的實現; 操作系統安全等級標準(橙皮書): D級別(最低安全級別) C級別:C1,

linux acl訪問控制列表系統整理

acl mask 權限掩碼 acl######文件的訪問控制(acl)##########################

Linux-LNMP-訪問控制FilesMatch

限制訪問的檔案核心配置檔案內容<Directory /data/wwwroot/www.123.com><FilesMatch "admin.php(.*)"> #定義檔案為admin,php,加上字尾Order deny,allowDeny from allAllow from 12

Linux-LNMP-訪問控制Directory

目錄 公司 ip地址 rec curl 核心 .com 什麽 min 只有允許的ip地址才可訪問。可以將公司的固定ip加入,這樣在訪問時,只允許這個ip訪問。 限制目錄 核心配置文件內容<Directory /data/wwwroot/www.123.com/admi

MongoDB安全訪問控制

一、概述 有時候我們會看到有些伺服器或者資料庫被別人惡意攻擊,會導致中毒或者資料被盜取所,以我們對自己的伺服器和資料庫的訪問安全性控制就顯得至關重要。 今天我們來說說MongoDB的幾點安全性訪問控制,可以通過的IP、埠或者使用賬戶、密碼登入,來提高我們資料庫和伺服

Kubernetes中的角色訪問控制機制(RBAC)支援_Kubernetes中文社群

原標題: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支援 PS:在Kubernetes1.6版本中新增角色訪問控制機制(Role-Based Access,RBAC)讓叢集管理員可以針對特定使用者或服務賬號的角色,進行更精確的資源訪問控制。在R

Linux ftp訪問控制配置

在Linux下建立ftp使用者,並限制其通過訪問時,僅能訪問當前使用者的根目錄 #adduser -d /home/user01 -g ftp user01 #usermod -s /sbin/nologin //建立使用者 #passwd user01 //設定密碼

作業系統虛擬化之訪問控制機制

一、主訪問控制機制: DAC:Discretionary Access Control DAC概念: 檔案的擁有者可以按照自己的意願精確指定系統中的其他使用者對其檔案的訪問權。 定義:自主訪問控制是基於客體所屬使用者/組身份,以及需知原則來約束對客體

Kubernetes中的角色訪問控制機制(RBAC)支援

原標題: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支援 PS:在Kubernetes1.6版本中新增角色訪問控制機制(Role-Based Access,RBAC)讓叢集管理員可以針對特定使用者或服務賬號的角色,

訪問控制安全機制及相關模型(包括:強制訪問控制和自主訪問控制

緒論   訪問控制,作為提供資訊保安保障的主要手段,及最為突出的安全機制, 被廣泛地應用於防火牆、檔案訪問、VPN及物理安全等多個方面。 所有這些技術可歸諸於幾類訪問控制模型,本文將一一介紹並以例項說明,以幫助設計者在多變的環境中解決相關安全問題。 第一章 訪問控制的概念   訪問控制是資訊保安保

Linux 訪問控制acl

linux acl設置Linux:ACL設置目錄: 1. acl設置 2. mask值 3. acl備份 4. 實例演示 1.acl設置Acl是關聯用戶和文件或目錄的訪問控制,因此對用戶而言,可以具體分為兩類,用戶和組;對文件而言可以分為文件和目錄;對繼承而言,可以分為默認繼承權限和非繼承權限,從語法上講d表

2017-2018-1 20155222 《信息安全系統設計基礎》第10周 Linux下的IPC機制

mct 執行 除了 comm 同進程 href sem_flag 消息隊列 con 2017-2018-1 20155222 《信息安全系統設計基礎》第10周 Linux下的IPC機制 IPC機制 在linux下的多個進程間的通信機制叫做IPC(Inter-Process

security 01: Linux基本防護 、 用戶切換與提權 、 SSH訪問控制 、 總結和答疑

add orm ati sgi star 數字簽名 安全 roo 輸入 LINUX安全與監控 6天LINUX安全 3天LINUX監控 3天+++++++++++++++++++++++++什麽安全? 保護維護的服務器不受到攻擊和破壞 攻擊和破壞手段? 技術性非技術

(轉)詳解Linux中SSH遠程訪問控制

體系 字符 配置文件 art 文件 優先 class 遠程訪問 安全 詳解Linux中SSH遠程訪問控制 原文:http://blog.51cto.com/dengqi/1260038 SSH:是一種安全通道協議,主要用來實現字符界面的遠程登錄,遠程復制等功能(使用TCP的

Linux文件權限與訪問控制

Linux學習Linux文件權限與訪問控制 訪問文件用戶3類: 文件所有者 同組成員 其他人 權限--- --- --- (rwx) 依次對應3類用戶 file:6rw 4r 0 x1 dir: 7rwx 5r-x 0 默認權限 umask內部命令 用來生成數字 umask+defau

Linux學習總結(四十二)lnmp訪問控制

lnmp 防盜鏈 訪問控制 反向代理 1 nginx 配置防盜鏈 防盜鏈的原理我們在lamp中已經有介紹,這裏不再重復,直接看配置過程。核心語句為 valid_referers none blocked server_names *.test.com ; if ($invalid

Linux FACL(文件訪問控制列表)

場景 獲得 ask set file bsp 取消 文件 Owner 文件有三種權限   屬主權限 屬組權限 其他權限 現在有這樣一個場景,用戶 A 想把文件共享給不是同組內用戶 B ,而又不想修改其他權限,這時候 FACL 就起作用了 FACL可以給文件添加一個拓展

Linux學習命令匯總九——任務計劃調度atd,crond及文件訪問控制列表

atd crontab linux任務計劃 facl 文件訪問控制列表 本章Blog相關Linux知識點linux 任務計劃: 一次性任務計劃命令: at ,batch ,依賴進程atd 周期性任務計劃命令:crontab ,anacron ,依賴進程crondat,batc